La cybersecurity, la sicurezza informatica di un paese, è tra le condizioni che guidano le scelte degli investitori in un mercato nazionale. Da questo assunto è partito Carlo Barlocco, Presidente di Samsung Electronics Italia, per introdurre il terzo Samsung Business Summit Wow che si è svolto ieri, giovedì 26 ottobre, a Milano, negli spazi di The Mall, in piazza Lina Bo Bardi 1. Al convegno sulla cybersecurity sono stati chiamati rappresentanti delle imprese e delle istituzioni a cominciare da Roberto Maroni, presidente della Regione Lombardia e, tra gli altri, Giorgio Mosca, Presidente, Cybersecurity Steering Committee Confindustria Digitale, Riccardo Capecchi, segretario generale AgCom, Andrea Raffaelli, Comandante del Reparto Indagini Telematiche del Ros, Raggruppamento operativo speciale dei Carabinieri.
La cybersecurity oggi
Il tema degli attacchi informatici e della loro pericolosità per le aziende è stato introdotto da Roberto Baldoni, direttore del Cis, Sapienza Università di Roma e del Cini, laboratorio nazionale di Cyber Security. Baldoni ha ricordato come i sistemi siano sempre di più “interconnessi” tra di loro e con lo spazio esterno: “negli ultimi venti anni abbiamo portato il nostro mondo fisico nel cyberspace”, ha detto. “In passato, tutto quello che di critico c’era in azienda era protetto da confini definiti, logici e fisici”. Oggi in azienda le piattaforme sono integrate e connesse, ma non solo: alcuni processi sono “usciti” dal perimetro aziendale e sono stati dati in outsourcing.
Cloud, commercio elettronico, lavoratori in mobilità con smartphone aziendali, smartworking: tutto questo ha ampliato i rischi legati alla cybersecurity. Per Baldoni, tra i fattori critici per la sicurezza informatica nelle aziende ci sono Cloud e Internet of Things, Internet delle Cose.
Sicurezza, dove e come rischiamo
È stato calcolato che in tutto il mondo, nel 2020, ci saranno 100 miliardi di dispositivi interconnessi tra di loro.
Solo in Italia gli apparecchi che tramite Iot potranno “parlarsi” tra di loro saranno 1 miliardo. Secondo un altro report realizzato negli Stati Uniti (BYOD and Mobile Security Report - September 2016), il 20 per cento degli incidenti di sicurezza informatica avvenuti nelle grandi aziende ha coinvolto uno smartphone.Secondo Kaspersky Lab gli attacchi informatici a livello worldwide sarebbero stati, nell’ultimo anno, da 1 a 5 al secondo.
Il danno per le imprese sarebbe di 497 mila dollari all’anno. Al Samsung Business Summit Francesco Morelli, responsabile della Tutela Aziendale in Terna Spa, ha riportato un esempio concreto: “La notte scorsa abbiamo subito 5700 attacchi”. Le violazioni sono state zero, cioè gli attacchi sono falliti, ha precisato Morelli, sottolineando l’importanza di una mappa e di una valutazione del rischio.
Il caso Italia
Le aziende sono consapevoli dei rischi che corrono sulla sicurezza informatica? Pur se a macchia di leopardo, qualcosa si muove. Roberto Baldoni ricorda che da febbraio 2016 Framework Nazionale per la cybersecurity, un manuale orientato alle aziende per una corretta gestione del rischio cyber.
Il Framework è nato da una Public Private Partnership che includeva il CERT Nazionale, il Garante della Privacy, la Presidenza del Consiglio dei Ministri, e alcune aziende nazionali strategiche come ENEL e ENI. L’obiettivo è aiutare le aziende a conoscere e gestire il rischio informatico al loro interno. Giorgio Mosca, Presidente, Cybersecurity Steering Committee Confindustria Digitale, ha ricordato come la cybersecurity sia ancora più importante nell’ambito del piano Industria 4.0 delle imprese italiane. La digital trasformation implica più ampi investimenti in security. Mosca ha osservato però che la sicurezza informatica non rientra tra le spese agevolate del programma Industria 4.0. Qualcosa è stato fatto nella legge di Bilancio, introducendo i software per la sicurezza tra le agevolazioni.
Si tratterebbe solo di un 4-5 della spesa: “sarebbe molto utile includere anche i servizi”, ha detto Mosca.
“Ricordiamoci che la sicurezza assoluta non esiste”, ha precisato Baldoni. “Esiste, invece, una gestione del rischio, enterprise risk management” , una serie di soluzioni, policy e comportamenti in grado di prevenire gli attacchi informatici e arginare le conseguenze in caso di violazioni.