L’Italia, come il resto dell’Europa, si sta adoperando per elaborare un quadro normativo che sia in grado di regolare le dispute in tema di cyber security. La difficoltà sta nel rispondere, in maniera adeguata, ad uno scenario in continua evoluzione: sia che si parli delle strategie di attacco sia che si trattino quelle di difesa. Delle lacune presenti nella cyber-strategy italiana ci parla Stefano Mele, Direttore del Dipartimento InfoWarfare e Tecnologie emergenti dell’Istituto Italiano di Studi Strategici Niccolò Macchiavelli
Quanto contano gli aspetti di regolamentazione e governance nell’elaborazione di un approccio coerente ed efficace nel settore della cyber-security?
Dobbiamo essere più consapevoli e difenderci da queste minacce con gli strumenti di cui disponiamo: non soltanto dal punto di vista tecnologico, quindi trattando la resilienza dei sistemi informatici e la loro immediata capacità di reagire, ma anche da quello normativo e di governance. Occorre sistematizzare le pratiche relative alla cyber security in modo da renderle conformi con quanto previsto dalla normativa vigente e da risollevare il management aziendale da queste problematiche. È importante fare un esempio: tra il 2013 e il 2014 tutte le aziende hanno subito un attacco informatico; chi sostiene di non averlo rilevato non si è accorto di essere stato attaccato perché non ha posto in essere delle procedure di verifica. Nessuno si può sentire fuori pericolo, siamo tutti attori in prima linea nella lotta al cyber crime.
Come si comportano i Governi in questo scenario?
Dobbiamo partire dall’assunto che ogni governo ha sempre spiato, spia e continuerà a spiare. Lo spionaggio è nato molto prima dell’adozione delle tecnologie all’interno delle nostre vite. È da tenere presente che qualsiasi Governo vuole conoscere in anticipo le informazioni delle altre istituzioni e vuole conoscere l’attività di aziende concorrenti (parliamo anche di spionaggio cronico).
Qual è la criticità più rilevante nella cyber-strategy italiana?
Non esiste una concreta consapevolezza della minaccia: lavoro in questo settore ormai da dieci anni e rilevo la mancanza di una cultura legata alla cyber security e alle problematiche che la riguardano. Normalmente la sicurezza è l’ultimo degli elementi che viene inserito nel business plan aziendale e questo è un atteggiamento sbagliato perché costituisce la prima barriera nella difesa del business di tutte le società. Questa coscienza va aumentata soprattutto perché gli attacchi provengono sia dall’esterno che dall’interno, ad esempio da dipendenti scontenti o infedeli pagati da aziende concorrenti per sottrarre informazioni.
Nell’Internet of Everythings, dove, oltre alle cose, sono connessi anche servizi e persone, queste ultime possono contribuire a rafforzare la difesa delle aziende?
Anche il singolo cittadino ovviamente non è estraneo al tema: tutti facciamo parte di un’azienda, o siamo all’interno delle infrastrutture critiche di uno Stato. Siamo noi che, tramite la cultura della sicurezza, rendiamo più sicura l’azienda in cui lavoriamo. Connettendoci tutti Internet ha ampliato il campo di battaglia e ha aumentato il numero di attori coinvolti: quindi oggi un’azienda deve proteggersi sia dalle minacce esterne sia dalle aziende di intelligence, ma anche dal personale interno, dalle imprese concorrenti e dagli stessi Governi.
Di seguito il video commento di Stefano Mele.
Per ricevere quotidianamente i nostri aggiornamenti su energia e transizione ecologica, basta iscriversi alla nostra newsletter gratuita
e riproduzione totale o parziale in qualunque formato degli articoli presenti sul sito.
