Cambiano gli scenari in tema di Cyber Security in Italia e in Europa: dal prossimo maggio anche il nostro Paese recepirà la direttiva NIS che prevede l’innalzamento degli standard di sicurezza dei singoli Stati dell’Unione, la condivisione delle criticità e l’obbligo di rendere noti incidenti gravi da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali. Nello stesso mese entrerà in vigore anche il regolamento europeo GDPR (General Data Protection Regulation) che ha lo scopo di spingere le aziende a gestire al meglio il trattamento dei dati personali. Questa concomitanza di scadenze potrebbe rivoluzionare – almeno questa è la speranza – il modo in cui aziende e pubblica amministrazione gestiscono oggi la sicurezza delle informazioni e della produzione. Di tutto questo si è parlato ieri a Roma nel corso del Cybersecurity Summit 2018 organizzato da The Innovation Group.
Indice degli argomenti
GDPR e Industry 4.0
Computer obsoleti non più aggiornabili, vulnerabilità dei sistemi SCADA/ICS, dispositivi IIoT, reti wireless poco sicure: questi i fattori di rischio del sistema produttivo delle aziende sottolineati da Raoul Brenna, Responsabile della Pratice Information Security & Infrastructures del Cefriel, la società consortile promossa dal Politecnico di Milano. Le aziende di fatto scontano un ritardo sistemico rispetto al tema della cybersicurezza e la pianificazione degli interventi per ristabilire standard minimi è fortemente condizionata, a volte, dall’impossibilità di eseguire patching proprio a causa della vetustà dei device e delle reti.
A rendere più critico ogni tipo d’intervento è anche la scarsa attenzione delle aziende rispetto alla protezione dei propri dati e di quelli di terzi, protezione spesso affidata a soluzioni commerciali e facilmente vulnerabili. Pratiche che esporranno, nell’immediato futuro, il responsabile del trattamento dei dati personali a rischi piuttosto seri. In caso di attacchi di ingente entità con furto di dati sensibili, dovrà subito rendere noto l’accaduto ai diretti interessati e all’Autorità garante, con l’effetto pratico – e non proprio positivo – di determinare una caduta della fiducia degli utenti/consumatori rispetto al brand di cui è responsabile.
Direttiva NIS e Pubblica Amministrazione
Anche se il decreto che recepisce la direttiva NIS non prevede direttamente il coinvolgimento della P.A., il sistema pubblico è in ogni caso chiamato a fare la sua parte come attore principale nell’erogazione di servizi essenziali nei settori dei trasporti, dell’energia e dell’acqua. E non solo.
Una sfida che il nostro Paese ha accettato già dal 2013 con il decreto dell’allora Presidente del Consiglio Mario Monti, che consentì al Paese di dotarsi della prima definizione di un’architettura di sicurezza cibernetica nazionale e di protezione delle infrastrutture critiche. Dell’anno scorso invece il decreto voluto dal Governo Gentiloni che, di fatto, ha ribadito la centralità del Comitato Interministeriale per la Sicurezza della Repubblica, ma ha anche armonizzato ruoli e competenze con il Dipartimento delle Informazioni per la Sicurezza che dovrà farsi carico di fungere da punto di riferimento per tutti i soggetti pubblici e privati impegnati a garantire la sicurezza delle reti.
“Non siamo all’anno zero –ha spiegato Mario Terranova, Dirigente Responsabile Area sistemi di AgID, l’Agenzia per l’Italia Digitale – l’Italia ha l’architettura di sicurezza, il piano strategico e un piano nazionale, ma fa i conti con la mancanza di fondi e di figure all’altezza del compito”. Secondo Terranova, infatti, uno dei punti critici per la realizzazione di un sistema di sicurezza è l’individuazione di profili professionali adatti a a tale scopo. “Abbiamo fatto un recruiting per individuare 15 figure da inserire nell’organigramma CERT – ha spiegato Terranova– ma non ne abbiamo trovata nemmeno una”.
Argomenti che non hanno convinto Gianluca Varisco, Responsabile Cybersecurity del Team per la trasformazione Digitale del Governo, secondo cui la Pubblica Amministrazione sconta una progettazione delle reti non in linea con gli standard di sicurezza. Poca formazione del personale, pochi aggiornamenti dei sistemi, interconnessioni dei network che determinano la loro vulnerabilità. Non solo: a rendere più critica la situazione interviene il sistema di esternalizzazioni di alcuni servizi della P.A. che di fatto sottrae dati sensibili dal controllo diretto.