Una maggiore consapevolezza dei rischi che si corrono in Rete è essenziale per la formazione di una corretta cultura informatica. A questi pericoli non sfuggono le Pmi, ancora poco sensibili al tema, ma alle quali non possono sfuggire pro e contro di un mercato globale, tanto in senso positivo, perché attraverso la rete Internet si garantiscono possibilità di business in ogni angolo del mondo, quanto in senso negativo, perché proprio questo genere di interconnessione apre la “porta” ad attacchi informatici provenienti da qualsiasi parte del globo e soprattutto con effetti “in tempo reale”.

Ecco i consigli per difendersi di Stefano Mele, avvocato e coordinatore dell’Osservatorio “InfoWarfare e Tecnologie emergenti” dell’Istituto Italiano di Studi Strategici ‘Niccolò Machiavelli’.

Nonostante gli obblighi normativi più che chiari e la mole di attacchi informatici che leggiamo quotidianamente sui giornali, perché le PMI non sembrano sensibili al problema della sicurezza informatica e della protezione delle loro informazioni?
A costo di sembrare banali e scontati, occorre ancor oggi evidenziare come l’approccio italiano al problema della sicurezza informatica e delle informazioni è purtroppo – salvo rari casi – esclusivamente di reazione e mai di prevenzione. La sicurezza, infatti, viene vista dalle aziende come un mero costo dagli scarsi benefici (soprattutto non immediatamente rilevabili) e mai come un vero e proprio investimento a garanzia del business e della propria competitività sul mercato.
Mercato che tra l’altro è globale, tanto in senso positivo, perché attraverso la rete Internet si garantiscono possibilità di business in ogni angolo del mondo, quanto in senso negativo, perché proprio questo genere di interconnessione apre la “porta” ad attacchi informatici provenienti da qualsiasi parte del globo e soprattutto con effetti “in tempo reale”.
Persino gli anacronistici e davvero elementari obblighi di sicurezza informatica presenti all’interno della normativa vigente in materia di privacy non riescono a sensibilizzare verso l’importanza di far fronte a queste minacce e a sbloccare una situazione che appare essere ormai – soprattutto nel mondo delle PMI – davvero di totale emergenza.

Di recente ha pubblicato sul sito dei nostri Servizi segreti un articolo dal titolo “Le best practice in materia di cyber-security per le PMI”. Perché ha deciso di realizzare uno studio di questo tipo? Che segnali hai avuto che ti hanno sensibilizzato?
La completa digitalizzazione delle informazioni – anche riservate – delle aziende, il loro conseguente accentramento, nonché soprattutto la scarsa percezione dei pericoli derivanti dall’utilizzo delle tecnologie informatiche, ha fatto sì che lo spionaggio elettronico costituisca – da dieci anni a questa parte – una delle principali minacce alla competitività economica delle aziende e, di conseguenza, anche alla sicurezza nazionale ed economica del nostro Paese.
Cercare di arginare questo genere di rischi, dunque, anche attraverso una corretta sensibilizzazione delle PMI in merito alle problematiche e ai rimedi in materia di sicurezza informatica e delle informazioni, rappresenta allora un’esigenza legata non soltanto alla importantissima tutela del know-how italiano e/o all’imprescindibile protezione dei dati personali trattati dall’azienda, ma costituisce oggi giorno anche un’azione volta anche ad agevolare il contrasto alle attività criminali, nonché a mantenere la competitività economica del nostro Paese e la sua sicurezza economica.

Come si può aumentare la loro consapevolezza? Con quali argomenti?
Gli unici argomenti validi per colmare questa lacuna sono quelli relativi alla promozione e diffusione a tutti i livelli – dal cittadino in su – della cultura della sicurezza informatica e delle informazioni.
Sotto questo punto di vista, sono da giudicare in maniera assolutamente positiva gli eccellenti sforzi che il nostro Sistema di Informazione per la Sicurezza della Repubblica sta mettendo in atto – ormai da oltre un anno – proprio nel campo della cosiddetta sicurezza cibernetica. Non è un caso che il nostro “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” (la nostra cyber-strategy, ndr) ponga tra i sei pilastri strategici fondamentali per potenziare le “capacità cibernetiche del Paese” proprio quello della “promozione e diffusione della cultura della sicurezza, sia tra i cittadini che all’interno delle istituzioni, anche attraverso un sempre maggiore coinvolgimento del mondo della ricerca e delle università, al fine di accrescere il livello di consapevolezza e di conoscenza della minaccia e dei relativi rischi”. A livello istituzionale, ad esempio, è un evidente esempio di questo impegno il fondamentale ruolo finora svolto dalla Scuola di formazione del DIS (Dipartimento delle Informazioni per la Sicurezza).
In definitiva, oggi più che mai occorre far comprendere realmente quanto la sicurezza cibernetica sia in maniera indiscutibile una componente fondamentale della sicurezza economica e della strategia economica di una nazione. E’ questo – allo stato attuale – il vero valore e il vero ruolo della cyber-security. Occorre, quindi, sensibilizzare il più possibile tutti gli attori – ovvero tutti i cittadini – sul reale ed altissimo valore economico e militare di questo settore, ponendo l’accento sì sulla protezione dei dati personali, ma ancor di più sulla messa in sicurezza e tutela delle informazioni che sono alla base del know-how italiano. Soltanto così potremo cominciare ad arginare il problema dello spionaggio elettronico: oggi giorno la vera minaccia alla sicurezza nazionale proveniente dal cyber-spazio.

Tornando al suo articolo “Le best practice in materia di cyber-security per le PMI“, lei all’interno elenca le 15 best practice che le PMI devono seguire per rendere più sicuri i loro sistemi informatici. Sono sufficienti, oppure rappresentano solo l’inizio di un processo ben più lungo?
La messa in sicurezza dei sistemi informatici e delle informazioni in essi contenute raramente può essere vista come un processo sintetizzabile in pochi principi, men che mai quando l’obiettivo è quello di renderli anche comuni per le esigenze di protezione di una categoria così trasversale e variegata com’è quella delle piccole e medie imprese in Italia.
Nonostante ciò, alcune regole primarie ed essenziali possono essere comunque delineate – come ho provato a fare nell’articolo – e poste alla base di un corretto approccio a questo genere di attività. Tuttavia, personalmente credo che anche solo applicare rigidamente le 15 best practice da me proposte all’interno di questo studio concorrerebbe a raggiungere un livello di sicurezza dei sistemi informatici molto elevato.