Michele PinassiTL;DR Il CSIRT nazionale pubblica bollettini critici per allertare aziende e istituzioni italiane sul rischio degli attacchi informatici, a causa anche dell’escalation del conflito russo-ucraino. Sembra però mancare la necessaria consapevolezza del problema, tanto da relegare gli aspetti di cybersecurity al soluzionismo tecnologico, ignorando che l’elemento critico è proprio quello umano.
“La sicurezza dipende non tanto da quanto hai ma
da quanto puoi fare senza.”
Joseph Wood Krutch
“Il tentativo di istituire la figura di Chief Digital Officer “a costo zero” è chiaramente fallito. È di tutta evidenza che le figure necessarie non sono presenti all’interno della PA, nonostante, come detto, la normativa prevedesse figure analoghe sin dal 1993 e quindi non vi è alcuna giustificazione per una mancata politica di assunzione in quasi 25 anni. Il costo, però, di un protrarsi della mancanza di giuste competenze nei livelli apicali, con la conseguente esternalizzazione del know-how e l’impossibilità di una reale interlocuzione tra pari con i fornitori, è un costo di gran lunga superiore a quello necessario ad una deroga del blocco delle assunzioni per figure con adeguate competenze tecnologiche, manageriali e di informatica giuridica. È inutile ricordare che i costi della mancata transizione alla modalità operativa digitale sono stimabili in miliardi di euro e non è pensabile continuare a sostenerli a causa di una visione miope che pretende di operare una tale trasformazione senza avere la risorsa più importante in questo processo: il capitale umano.“
Parole come pietre, quelle scritte dai commissari della Commissione di Inchiesta Parlamentare sulla Digitalizzazione e l’Innovazione nella PA nella relazione finale, datata 13 febbraio 2020. Parole che descrivono una situazione drammatica per le PA italiane, incapaci anche solo di comprendere adeguatamente fenomeni come la digitalizzazione dei processi. Figuriamoci per la comprensione di fenomeni complessi come la cybersecurity, a cui la neonata Agenzia Cybersicurezza Nazionale cerca di porre, seppur con un ritardo spaventoso e in solitudine nel panorama nazionale, rimedio.
È un ritardo culturale che il Paese paga molto caro, non solo come mancato sviluppo dell’innovazione e degli strumenti di semplificazione che servirebbero a razionalizzare le risorse e snellire i complessi processi burocratici. Il costo maggiore lo si ha in termini di competitività con quei Paesi che, a differenza di noi, hanno già implementato processi e politiche di digitalizzazione e di sicurezza informatica, necessari sia per tutelare gli assets che l’operatività dei sistemi e la protezione dei dati.
Sono questi gli aspetti critici che in questi giorni, complice l’escalation del conflitto russo-ucraino, vengono sottolineati anche dal CSIRT nazionale (Computer Security Incident Response Team) attraverso gli alert diramati a tutte le realtà, sia pubbliche che private, del Paese.
Alerts che, temo, saranno poco più che vox clamans in deserto. Il deserto culturale di un contesto impreparato e inadeguato, soprattutto perché totalmente inconsapevole del rischio che sta correndo.
Provate a immaginarvi come sarebbe se le automobili in circolazione per le nostre strade fossero condotte da persone senza patente? Se camion e bilici da svariate tonnellate fossero guidati da autisti che non hanno conseguito alcuna certificazione? Sarebbe il caos, con incidenti, feriti e vittime.
Nel mondo digitale un attacco cyber non fa rumore. Non esce sangue e non ci sono fiori a ricordo delle vittime. Non vanno in frantumi i vetri e non si vedono i segni degli incidenti sull’asfalto.
Nel mondo digitale gli incidenti informatici, talvolta, non vengono neppure scoperti. E spesso passano molti giorni prima che un incidente venga scoperto e siano, quindi, prese le opportune azioni di mitigazione anche a tutela degli interessati.
Un cyber-attacco è una vera e propria operazione di guerra (cyber warfare) che si sviluppa attraverso la nosttra connessione a Internet. E oggi, chiunque abbia anche solo un dispositivo connesso a Internet può esserne sia vittima che (inconsapevole) complice.
Il Word Economic Forum, nel Global Risks Report 2021 appena pubblicato, riferisce che la cybersecurity è un aspetto critico della società di oggi per il 39% degli intervistati.
Sembra quindi esserci una certa percezione del rischio, almeno a livello mondiale. Ma in Italia, possiamo dire che il 39% della popolazione è consapevole dei rischi cyber? Ha gli strumenti culturali adeguati a comprendere i rischi derivanti dall’uso di dispositivi connessi a Internet, come ad esempio lo smartphone o l’home assistant piazzato in salotto?
Se chiunque comprende il rischio di lasciare l’auto parcheggiata senza chiuderla a chiave, quanti comprendono i rischi di usare uno smartphone senza il blocco dello schermo o il PIN per la SIM?
Sembra esserci una innata fiducia nelle tecnologie informatiche che porta gli utenti a credere ciecamente della loro infallibilità. Del resto, sono strumenti digitali, altamente tecnologici, perfetti e precisi.
Ed è vero, lo sono (Al netto di eventuali errori di programmazione introdotti dagli sviluppatori).
Infatti, almeno secondo il DBIR 2021 di Verizon, l’85% degli incidenti informatici coinvolge un operatore umano e oltre il 60% è causato da un furto o abuso di credenziali: sono gli esseri umani uno degli anelli deboli maggiormente sfruttati per gli attacchi informatici ai danni delle infrastrutture e dei sistemi. E lo sono anche perché non è stata ancora promossa una adeguata cultura in cybersecurity, ritenendola spesso solo un argomento tecnico, complesso, noioso e per pochi eletti.
Aziende e istituzioni, PA inclusa, non sempre hanno saputo vedere alla cybersecurity per quello che è: un fattore culturale. Che si traduce in buone pratiche, formazione, consapevolezza, policy e protocolli. Oltre che, ovviamente, personale tecnico specializzato, continuamente formato, capace e motivato, in grado di rispondere agli attacchi dei cybercriminali.
Non è un caso che anche la normativa Europea, con il Regolamento Europeo 679/2016 “GDPR”, abbia introdotto dei principi rivoluzionari nella cybersicurezza dei sistemi informatici, come la responsabilità del Titolare nell’adottare misure tecniche e organizzative adeguate che la security by design.
Purtroppo, il futuro non sembra offrire grandi speranze: l’Agenzia Cybersecurity Nazionale prevede di concludere la sua prima fase di reclutamento delle 300 unità di personale nel dicembre 2023 mentre, sempre nel triennio 2021-2023, il Piano Triennale per l’Informatica nella PA non mi pare che brilli per particolare innovazione nell’ambito della sicurezza informatica. Al di là dei proclami televisivi e delle belle parole piene di propositi nei convegni sul tema, che ultimamente vanno particolarmente di moda, di concreto si vede ben poco.
Mi veniva da sorridere leggendo gli alerts pubblicati sul sito del CSIRT nazionale, perché pensavo ad alcuni contesti, anche della PA, dove a fronte dell’uso quotidiano di sistemi informatici per l’espletamento delle pratiche burocratiche, non vi sono unità di personale ICT dedicate sia all’assistenza che, men che mai, alla cybersecurity. Contesti in cui non vi è consapevolezza né capacità di comprendere a pieno avvisi di questo tipo, che spesso sfociano in situazione kafkiane come quella in cui, ad esempio, ai dipendenti delle ASL di Regione Lazio (tra l’altro, colpita nel 2021 da un ransomware) viene ordinato di “spegnere i PC a fine giornata”.
Hai trovato utile questo articolo?
