Un test per definire la cyber security in Italia

La cyber security in Italia sta facendo un importante passo in avanti e il mese di giugno segnerà una tappa fondamentale. Dal 23 giugno parte infatti il primo test sui livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle organizzazioni strategiche per il paese, un primo passo per definire dei modelli che coinvolgeranno in un secondo tempo anche le altre imprese.

Il test rientra nelle attività di definizione del Perimetro di Sicurezza Nazionale Cibernetica, un’iniziativa definita con il decreto-legge n. 105 del 2019. Il Perimetro ha lo scopo di assicurare un livello elevato di sicurezza dei sistemi informativi e dei servizi informatici, attraverso una serie di provvedimenti e indicazioni la cui finalità è garantire i necessari standard di sicurezza e ridurre così l’esposizione al rischio cyber.

Per ora risultano coinvolte nell’iniziativa alcune grandi organizzazioni che operano nei settori delle telecomunicazioni, energetico, servizi di economia e finanza, previdenza e lavoro, trasporti, difesa, sicurezza interna, spazio, alta tecnologia e pubblica amministrazione; in sintesi gli enti che, se subissero un danno o qualche tipo di malfunzionamento nei propri sistemi informativi, potrebbero creare seri problemi all’intero sistema – paese. È possibile che in futuro la lista venga ampliata e che vengano fatti rientrare, ad esempio, le strutture sanitarie e i centri di ricerca. Gli ospedali sono frequentemente oggetto di attacchi informatici e per garantirne la protezione lo Stato italiano li ha fatti rientrare per ora nelle regole europee di difesa cyber previste dalla Direttiva Nis.

Il tema è della sicurezza cyber è di grande attualità: secondo Clusit, l’associazione italiana per la sicurezza informatica, nel 2020 gli attacchi cyber a livello globale sono aumentati del 12% rispetto all’anno precedente; con un trend di crescita che negli ultimi 4 anni si è mantenuto costante (gli attacchi gravi sono cresciuti del 66% rispetto al 2017).

Ad oggi, la lista delle aziende strategiche individuate dal governo che parteciperanno al test è composta da circa 100 organizzazioni: nei prossimi sei mesi esse dovranno dimostrare di rispondere in modo adeguato in caso di danni o attacchi informatici.

Il Perimetro di Sicurezza Nazionale Cibernetica individua come principali aree d’intervento:

• la predisposizione dell’elenco dei beni ICT critici, incluse architettura e componentistica, la sua trasmissione agli enti preposti, e un’analisi del rischio;
• una revisione della gestione dei fornitori e di terze parti, con le informazioni sulle forniture di beni e servizi ICT e la valutazione del rischio associato;
• la comunicazione degli incidenti, entro tempi prestabiliti, al Computer Security Incident Response Team (CSIRT), che si occupa nell’ambito della direttiva Nis di supportare le organizzazioni pubbliche e private nella prevenzione e gestione dei rischi cyber;
• l’applicazione – entro 6 o 24 mesi – delle misure di Cyber Security in linea con quelle previste dal Framework Nazionale per la Cyber Security e la Data Protection.

Il test che partirà in giugno, e durerà sei mesi, riguarda il censimento dei sistemi ICT critici e l’analisi del relativo rischio Cyber; si prevede anche l’adozione di misure per la protezione informatica e per la segnalazione degli incidenti. Una volta che il sistema sarà a regime, la norma prevede, in caso di mancato adempimento, sanzioni amministrative (da 200mila a 1,8 milioni di euro) e penali (reclusione da uno a cinque anni). Per agevolare l’attività di adeguamento, le sanzioni sono al momento sospese fino a gennaio 2022.

L’esposizione al rischio cyber delle imprese e degli enti che sono la spina dorsale della sicurezza e dei servizi di base in Italia, ha reso evidente l’opportunità di partire da questi per verificare le modalità previste nel Perimetro. In ogni caso, i risultati del test costituiranno un modello che sarà di riferimento per tutte le società pubbliche e private, in particolare per le imprese manifatturiere e di servizi che, pur avendo adottato specifiche modalità per gestire il rischio Cyber, non hanno raggiunto livelli di sicurezza adeguati e più simili a quelli implementati, ad esempio, dalle banche.

Enrico Ferretti, Managing Director di Protiviti, società che affianca alcune organizzazioni che si stanno preparando al test di giugno, ritiene che siano ancora molte le imprese che hanno poca capacità di analisi e di gestione del rischio Cyber: “La ragione sta nell’obsolescenza tecnologica degli impianti oppure in condizioni operative consolidate e non adeguate. Spesso, in queste imprese i sistemi di controllo sono di vecchia concezione, tecnologicamente datati o sviluppati per ambienti poco o per nulla esposti ad attacchi. La natura di questi sistemi li rende spesso incompatibili con molte delle misure standard di Cyber Security, impedendo azioni immediate di risposta”.

La speranza è che il percorso che prenderà avvio da giugno possa effettivamente dare risposte concrete riguardo ai modelli da adottare per aumentare le difese dal rischio cyber, e che vengano individuati percorsi utilizzabili anche dagli altri comparti produttivi.