Rapporto Clusit 2018: cyber crime fuori controllo

della Redazione

L’andamento della cyber-insicurezza ha toccato nel 2017 livelli inimmaginabili solo fino a qualche tempo fa. Questo è vero sia a livello quantitativo, sia qualitativo. Oltre un migliaio (1.127 per la precisione) sono stati infatti gli attacchi “gravi” - ovvero con impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili - registrati ed analizzati lo scorso anno da Clusit1 (Associazione Italiana per la Sicurezza Informatica) a livello mondiale. Il 21% di questi è stato classificato dagli stessi esperti Clusit di impatto “critico”. E altrettanto preoccupanti sono i trend ipotizzati dal Clusit per il 2018.

Secondo le analisi del Clusit, anche nel 2018 fenomeni malevoli come il pishing saranno in notevole crescita. Non solo: i malware per le piattaforme mobili saranno sempre più diffusi e sofisticati e l’IoT mostrerà sempre più ampi margini di insicurezza, con rischi sistemici crescenti. La discesa in campo degli Stati genererà, per converso, un aumento della “cyber tensione” caratterizzata da cyber crime sempre più aggressivo e organizzato, crescenti attività di propaganda, PsyOps e alterazione della percezione, supportata anche da cyber attacchi. In uno scenario francamente preoccupante, ed in vista di un nuovo regolamento privacy dinanzi al quale le aziende italiane appaiono perlopiù impreparate o inconsapevoli dell’impatto della normativa sulle organizzazioni, abbiamo rivolto alcune domande ad Alessio Pennasilico, membro del Comitato Direttivo Clusit.

CONVERGENZA FISICA E LOGICA

Il primo tema di approfondimento rappresenta un punto essenziale delle politiche editoriali di a&s Italy: la convergenza tra security fisica e logica. Come si approccia un ente come il Clusit a queste dinamiche, che hanno rivoluzionato il modo di fare sicurezza, ampliando grandemente gli orizzonti tradizionali, ma portando anche una serie di problematiche decisamente nuove per il settore?

“La sicurezza fisica è da sempre un punto molto importante per garantire anche la sicurezza delle informazioni. C’è stato un momento in cui il suo rilievo era minore perché molti oggetti erano disconnessi da internet e i servizi, basti pensare al cloud, non erano così facilmente attaccabili da un punto di vista fisico. Oggi stiamo invece assistendo a un network di oggetti, un tempo scollegati in rete e che oggi sono sempre più connessi: per fare un esempio consumer, ora è possibile comprare solo lo smart tv. Non esiste più la televisione tradizionale. Il problema non è quindi tanto quello di proteggere dall’accesso fisico a questi oggetti, quanto il fatto che attaccare questi stessi oggetti determina conseguenze nel mondo delle cose”.

Un fatto, questo, unito a tutte le implicazioni legate all’incedere dell’IoT, che ovviamente non lascia indifferente il mondo della normazione, con l’imminenza del GDPR ad incidere sul business della cybersecurity, ma anche dei produttori di antivirus, dei softwaristi e ovviamente dei privacy officer.

“Il GDPR coinvolge tutte queste figure a diverso livello – precisa Pennasilico. “Coinvolge gli avvocati perché è impensabile fare notifiche, ottenere consensi o altro senza supporto di un legale, ad esempio. Deve coinvolgere le persone che si occupano di organizzazione aziendale perché fondamentalmente il GDPR parla di processi, quindi serve qualcuno che poi metta in campo dei processi corretti; coinvolge infine i tecnici perché anche gli strumenti devono essere adeguati e funzionare in un determinato modo. Il GDPR sta dando da lavorare un po’ a tutti: non a caso la spesa IT è aumentata del 12%, mentre la parte dedicata alla security resta intorno all’1%.”

GDPR

E in termini di preparazione, quali competenze sono richieste dal GDPR a chi deve occuparsi di sicurezza delle informazioni? “Oggi non è pensabile un approccio parziale a questi temi. Il tecnico da solo non può fare nulla, non solo in riferimento al GDPR, ma anche per porre una qualsiasi organizzazione aziendale in condizione di sicurezza. Occorrono figure con una competenza tecnica, essenziale anche per chi si occupa di produzione in ambito industriale. Per far funzionare correttamente un’azienda non basta immaginare quali possano essere gli attacchi possibili provenienti dall’esterno: occorre preservare la continuità di servizio, evitando che determinati eventi possano interrompere processi di efficienza. Alcuni possono essere attacchi provenienti dall’esterno, ma possono essere attacchi che hanno un’origine interna o, ancora, essere dei guasti. Non è possibile affrontare questi temi se non con il supporto di specialisti che abbiano un approccio multidisciplinare e che si parlino tra loro. Nel caso del Regolamento, è imprescindibile che un’organizzazione conti su uno specialista che possieda un ampio bagaglio di conoscenze e competenze, legali e tecniche” - conclude Pennasilico.

Il Rapporto Clusit è stato presentato a Security Summit di Milano. I prossimi appuntamenti con il convegno saranno a Treviso il 16 maggio, con interventi modulati sulla specificità della piccola e media impresa locale, e a Roma il 6 e 7 giugno, con particolare focus sulle peculiarità dei sistemi di sanità e pubblica amministrazione. Ultima tappa a Verona il 4 ottobre, dove è in programma l’importante aggiornamento semestrale dei dati del Rapporto Clusit, con attenzione specifica alle tendenze in tema di sicurezza cyber riscontrate durante l’anno, soprattutto nella media impresa.