Le filiere di approvvigionamento costituiscono uno dei punti nevralgici per la sicurezza cibernetica, gli anelli più vulnerabili di una catena sempre più globale e interconnessa. Più di una intrusione su cinque nel 2023 ha avuto origine dalle aziende della supply chain, composta in larga misura da Pmi digitalizzate, ma scarsamente protette. Queste realtà andranno allora supportate verso soluzioni di cyber-security alla loro portata che consentano di elevare progressivamente il livello di sicurezza. L’analisi pubblicata sul numero di aprile di Airpress dell’amministratore delegato di Cy4Gate, Emanuele Galtieri
Nell’attuale scenario globale, caratterizzato da una crescente digitalizzazione e da una conseguente espansione della superficie da difendere, l’Italia si conferma un target privilegiato per gli attacchi cibernetici. Con un incremento così rilevante delle incursioni, che secondo il rapporto Clusit nel 2023 ammonta al +11% a livello globale e al +65% per la sola Italia, non vi è più spazio per dubbi sull’interpretazione di un fenomeno sul quale il livello di allerta è stato ampiamente superato. I tempi di reazione dovranno essere immediati da parte di tutti gli stakeholder coinvolti (aziende, istituzioni, istituti di formazione e di ricerca, società civile).
E ciò perché la minaccia non si è evoluta solo nell’aspetto quantitativo: è la tipologia di incidenti malevoli, infatti, ad aver subito un peggioramento significativo nell’anno appena trascorso in cui gli attacchi classificabili come critici o gravi hanno rappresentato oltre l’81% del totale, anche qui in netto aumento rispetto al 47% del 2019. Il quadro che emerge dal menzionato rapporto Clusit è poco rassicurante per il livello di insicurezza reale e percepita nel dominio digitale che, ad oggi, non trova risposte adeguate in termini di misure di contrasto e reazione, nonostante i lodevoli sforzi in atto per colmare il gap accumulatosi nel corso di anni.
Una prima importante riflessione è che in Italia, ma direi globalmente, le grandi aziende, le multinazionali, le realtà che ricadono nell’ambito delle infrastrutture critiche o nel cosiddetto perimetro cibernetico sono pronte a fronteggiare la minaccia. Queste, però, rappresentano soltanto una piccola parte della superficie digitale attaccabile. L’attenzione va spostata sulle Pmi, che oggi impiegano l’80% della forza-lavoro nazionale e pesano per un 70% del fatturato complessivo delle aziende in Italia. Sono loro le cosiddette filiere di approvvigionamento e costituiscono uno dei punti nevralgici per la sicurezza cibernetica, gli anelli più vulnerabili di una catena sempre più globale e interconnessa.
In questi ultimi anni le Pmi hanno fatto propria l’esigenza di digitalizzarsi per rimanere competitive. Poco, però, è stato fatto per irrobustire le loro mura cibernetiche: più di una intrusione su cinque nel 2023 ha avuto origine proprio dalla supply chain. Il dato evidenzia come quest’ultima sia diventata e sempre più sarà in futuro un obiettivo facile e privilegiato per i cyber-criminali, vista la minor complessità e il minor costo delle tecnologie necessarie a bucare reti poco protette. La filiera, composta dunque in larga misura da Pmi, gioca e giocherà sempre più un ruolo cruciale nel garantire la vera impermeabilizzazione dell’ecosistema nazionale della sicurezza cibernetica. E su questo fronte ancora molto resta da fare se è vero che un recente disegno di legge (il numero 1717 recante Disposizioni in materia di rafforzamento della cyber-sicurezza nazionale e di reati informatici) ancora in discussione in Parlamento, all’articolo 18 parla di “invarianza finanziaria”, e richiede che “dall’attuazione della legge non devono derivare nuovi o maggiori oneri a carico della finanza pubblica e le amministrazioni competenti provvedono agli adempimenti previsti con le risorse umane, strumentali e finanziarie disponibili”, sebbene sia già noto che le risorse attuali sono insufficienti a colmare il gap accumulato in anni di ritardi negli investimenti.
In questo contesto le Pmi andranno allora supportate verso soluzioni di cyber-security alla loro portata e la cosiddetta servitization rappresenta la soluzione a tendere, realizzabile spostando l’attenzione dall’acquisto di prodotti e tecnologie gestiti, con i managed security service providers (Mssp), che consentiranno di elevare progressivamente il livello di sicurezza dei singoli e del sistema-impresa.
Seconda importante riflessione è quella sul ruolo delle grandi realtà industriali. Non si può non coinvolgerle, poiché hanno il dovere non solo di promuovere la cultura della sicurezza e della prevenzione verso la loro supply chain ma anche di pensare a forme di supporto e incentivazione per sostenere il percorso di consolidamento del perimetro cibernetico dei propri fornitori.
E infine, un breve focus su come i nuovi modelli di business della criminalità informatica stanno ridisegnando il panorama della minaccia: si va verso la democratizzazione del crimine digitale. La facilità con cui si riescono a realizzare attacchi del tipo distributed denial of service (Ddos) al costo per gli attaccanti di dieci, venti dollari ad attività o la semplicità con cui ci si può procurare i ransomware as a service (modello di business del crimine informatico in base al quale gli sviluppatori di ransomware vendono il proprio malware ad altri hacker meno esperti) è emblematica di come il cyber-crime si sia evoluto in termini di capacità operative e impatto.
Non sarà mai eccessivo ripetere che ci si trova dinanzi a una minaccia che nel gergo militare non si esiterebbe a definire “volatile, incerta, complessa e ambigua” per i tanti diversi attori che ne sono coinvolti e per le modalità con cui si manifesta. Serve una seria chiamata alle armi da parte di tutti gli stakeholder per implementare azioni coordinate e affrontare a livello olistico e secondo un approccio sistemico questo campo minato, spaziando dalla formazione alla prevenzione e alla risposta agli incidenti, sviluppando una capacità di deterrenza e adottando contromisure che rendano sempre meno agevole e conveniente la professione di threat actor.