Cybersecurity: l’Italia ha dei problemi, ma cosa possono fare le aziende?
Risale al mese scorso la notizia di un ragazzino di quindici anni che, nella solitudine della propria cameretta a Cesena, è riuscito a cambiare non solo i propri voti scolastici, ma anche le rotte delle petroliere transitanti nel mar Mediterraneo.
Ma come è possibile che un singolo individuo (per altro nemmeno un esperto del settore) sia in grado di aggirare senza grosse difficoltà interi sistemi di sicurezza causando danni così gravi?
Questo avvenimento ci lascia più di uno spunto di riflessione per interrogarci su quali siano i reali problemi della cybersecurity nel nostro paese ma soprattutto su cosa possiamo (e dobbiamo) fare per risolverli.
Cosa troverai:
Baby Hacker: due casi concreti
L’allarme è partito dopo la violazione del sistema che governa le rotte di petroliere e navi da trasporto nel Mediterraneo, in seguito alla quale gli esperti di sicurezza dedicati sono riusciti a rintracciare il responsabile e a far partire una denuncia alla polizia postale.
Solo in seguito a questa denuncia è stato scoperto anche l’accesso non autorizzato al registro elettronico dell’istituto scolastico frequentato dal ragazzo, con l’obbiettivo (raggiunto) di modificare le proprie insufficienze.
Basta però fare due passi indietro nel tempo per rendersi conto che questo episodio non è isolato, e forse non è nemmeno il più grave. Nel 2022 Carmelo Miano (classe 2000) era riuscito ad entrare e a muoversi indisturbato nella rete del Ministero della Giustizia e della Procura di numerose province.
Il giovane avrebbe avuto accesso alle reti violandole con cadenza quasi quotidiana per ben due anni, con le credenziali di un “superutente”, ovvero quelle che garantiscono diritti completi su tutta la rete. Il tutto senza che nessuno se ne rendesse conto.
Durante tutto il periodo della sua infiltrazione, Miano sarebbe potuto entrare in contatto con dati riservati riguardanti indagini per mafia o terrorismo che, se esfiltrati, causerebbero enormi danni al sistema giudiziario.
Questi casi mettono in evidenza un problema di fondo nella gestione della cybersicurezza nel nostro paese. Come è possibile che singoli individui, al netto del loro talento, riescano da soli a sbaragliare indisturbati i sistemi di sicurezza di enti pubblici fondamentali come il Ministero di Giustizia? Sono loro ad essere dei veri e propri maghi dell’informatica o sono forse le nostre infrastrutture ad essere troppo vulnerabili e facili da attaccare?
Cybersecurity in Italia: i problemi da affrontare
Per rispondere a questa domanda partiamo analizzando più nel dettaglio quali sono i principali problemi della cyber sicurezza nel nostro paese, e come questi impattano sulla vulnerabilità e sulla resilienza delle nostre infrastrutture.
Dipendenza da società private e/o estere:
Sono molte in Italia le aziende e gli enti che fanno affidamento su fornitori privati di software e web services accessibili al pubblico da internet. Se non ricevono costanti aggiornamenti, questo tipo di software vedono aumentare drasticamente il proprio rischio di vulnerabilità.
Vulnerabilità sfruttate anche dal baby hacker di Cesena, che è riuscito ad aggirare proprio uno di questi servizi per accedere al registro elettronico, strumento che non viene gestito dal ministero dell’istruzione ma che viene erogato da società private a scelta dell’istituto scolastico.
Bisogna poi considerare la dipendenza del nostro paese da fornitori di servizi informatici extra-UE, che pone ulteriori problemi in termini di sicurezza, come sostenuto anche da Bruno Frattasi, Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), al convegno di ITalsec25.
Per mantenere un ruolo competitivo nel settore e migliorare la vulnerabilità delle nostre infrastrutture sistemiche è necessario che l’Italia investa di più nello sviluppo di tecnologie interne, guadagnandosi così l’autonomia strategica.
Tra i progetti di punta in questo senso troviamo Hypersoc, un’iniziativa progettata da ACN un collaborazione con CINECA che mette al centro l’intelligenza artificiale: il progetto è in fase di sviluppo con un centro di super calcolo presso a Napoli e permetterà di elaborare big data e condurre analisi predittive delle minacce.
Scarsa competenza della popolazione in ambito informatico
Come riporta un articolo di Cybersecurityitalia, sempre secondo Bruno Frattasi: “Il Paese soffre una carenza di competenze digitali. Più del 50% della popolazione ha competenze digitali di base insufficienti.”
Questa lacuna diffusa è allarmante, soprattutto perché tra i principali fattori di successo degli attacchi informatici troviamo l’errore umano.
Allo stesso modo delle competenze, a scarseggiare sono anche i professionisti di cybersecurity, con un conseguente rallentamento dello sviluppo non solo di questo settore ma di tutte le aziende che faticano a trovare figure di riferimento alle quali rivolgersi.
Per arginare questi problemi ACN sta lavorando all’ampliamento dell’offerta formativa sia negli istituti tecnologici ITS sia nelle università, con l’obbiettivo di diffondere la cultura della cybersecurity e di formare nuovi professionisti della sicurezza informatica.
Cosa possono fare le aziende?
Abbiamo visto quali sono i principali problemi della cybersecurity in Italia e come l’agenzia nazionale per la cybersicurezza (ACN) si stia muovendo per migliorarli. Ma cosa possono fare invece le organizzazioni?
Il primo passo è sicuramente quello di adottare una corretta gestione della sicurezza IT e dei dati, tenendo conto di misure tecniche e organizzative che sono fondamentali in tal senso. Tra queste rientrano:
1) Protezione del patrimonio informativo aziendale
Garantire la sicurezza e la protezione del patrimonio informativo significa prevenire violazioni, proteggere i dati e le informazioni delle parti interessate, la reputazione dell’Organizzazione e la sua continuità operativa. Tutto ciò si può ottenere attraverso una gestione strutturata delle informazioni all’interno dei processi di business e quelli di supporto, linee guida chiare e definite e l’adozione di tecnologie avanzate e cultura aziendale sul tema.
2) Garanzia RID: Riservatezza, Integrità e Disponibilità dei dati
La sicurezza delle informazioni si basa sul rispetto di tre principi cardine:
- Riservatezza: l’accesso ai dati è consentito alle sole persone autorizzate.
- Integrità: protezione delle informazioni da modifiche non autorizzate o accidentali.
- Disponibilità: garanzia che i dati siano accessibili quando necessario.
Il rispetto di questi tre principi è uno dei primi passi che ogni azienda dovrebbe compiere nel proprio percorso verso una corretta e strutturata gestione della sicurezza dei propri dati.
3) Controllo degli accessi logici: un elemento chiave
Un efficace sistema di controllo degli accessi previene violazioni e accessi non autorizzati. L’adozione di strumenti avanzati, come l’autenticazione a più fattori (MFA) e la gestione degli accessi basata su ruoli (RBAC), è essenziale per rafforzare la cybersecurity aziendale.
Conformità normativa: cybersecurity e information security
Esistono numerose normative relative al tema della sicurezza delle informazioni e alla cybersicurezza che le aziende possono implementare con il fine di garantire un’adeguata gestione delle infrastrutture IT del proprio patrimonio informativo. Tra queste troviamo:
Standard per la Sicurezza: ISO/IEC 27001:2022
L’ISO/IEC 27001:2022 è lo standard internazionale per la gestione della sicurezza delle informazioni. La sua adozione consente alle aziende di:
- Identificare e mitigare i rischi informatici.
- Definire ruoli e responsabilità all’interno del contesto aziendale
- Proteggere i dati sensibili e/o riservati da accessi non autorizzati.
- Garantire una corretta gestione dei fornitori in materia di sicurezza delle informazioni.
- Accrescere la fiducia di clienti e delle parti interessate.
- Creare awareness e cultura aziendale in materia di sicurezza delle informazioni
- Implementare un processo di miglioramento continuo nella gestione della sicurezza.
Direttiva NIS2
Questa normativa, introdotta a livello Europeo, mira a dare forma ad uno standard di sicurezza informatica comune a tutti gli stati dell’unione. La Direttiva introduce una serie di misure minime che aziende e pubbliche amministrazioni operanti in settori ritenuti ad alto rischio devono adottare per garantire la propria conformità agli standard.
La mossa giusta per ogni azienda: affidarsi agli esperti
Casi come quelli riportati nell’articolo evidenziano come il semplice ottenimento delle certificazioni non sia sufficiente per garantire una protezione efficace.
È fondamentale per le organizzazioni implementare un sistema di gestione con misure di sicurezza tecniche e organizzative concrete, ruoli e responsabilità definiti e commitment da parte del management verso il miglioramento continuo. Le organizzazioni possono avvalersi del supporto di esperti qualificati e con esperienze in diverse industries per l’implementazione di un sistema di gestione della sicurezza delle informazioni strutturato.
Adeguarsi alle normative vigenti e ottenere le certificazioni richieste non garantisce una protezione completa. Investire nella sicurezza informatica e delle informazioni rappresenta una strategia fondamentale per il successo a lungo termine dell'Organizzazione.
Compito delle aziende è quindi, selezionare con cura le figure cui affidare tale processo, poiché le conseguenze di un attacco possono comportare perdite economiche significative.
Proteggere i dati significa salvaguardare il futuro dell'impresa
Da oltre 30 anni, IMteam supporta le Organizzazioni nel conseguire la conformità alle normative di information security