Il ruolo della security aziendale deve evolversi e istituzionalizzarsi per garantire la sicurezza nazionale. Andrea Chittaro, presidente dell’Associazione Italiana Professionisti Sicurezza Aziendale (Aipsa), commenta l’attacco cyber subito da Leonardo
La notizia dell’attacco subito da Leonardo a opera di un agente insider ha creato il consueto, rumoroso dibattito tra commentatori senza che, però, si siano chiariti i dettagli della vicenda e nemmeno quale sia stato l’esatto ruolo della società nelle attività di prevenzione e reazione a tale accadimento.
Chi ha avuto modo di leggere gli unici atti affidabili, allo stato dell’arte, vale a dire il provvedimento che dispone misure cautelari nei confronti di un ex dipendente e di un funzionario interno, si è fatto l’idea di un quadro investigativo ancora privo di molte risposte.
Non si comprende bene, in effetti, quale sia stato il vantaggio diretto e indiretto che questa esfiltrazione di dati abbia portato in dote al presunto autore né, tanto meno, quali siano state le informazioni davvero strategiche sottratte, che nel gergo di una società quotata potremmo definire price sensitive. Atteso che oggi il titolo Leonardo appare poco mosso, in linea con l’andamento borsistico, e incassa pure un giudizio buy da parte di Equita Sim che analizza con la lente dell’investitore la vicenda de qua.
Fatta questa premessa e lasciando doverosamente la magistratura al suo lavoro, sembra logico interrogarsi sulle modalità con le quali questi accadimenti sono maturati, più di cinque anni fa. E se vi fossero, ora come all’epoca, meccanismi idonei di controllo per prevenire attività che, indipendentemente dalla loro concreta portata, si sono rivelate idonee a creare un senso di diffuso sgomento.
A maggior ragione parlando di uno dei campioni nazionali nel campo della difesa e della cybersecurity.
Orbene, senza valutare aspetti di natura tecnica e procedurale sui quali si rischierebbe, non conoscendone l’esatto contenuto, quell’approssimazione che nessun vantaggio porta al ragionamento da tempo al centro delle ipotesi sul ruolo delle organizzazioni di security aziendale nell’ecosistema della sicurezza nazionale, forse è bene interrogarsi su quali potevano e potrebbero essere i presidi preventivi adeguati al caso di specie.
In particolare, ci si potrebbe domandare se, nell’attribuzione di incarichi di una certa rilevanza e delicatezza nelle funzioni di security, non si rendesse necessaria una forma di vetting mandatoria, magari frutto di modalità combinate tra pubblico e privato.
E questo aspetto pare ancor più rilevare alla luce della qualificazione di “pubblico ufficiale” o “incaricato di pubblico servizio” che il gip di Napoli ha inteso attribuire al personale della direzione sicurezza di Leonardo, attraverso ampi richiami alla direttiva 114/2008, alla Direttiva Nis e quanto alla natura pubblicistica e strategica della struttura organizzativa della cyber security corporate di Leonardo spa.
Se dovesse assumersi la bontà di una tale impostazione giuridica, sembrerebbero maturi i tempi per ipotizzare che una società, ancorché gestita in regime privatistico, ottenga dalle Autorità di sicurezza nazionale una verifica preventiva (esempio: Nos) sulle persone da adibire a determinati incarichi, ove si consideri che l’autonoma capacità di background check di un soggetto privato trova limiti insuperabili nella normativa sulla privacy e può, comunque, giovarsi solo di informazioni raccolte da fonti open source.
E questo potrebbe costituire un interessante elemento di confronto in un dibattito aperto da tempo sulla necessità di “istituzionalizzare” il ruolo della security aziendale proprio in ragione della delicatezza degli asset gestiti per l’interesse nazionale.
Una discussione totalmente priva di “interessi di parte” e votata solo alla realizzazione di un’architettura di protezione davvero efficace in tempi di minacce globalizzate che investono, indistintamente, istituzioni pubbliche, aziende o privati cittadini.
Un ruolo formale e trasparente con una logica win-win per Stato e aziende nel rispetto dei diversi ruoli e prerogative.
La cybersecurity, più che di libri dei sogni, ha bisogno di azioni concrete e a basso costo sociale.
Creare un circuito virtuoso ed efficiente tra pubblico e privato è una di queste.