Cyber terrorismo, spionaggio industriale, attacchi a scopo di riscatto. Sono stati questi i temi principali trattati nel CyberSecurity Summit 2016 organizzato da The Innovation Group – società di servizi di consulenza manageriale e di advisory – al Centro Congressi Roma Eventi Fontana di Trevi di Roma. Come evitare i sempre più frequenti attacchi cyber? Investimenti, prima di tutto, ma anche diffusione di pratiche che contrastino una cultura tutta italiana: quella della reticenza – o addirittura del silenzio – nella diffusione di dati e notifiche degli attacchi subiti. Questi due aspetti sono stati i problemi su cui le aziende, pubbliche e private, trasversalmente, si sono trovate d’accordo affinché si possa arrivare ad un livello maggiore di sicurezza cyber.
QUI TUTTE LE FOTO DEL CYBERSECURITY SUMMIT 2016
FINMECCANICA
Andrea Campora della Divisione Security & Information systems di Finmeccanica, nel suo intervento si è concentrato molto sulla condivisione delle informazioni. Come riportato dall’agenzia Cyber Affairs diretta da Michele Pierri, Campora si è concentrato su come proteggere l’Italia da nuovi attacchi: “Per difendere al meglio il Paese e le sue imprese strategiche dalle minacce cibernetiche – ha affermato Campora – è oggi importante sviluppare nuove piattaforme di simulation and training” per prepararsi a potenziali cyber attacchi, “con particolare attenzione alla protezione delle infrastrutture critiche”. E sul contesto legislativo Campora ha aggiunto: “Il quadro normativo si sta evolvendo e con esso la sensibilità delle imprese”, andando, ha spiegato, “verso una gestione federata della sicurezza a livello continentale, anche grazie agli sforzi europei”, come la direttiva europea Network and Information Security (NIS).” Tuttavia – ha concluso – servono delle regole comuni e chiare. Capire chi sono gli attori, che obblighi hanno e che standard adottare. Solo così questi cambiamenti saranno davvero efficaci”.
QUI TUTTE LE FOTO DEL CYBERSECURITY SUMMIT 2016
IL CONTESTO ITALIANO
Sulla stessa lunghezza d’onda anche Rita Forsi, direttore dell’Istituto superiore delle comunicazioni e delle tecnologie dell’informazione del Mise, che ha parlato della situazione del Cert italiano (Computer Emergency Response Team) struttura che si inserisce nella rete dei Cert internazionali. Questi supportano la costituzione di una community per la sicurezza con attività di prevenzione e reazione ad eventi cibernetici sia per utenti pubblici sia per i privati.
“Non voglio fare quella che dà i numeri ma alcuni numeri ve li voglio dare – ha affermato Forsi -. Solo a marzo abbiamo avuto 362 segnalazioni da parte di enti della pubblica amministrazione, della difesa, di operatori e soggetti privati a livello nazionale e internazionale. Ad oggi 240 Isp – Internet Service Provicer, quindi aziende od organizzazioni che offrono accesso alla rete Internet, e altri servizi correlati come, per esempio, lo è Gmail – stanno dialogando con il Cert nazionale per iniziare una collaborazione. Ci sono altri 260 operatori con i quali siamo in contatto per cercare di arrivare a un accordo. È vero che mancano le risorse, ma la volontà di ottimizzare c’è”. In che modo? “Attraverso due canali – ha spiegato Forsi – la conoscenza delle persone e l’incremento delle sinergie con gli altri Cert. Conoscere gli operatori e le aziende, serve soprattutto quando, in caso di crisi, si riesce a ricorrere velocemente alle informazioni relative alla natura del male”.
QUI TUTTE LE FOTO DEL CYBERSECURITY SUMMIT 2016
INTELLIUM
Andrea Rigoni, esperto di sicurezza e managing partner di Intellium, azienda impegnata nello sviluppo di strategie per la sicurezza cyber, ha affermato che “la priorità, al momento, è l’adozione di un approccio strategico: non serve cambiare la governance, bisogna migliorarla, seguendo le best practice di altri Paesi e imponendo un nuovo modello. Serve, insomma, una strategia nazionale estensiva”, ha affermato ancora Rigoni. “Le smart cities, smart cars, smart houses, sono tutte innovazioni che cambieranno le nostre vite” che rappresentano, ha chiosato Rigoni, “un’opportunità”, ma anche “un pericolo” da cui imparare a difendersi.
POLIZIA POSTALE
Roberto Di Legami, direttore della Polizia Postale e delle Comunicazioni, ha evidenziato però anche altri aspetti di quella che viene chiamata infosharing: “La maggiore connessione”, ha affermato Di Legami “aumenta i benefici ma anche le vulnerabilità”. Si pensi ad esempio, ha sottolineato, “a caldaie che comunicano con servizi di teleriscaldamento”. Ciò può portare “a una forte efficienza energetica”, ma è anche “un nuovo obiettivo per gli hacker”. C’è poi, come ha rimarcato Di Legami, una tematica riguardante la sensibilità degli utenti. “Il fattore umano è importantissimo. Molti attacchi, sopratutto quelli condotti con mail ingannevoli per sottrarre dati per truffe finanziarie, vanno in porto per la poca attenzione o conoscenza delle persone colpite”. Per questa ragione, ha concluso, “bisogna intensificare gli sforzi per diffondere una capillare cultura della sicurezza cibernetica”.
QUI TUTTE LE FOTO DEL CYBERSECURITY SUMMIT 2016
LA PRIVACY
“Sono tre elementi chiave del nuovo Regolamento generale sulla protezione dei dati personali”, ha affermato l’avvocato Giuseppe Busia, segretario generale del Garante per la protezione dei dati personali, “e questi riguardano i confini, la responsabilità e un diverso approccio culturale”. Busia faceva riferimento al Regolamento dell’Unione europea che, assieme alla direttiva, si prevede entrerà in vigore nella primavera del 2016 e sarà applicabile a partire dalla primavera del 2018.
Il primo elemento, ha detto Busia, è “la caduta dei confini”. Chiunque “offra servizi, anche se localizzato fuori dai confini Ue, dovrà seguire determinate regole”. Il secondo aspetto su cui si è soffermato il segretario generale del Garante per la protezione dei dati personali, è “basato sulla responsabilità dei titolari dei dati per cui tutti coloro che li utilizzano – ha rilevato Busia – avranno l’onere di proteggerli”, facendo attenzione “prima di tutto alle misure da adottare per garantire la loro sicurezza”. Ciò, ha aggiunto, “aprirà anche nuove opportunità professionali: ogni soggetto, sia esso pubblico o privato, dovrà dotarsi di un data protection officer”, una figura che assumerà una rilevanza strategica. Infine, ha concluso Busia, il terzo punto riguarda “la sfida culturale posta dal nuovo pacchetto di norme. La protezione dei dati diventa sempre più cruciale e lo dimostra anche la tendenza ad aumentare gli investimenti in questo ambito”. Busia ha concluso con un monito alle aziende: “Proteggere queste informazioni rappresenta infatti anche un elemento per competere: sempre più il successo delle aziende si misurerà anche in base alla loro capacità di proteggere i dati”.