La rapida espansione dell’Ict, dagli utilizzi più complessi agli oggetti di uso quotidiano, comporta un aumento del rischio di attacchi cyber e di furto dei dati personali. La cyber security svolgerà, dunque, un ruolo centrale per proteggere i sistemi Ict fin dalla loro progettazione.
La (cosiddetta) quarta rivoluzione industriale ha definitivamente sancito la dipendenza dalle Information and communication technologies (Ict) dell’economia e degli altri settori e infrastrutture critiche considerati essenziali per il funzionamento di un Paese (energia, trasporti, sanità, finanza).
PERCHÉ È IMPORTANTE
Il fenomeno dell’internet of things descrive l’ulteriore espansione delle Ict all’ambiente “non biologico” che implica la connessione alla grande rete di oggetti, impianti, strumenti, processi, ma anche l’ampliamento del perimetro di violazione offerto a eventi e comportamenti (hacking “non etico”, errore umano, fenomeni naturali).
TUTELARSI FIN DAL PRINCIPIO
La cyber security – la sicurezza delle risorse informatiche connesse a internet – svolge dunque un ruolo centrale in una società globale il cui funzionamento dipende dalle Ict. Il che implica che i sistemi di Ict siano progettati secondo un principio di cyber security by design – principio mutuato dalla disciplina del Gdpr applicata al trattamento dei dati personali – che riguardi la protezione dei dati (personali e non) e dei servizi.
In questa prospettiva, la progettazione tecnica dei predetti sistemi in chiave cyber security va necessariamente affidata ai produttori di tecnologie che possono basarsi su standard che prevedono una analisi dei rischi e l’integrazione nei sistemi di Ict di misure tecniche idonee a minimizzare/mitigare tali rischi. Il resto della progettualità è di tipo organizzativo-comportamentale, ed è rimessa alle organizzazioni che acquistano i sistemi di Ict.
SCARSA PREVENZIONE
I casi di violazione della sicurezza informatica si susseguono ormai in una sorta di escalation che non sembra volersi arrestare. In una buona parte di questi casi le misure tecniche e organizzative richieste dalle discipline di settore (la direttiva Nis, Networ and information security e il Gdpr) probabilmente non vengono applicate nella giusta dose. Il che fa presumere una certa leggerezza con cui le organizzazioni si confrontano con la prospettiva di una data breach o di un denial of service e delle loro conseguenze anche sul piano della loro stessa reputazione; una leggerezza che è espressione dell’assenza di una cultura del rischio.
Occorre allora una politica di incoraggiamento delle organizzazioni a un approccio basato sul rischio (es. linee guida, raccomandazioni), e dunque ad adottare misure di prevenzione delle minacce che incombono su dati e servizi, e misure che possano comunque neutralizzare gli effetti di tali minacce se queste, malgrado tutto, comunque si verificano.
(Articolo pubblicato su Competere)
