In questo mondo sempre più digitale, siamo davvero in grado di proteggere i dati sensibili dai cyber attacchi? I quotidiani sono ormai pieni di notizie: crimini alle infrastrutture pubbliche e private, dati sottratti, blocco dei servizi… Oggi è praticamente impossibile interrompere questa tendenza, in quanto risulta strettamente legata al progressivo trasferimento online di tutte le attività, comprese quelle economiche. L’unica cosa che possiamo fare è affrontare il cyber spazio con la giusta consapevolezza dei rischi e dei benefici.
Questo, secondo l’avvocato e docente universitario Pierluigi Perri, è il primo requisito di un valido piano di sicurezza informatica. La sua analisi tocca diversi scenari degli attacchi informatici, della sicurezza e della privacy, che saranno protagonisti anche a secsolutionforum 2022.
Il primo tema riguarda il rapporto tra aumento degli attacchi ed evoluzione delle tecnologie per la cybersicurezza. Purtroppo, i fatti evidenziano che “il ladro è sempre un passo avanti”, ma le aziende possono migliorare la prevenzione e la mitigazione del danno. Le parole chiave sono proattività e resilienza. Un sistema informatico deve essere in grado di assorbire un attacco e garantire l’erogazione continua dei servizi. Magari rallentati, non efficienti, ma mai interrotti.
Non bisogna dimenticare che, come arma di difesa, c’è anche la condivisione delle conoscenze e delle esperienze. Individuare rapidamente una minaccia permette di risolvere in tempi più brevi il problema, garantendo la resilienza all’intero settore. Parlando di normative e approcci, l’Unione Europea spinge a riflettere sul fatto che, per quanto il business sia una pratica individuale, a livello digitale siamo tutti connessi. In tal senso, è importante considerare un punto di vista più ampio sul fattore perturbativo. Una filiera è composta da tanti attori: un problema di sicurezza in uno qualsiasi di questi soggetti può sconvolgere e danneggiare tutta la catena.
Il primo livello della cybersecurity riguarda la protezione delle strutture che erogano servizi essenziali per la popolazione (es. telecomunicazioni, finanziario, PA), che devono attuare specifici accorgimenti di sicurezza. Ogni nazione Ue, in sostanza, individua gli attori che devono rientrare nel perimetro di sicurezza e impone loro l’adozione di misure speciali. Essendo i perimetri nazionali frutto di una direttiva, tutti i Paesi membri avranno il loro perimetro totale. La somma di tutti questi perimetri stabilirà il perimetro di sicurezza cibernetico europeo.
C’è poi una tipologia di sicurezza commerciale dove si trovano, giuridicamente parlando, le pratiche classificabili come delitti informatici e concorrenza sleale. Per esempio, competitor che vogliono impadronirsi di elenco clienti, segreti industriali, brevetti e informazioni riservate. Ma anche sottrarre o alterare i dati relativi alle attività di profilazione dei consumatori. Nel terzo livello troviamo infine la sicurezza personale. Ossia come proteggere i dati sensibili. Anche qui possiamo fornire esempi su come evitare di essere truffato, inserito o catalogato in determinate “bolle filtro” dove i sistemi collocano la persona in base alle proprie preferenze.
Il problema è di carattere implementativo/esecutivo delle norme esistenti. Vi sono settori di mercato aree geografiche che hanno una certa sensibilità sull’importanza di proteggere i propri dati già elevata, ma non è così ovunque. Inoltre, non è semplice assegnare un valore a un’informazione. Per esempio, un brevetto deve essere protetto da misure di sicurezza proporzionate a proteggerne il valore (non custodiremmo mai una cosa preziosa in un semplice cassetto della scrivania).
Un ragionamento scontato per il mondo fisico, un po’ meno in quello digitale. Ecco perché, oltre la norma, c’è l’approccio culturale. Le soluzioni di cybersicurezza esistono, ma occorre comprendere che i dati hanno un peso, sono facilmente scambiabili ed estremamente mutevoli. Il tutto pensando che la vera moneta del nostro tempo, soprattutto online, è la reputazione. Se proteggiamo adeguatamente i dati dei nostri clienti e non generiamo un canale di fiducia, la reputazione del nostro lavoro o del nostro marchio crolla inevitabilmente. Nella rete, i luoghi dove esprimere il malcontento sono tantissimi e particolarmente dannosi per ogni azienda, pubblica o privata.
Il futuro della cybersicurezza e della protezione dei dati sensibili passerà invece da due grandi sfide: intelligenza artificiale e sistemi automatizzati. L’Unione Europea sta già predisponendo un pacchetto di leggi che possa regolamentare il fenomeno. Pur con la sua lentezza strutturale, cerca infatti di fornire gli elementi per gestire questo ambiente così complesso.
Secondo gli esperti, i prossimi anni si giocheranno sull’approccio “by design” e “by default”. Tutti i sistemi dovranno essere organizzati, sin dalle prime fasi di progettazione (by design) e per impostazione predefinita (by default), in maniera tale da garantire più sicurezza in caso di attacchi informatici. In questo modo, il sistema non può che nascere già robusto. Diverso, e molto più dispendioso, è quando vengono applicati questi parametri in un secondo momento. Insomma, conclude Pierluigi Perri, “non è più il caso di chiudere il server dopo che sono scappati i bit”.
