Pubblichiamo un estratto tratto dal capitolo “2016, il rischio “cyber” diventa inaccettabile″ del rapporto 2016 Clusit sulla Sicurezza ICT in Italia a cura dell’Associazione Italiana per la Sicurezza Informatica

Nella seconda edizione del Rapporto CLUSIT, completata nel gennaio 2013, in merito all’impreparazione dell’Italia nei confronti delle crescenti minacce cibernetiche scrivevamo: “Mancano una adeguata consapevolezza da parte di tutti gli attori interessati, le competenze tecniche, il coinvolgimento delle parti sociali, della scuola, delle istituzioni e della politica, mancano gli investimenti e soprattutto manca la visione prospettica necessaria ad affrontare un problema tanto complesso, che richiede tempi di reazione rapidissimi e soluzioni multidisciplinari, coordinate, sofisticate, a fronte di un assalto continuo, su tutti i fronti, che va avanti 24 ore su 24 e che ormai costa alla nazione miliardi di euro all’anno di danni diretti ed indiretti. Riducendo sostanzialmente queste perdite si potrebbe recuperare quasi un punto di PIL: possiamo permetterci di non farlo?”.

A oltre 36 mesi di distanza dobbiamo rilevare due fenomeni contrastanti, i quali introducono timide ragioni di ottimismo in uno scenario che purtroppo, generalmente parlando, appare assai poco attraente, essendo nel frattempo sensibilmente peggiorato.

Da un lato proprio a partire dal 2013 l’Italia si è dotata di un “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” e quindi di un articolato “Piano nazionale per la protezione cibernetica e la sicurezza informatica”. Segnaliamo inoltre la pubblicazione, nel febbraio 2016, di un “Framework Nazionale di Cyber Security”, frutto di un’inedita partnership tra pubblico e privato, per una volta anticipando analoghe iniziative europee.

Dall’altro lato però in questi ultimi 36 mesi l’insicurezza cibernetica a livello globale (e pertanto anche in Italia) è cresciuta in modo significativo, le tipologie di aggressori si sono moltiplicate (pensiamo non solo al braccio “digitale” dell’Islamic State ma anche ad altri gruppi di spionaggio e information warfare) e le perdite economiche sono aumentate di 4 volte. Contestualmente si è assistito ad un fenomenale incremento della superficie di attacco esposta dalla nostra società digitale, sempre più iper-connessa, anche in conseguenza della massiccia adozione di nuove tecnologie “facili”, a basso costo, che sono intrinsecamente poco o per nulla sicure se confrontate con le capacità di nuocere degli avversari.

È innegabile che l’impiego spesso congiunto di queste tecnologie (in particolare Social Media, Cloud, Mobile ed Internet of Things) stia dando luogo ad una rivoluzione rapidissima dei processi produttivi, degli stili di vita e dei rapporti socio-economici. La velocità e l’intensità di questa rivoluzione sono però determinate principalmente da esigenze contingenti di business, che quasi mai includono la Cyber Security tra le reali priorità di progetto ed esercizio di un processo produttivo o di un servizio; ciò avviene per ragioni culturali, economiche e perché non sussistono obblighi particolari in tal senso. D’altra parte le organizzazioni sono da anni alle prese con tagli di budget volti ad ottimizzare la spesa ICT: la risultante di queste due dinamiche è che le innumerevoli, crescenti applicazioni delle nuove tecnologie sono inevitabilmente soggette a rischi sempre maggiori, malamente o per nulla gestiti, gli impatti dei quali naturalmente ricadono sui loro gestori, sui loro utenti e potenzialmente, per effetto-domino, sull’intera collettività.

Pur rallegrandoci quindi per l’oggettivo miglioramento della situazione nazionale, quantomeno in prospettiva, dobbiamo rilevare con forte preoccupazione che la velocità e la determinazione con le quali si stanno muovendo Istituzioni, imprese e cittadini rispetto alla dimensione ed alle possibili conseguenze dell’attuale minaccia cibernetica non sono ancora in grado di fare la differenza. Le risorse, le competenze e gli investimenti necessari non sono ancora disponibili in misura sufficiente: per dare un’idea, pur fatte le debite proporzioni, il budget 2016 per il Cybersecurity National Action Plan (CNAP) recentemente sottoposto dal Presidente Obama al Congresso USA è di 19 miliardi di dollari, cifra che non include le “cyber” spese militari e di intelligence. Da noi invece non si è ancora raggiunto il necessario equilibrio tra investimenti, stimoli (p.es. agevolazioni fiscali o di altro tipo per le organizzazioni virtuose) ed oneri (p.es. sanzioni e conseguenze legali per quelle non virtuose). Tutta la questione in Italia galleggia ancora in un limbo dal quale è essenziale che si esca al più presto, essendosi nel frattempo esaurito il tempo per le tattiche, il lobbying sterile, le burocrazie e le manovre politiche.

Soprattutto da parte dell’Esecutivo, pur rilevando segnali di un rinnovato interesse del Governo per la materia, stimolato anche dall’imminente approvazione della Network and Information Security (NIS) Directive europea, non è stata ancora messa a regime una operatività univoca e condivisa tra i vari elementi che costituiscono l’architettura istituzionale di sicurezza cibernetica, il che determina impatti deteriori non solo sulla sicurezza ma anche sulla credibilità complessiva del Paese nei confronti di alleati ed avversari, che ci osservano attentamente, misurandoci ogni giorno sul campo.

Va detto pertanto a chiare lettere, come si evincerà anche dai dati presentati più avanti, che negli ultimi 3 anni il divario tra percezione dei rischi “cyber” e realtà, e la forbice tra la gravità di questi rischi e l’efficacia delle contromisure poste in essere si sono ulteriormente allargati, non ridotti.

Sintetizzando, nella situazione attuale i crescenti rischi “cyber” non sono ancora gestiti in modo efficace, ovvero sono fuori controllo, ed in quanto tali, per la stessa definizione di rischio, devono essere considerati inaccettabili.