Attacchi cyber? Spesso le piccole e medie imprese non li denunciano neppure. Mauro Obinu (ex Aisi) spiega che cosa perdiamo se non investiamo in sicurezza cibernetica
Il caso dell’attacco cyber a Leonardo dimostra, come abbiamo evidenziato su Formiche.net, che una grande azienda ha gli strumenti per affrontare minacce di questo tipo. Ma che cosa avviene in tutte le piccole e medie imprese del nostro Paese? Aziende che formano una fetta importante del tessuto imprenditoriale del nostro Paese ma che non sembrano sufficientemente attrezzate per affrontare le minacce cibernetiche. Pensiamo, per esempio, a quelle che compongono la supply chain della stessa Leonardo e che rappresentano dunque realtà strategiche e sensibili. Mentre la politica litiga sull’Istituto italiano di cybersicurezza (e sembra farlo senza neppure entrare troppo nel merito), senza investimenti in questo settore il nostro Paese rischia di perdere competitività e di diventare l’anello debole della Nato.
Mauro Obinu, ufficiale dell’Arma dei Carabinieri in congedo con un passato nell’Aisi e oggi vicepresidente di Humint Consulting, spiega a Formiche.net che “per prevenire predazioni come quella avvenuta” contro Leonardo — che è “sicuramente attrezzata per questo” — serve “un costante impegno umano”. Ma serve anche, continua, “tenere conto che dietro una vicenda del genere vi è stato un probabile avvicinamento da parte di entità competitive ovvero di entità statuali, che hanno probabilmente eterodiretto le condotte predatorie oggi addebitate agli indagati”. In tal senso, aggiunge, dobbiamo attendere l’attività investigativa per l’individuazione di un quadro-mandante.
Il problema è che non tutte le realtà, spiega Obinu, “hanno il ‘coraggio di denunciare’” queste attività predatorie: “Molte volte si tende a mettere la polvere sotto il tappeto per evitare di venire additati come soggetti impreparati rispetto a questo tipo di attacchi. Leonardo ha fatto, invece, ciò che doveva fare e gli va riconosciuto il merito”. Particolare preoccupazione è rivolta, come detto, alle piccole e medie imprese: “Evitando di far di tutta l’erba un fascio, ritengo però vi sia ancora una forte insensibilità e inconsapevolezza sulla minaccia, che il corroborare i propri assetti di sicurezza venga ritenuto una spesa rimandabile”, aggiunge. “Quanto più emerge la sensibilità a dotarsi di una capacità di individuare i fronti di minaccia e prevenire, tanto più si assicura il prodotto e il capitale intellettuale anche delle piccole e medie imprese, che costituiscono la filiera delle grandi realtà”.
Responsabilità, anche della politica? “Da un paio d’anni l’attenzione sulla sicurezza, anche informatica, del sistema Paese è molto cresciuta”, continua Obinu. “Si sono fatti passi avanti, anche con un’architettura giuridica di tipo organizzativo che fa capo al Dis piuttosto che con tavoli tecnici. Spesso, però, ci si accontenta di tavoli, di think tank che accendono lanterne sui campi di battaglia. Ma poi ciò non viene declinato in investimenti, informazione specifica di lungo respiro, eccetera”. In sintesi, conclude, “oggi non mancano le norme di linguaggio per identificare la minaccia. Manca la loro traduzione”.
