Roberto Baldoni è il direttore generale dell’Agenzia per la Cybersicurezza Nazionale, istituita l’anno scorso per tutelare gli interessi nazionali nel cyberspazio. Abbiamo parlato con lui di piccole e medie imprese e sicurezza in rete.
Domanda – Fino a ieri parlavamo di alfabetizzazione digitale delle piccole imprese, ovvero di quanto sia importante essere presenti su una vetrina globale, quale è la rete, con le carte giuste. Oggi ci troviamo a dover spiegare anche alle piccole realtà, dall’artigiano al trasportatore, che nel cyberspazio non solo si sta, che lo si voglia o meno, ma che si corrono anche dei rischi. Vogliamo spiegare quali?
Baldoni – Con la trasformazione digitale anche per le piccole e medie imprese è diventato indispensabile avere una vetrina sul web, che sia per vendere prodotti o promuovere i propri servizi. È il caso ad esempio dell’impresa che utilizza l’informatica per gestire la disponibilità della merce in magazzino. Per rendere possibili le automatizzazioni, dietro la vetrina ci sono una serie di software, programmati da umani, quindi contenenti errori e, alcuni di questi, possono diventare vulnerabilità sfruttabili da attaccanti. Stiamo parlando di rischi inevitabili quando le infrastrutture diventano digitali.
Dietro la vetrina del web ci sono una serie di software, programmati da umani, quindi contenenti errori
Domanda – La vicenda dell’antivirus Karspersky, che da strumento di protezione rischia di trasformarsi in arma d’attacco, ha dimostrato quanto sia importante evitare la dipendenza da sistemi di sicurezza informatica provenienti dall’estero. Cosa ci insegna questa vicenda?
Baldoni – È importante che un piccolo imprenditore sappia che tutti i software che sono estremamente pervasivi, a partire dal sistema operativo così come l’antivirus, entrano in profondità nei computer utilizzati. Ecco perché deve saper scegliere e utilizzare i migliori prodotti per proteggere e far funzionare i programmi da cui dipende l’efficienza di tutto il processo produttivo. Scegliere, considerando che l’evoluzione del panorama geopolitico cambia anche gli scenari di mercato: insomma, l’esperienza Karspersky ci insegna che nella scelta di un fornitore l’affidabilità tecnica non è tutto.
L’evoluzione del panorama geopolitico cambia anche gli scenari di mercato
Domanda – Una regola che vale per le grandi, come per le piccole realtà produttive?
Baldoni – Per una grande impresa la questione è più complessa, perché la verifica di eventuali vulnerabilità va effettuata su tutta la catena di approvvigionamento. La micro e piccola impresa ha a disposizione strumenti basici, come antivirus, sistema operativo, database, software di gestione dell’inventario eccetera. Ciò non toglie che per ogni anello della catena vada fatta un’attenta valutazione dell’affidabilità di chi fornisce prodotti e architetture oltre alla potenzialità che quel software mi offre. Che storia ha? Da dove proviene? Da un attento esame di rischi-opportunità avviene la scelta.
Domanda – Si parla di minacce alla cybersicurezza delle infrastrutture strategiche. Le conseguenze di attacchi a ospedali, reti di trasporti e canali finanziari sono comuni a cittadini e imprese. Esistono delle minacce specifiche rispetto alle quali le imprese di piccole e medie dimensioni devono adottare delle precauzioni per abbattere e gestire i rischi da cybersicurezza?
Baldoni – Le piccole e medie imprese non possono prescindere dall’antivirus. A seconda della complessità dell’organizzazione, poi, sono importanti anche altri elementi di sicurezza. Ad esempio un firewall, se un’azienda ha già una sua infrastruttura. Attenzione a tenere aggiornati i sistemi con tutte le patch di sicurezza e scegliere un buon amministratore di rete. Una regola molto importante è poi di evitare l’uso promiscuo: un computer non deve mai essere usato indifferentemente per lavoro e per diletto. Quando si gioca o si naviga senza particolari attenzioni si è molto più esposti agli attacchi. Basti pensare a tutto l’advertising che riceviamo: anche queste sono forme di virus che si inseriscono nei nostri browser attraverso la visita a siti non affidabili.
Una regola molto importante è poi di evitare l’uso promiscuo: un computer non deve mai essere usato indifferentemente per lavoro e per diletto
Domanda – Fino a non molto tempo fa la sicurezza veniva gestita in outsourcing. Oggi invece ogni azienda dovrebbe impiegare risorse umane interne a difesa dei propri asset aziendali. Ma tante piccole e piccolissime imprese non possono permetterselo…
Baldoni – È proprio per dare delle indicazioni ai piccoli imprenditori che devono occuparsi in prima persona della cybersicurezza della propria azienda che in Sapienza elaborammo il “2016 Italian Cybersecurity Report- Controlli Essenziali di Cybersecurity”. In questo documento – ancora attualissimo- abbiamo condensato i quindici Controlli Essenziali di Cybersecurity, di facile e quasi sempre economica implementazione. Possono essere adottati e sviluppati da artigiani, micro e piccoli imprenditori per ridurre il numero di vulnerabilità presenti nei loro sistemi. È un documento destinato ad aumentare la consapevolezza anche del personale interno, che saprà a sua volta riconoscere perlomeno gli attacchi più comuni. Nel documento diamo anche una stima dell’investimento necessario per portare la propria impresa a un livello di preparazione essenziale.
Domanda – Fermare un cyberattacco su un anello debole della catena può voler dire scongiurare un effetto domino, quando quell’anello è parte di una filiera?
Baldoni – Tutte le aziende sono parte di una o più filiere e fornendo servizi e prodotti verso i capofiliera rappresentano un veicolo di attacco verso queste ultime: i cyber-criminali entrano infatti nei sistemi delle grandi aziende anche attraverso vulnerabilità presenti nei fornitori. Tanti sono stati gli attacchi portati avanti in questo modo verso le grandi imprese. Sempre di più quindi i capofiliera richiederanno alle piccole e medie imprese requisiti di qualità e sicurezza dei loro prodotti e servizi. E’ importante che le piccole e medie imprese si strutturino adeguatamente.
Domanda – Quali strumenti hanno a disposizione le imprese per informarsi dei rischi e proteggersi dagli attacchi?
Baldoni – Il Csirt è a disposizione di tutti, anche delle piccole e medie imprese che non hanno possibilità di dare in outsourcing la gestione dei propri sistemi informatici. Sul sito, consultabile pubblicamente, segnaliamo infatti la lista delle vulnerabilità di volta in volta presenti e quali patch di sicurezza devono essere applicate a specifici prodotti. Il Csirt è nato dalla confluenza di due centrali operative, prima distinte in pubblica e privata, sotto il coordinamento – rispettivamente- di Agid e Mise. Una semplificazione a beneficio di ogni tipologia di aziende. È molto importante anche la sezione dedicata alle segnalazioni, che ogni imprenditore può utilizzare nel caso in cui riceva una mail di phishing. In questo senso Csirt, che è in collegamento con la Polizia postale, può fare da cassa di risonanza in tutta Italia per allertare chi riceverà quella mail.
Domanda – Il phishing è uno strumento di attacco cibernetico con cui si trovano a fare i conti, ormai quotidianamente, tanto i cittadini, quanto gli imprenditori. Quali sono i canali più a rischio “adescamento”?
Baldoni – Sicuramente l’home banking. Le banche mi segnalano che la maggior parte delle truffe avviene proprio attraverso l’utilizzo di questi canali da parte delle imprese. Un privato cittadino si accorge subito di un’anomalia nei flussi, perché effettua meno operazioni rispetto a un’impresa, a cui rischia invece di sfuggire. Ecco perché, insisto, è bene che anche le operazioni di home banking siano eseguite da un computer diverso da quello che si usa a casa per attività ludiche, quindi esposto a molti più fattori di rischio.
Domanda – Il Recovery plan italiano è un’occasione per rilanciare una nuova politica industriale digitale, a livello europeo, ma anche nazionale. Il fine ultimo, resta il raggiungimento dell’autonomia strategica nel settore, che oggi manca. Un’opportunità per aprire nuovi scenari, inaugurare filiere o potenziare quelle esistenti, che coinvolgano anche le micro e piccole imprese dell’Ict?
Baldoni – Uno dei nostri obiettivi è proprio di dare forza allo sviluppo tecnologico nazionale, in una cornice europea. Questo processo favorirà moltissimo le Pmi dell’Ict, nella crescita e nello sviluppo. Prevedo che nel giro di quattro anni riusciremo a spingere sull’acceleratore tanto in termini di nuove start up che animeranno il panorama tecnologico nazionale, che di brevetti che promuoverà l’Italia. La ricchezza intrinseca del Paese è anche lì.
Domanda – Che idea ha della propensione delle imprese italiane verso gli investimenti in ricerca e rispetto alla capacità di trasformare la ricerca in business?
Baldoni – Le imprese italiane investono poco in ricerca. E di questo paghiamo un conto salato, da anni. La ricchezza nazionale in questo momento di profonda trasformazione dipende anche dagli strumenti digitali che si è in grado di produrre, e noi non produciamo tecnologia, con il rischio di diventare obiettivi appetibili di campioni internazionali. Questo ci limita nel nostro sviluppo economico e nella nostra autonomia.
La ricchezza nazionale in questo momento di profonda trasformazione dipende anche dagli strumenti digitali che si è in grado di produrre
Domanda – Il compito di rilanciare una nuova politica industriale digitale spetta al pubblico. C’è spazio anche per una partnership pubblico/privato che possa coinvolgere le piccole e medie imprese?
Baldoni – La transizione digitale coinvolge tanto il pubblico quanto il privato: tutti e due gli ambiti condividono opportunità e rischi. Dal canto suo il Governo non può pensare di proporre politiche per la trasformazione digitale senza consultare il privato. Ciò vale ad esempio sia per le fasi di prevenzione sia per quella di incident response dagli attacchi. E vale anche per la formazione di nuovi talenti e top manager delle società pubbliche: questi compiti di aggiornamento saranno per forza di cose affidati a consorzi e società private, che abbiano ottenuto una certificazione da parte dell’Agenzia. Stesso discorso per diffondere una cultura della consapevolezza. In questo senso abbiamo ad esempio lavorato spalla a spalla con l’Associazione Bancaria Italiana.
Domanda – La creazione di un polo strategico (Cloud nazionale) favorirà il processo di digitalizzazione delle pubbliche amministrazioni, che finalmente si parleranno attraverso piattaforme efficienti. Cosa cambierà nella vita di cittadini e imprese di piccole dimensioni?
Baldoni – Io spero che tutto porterà a una semplificazione. Per le imprese, come per i cittadini, ciò vorrà dire compilare una sola volta uno stesso modulo per ottenere più certificati: che sia il Durc o lo stato di famiglia. Ma al di là della promessa di una vita più facile, il beneficio più importante è legato alla sicurezza. Abbiamo stimato che oggi, considerata la distribuzione della P.A. e la nebulizzazione delle Pmi, mancano all’appello circa 100mila esperti di cybersicurezza in Italia. Per formarli servirebbero anni, forse decenni. Il Cloud è proprio una risposta a questa esigenza. Semplificare, in questo caso, vuol dire anche circoscrivere il perimetro all’interno del quale sono immagazzinati i dati e ridurre quindi in modo sensibile il numero dei guardiani che ne controllano la loro sicurezza.
Semplificare vuol dire ridurre il numero di guardiani che controllano la sicurezza dei dati
Domanda – L’Agenzia è appena nata e l’Italia in questo senso sconta un ritardo, in alcuni casi trentennale. Oltre a correre per recuperare il tempo perso, si può però imparare dagli errori degli altri? Soprattutto sulla governance?
Baldoni – Chi è partito venti, trent’anni fa, certamente ha un vantaggio molto forte: in questo tempo si crea una cultura della resilienza che è l’elemento più importante. D’altro canto però c’è da dire che tanti anni fa la cybersicurezza non era così impattante e quindi alcuni governi europei hanno fatto nascere agenzie per la cybersicurezza in subordine a ministeri o altre istituzioni governative primarie. Complice l’esplosione degli attacchi informatici degli ultimi dieci anni, tali agenzie oggi si trovano a dover coordinare i loro controllori e ministeri di primaria importanza. Questo è un compito complicatissimo. Noi abbiamo capito sin da subito che il tema del coordinamento è fondamentale e per questo abbiamo posto il presidente del Consiglio al vertice della piramide e responsabile delle politiche di cybersicurezza nazionale. L’ACN rappresenta il suo braccio operativo in questo dominio operando un coordinamento rafforzato tra le amministrazioni dello Stato e questo – sono certo- ci consentirà di lavorare con più velocità.
Domanda – Per molti imprenditori e artigiani, paradossalmente, la semplificazione è un onere. Perché quando c’era lo sportello a cui portare i documenti, la responsabilità in caso di errore era dell’addetto. Ora dipende da un’operazione eseguita da un computer potenzialmente vulnerabile, se non opportunamente aggiornato. Si riuscirà, attraverso un’azione di sensibilizzazione, a colmare anche questo gap culturale?
Baldoni – Siamo consapevoli che le semplificazioni favoriscono le grandi imprese, che ne traggono generalmente un vantaggio competitivo grazie alla loro scala. Sul fronte delle micro, piccole e medie imprese il discorso è diverso. Un piccolo imprenditore tedesco o francese è più consapevole dei rischi legati a una vulnerabilità di un sistema informatico: già sa, e non deve imparare oggi che, oltre a garantirsi l’approvvigionamento delle materie prime, deve mettere in sicurezza tutti i dati. Su questo noi dovremo recuperare il tempo perso.
