Formazione e aggiornamento individuale alla cybersecurity, centri di ricerca, fondazioni, startup e una strettissima collaborazione tra pubblico e privato. Scritto da oltre 150 docenti e ricercatori universitari, il libro bianco sulla cybersecurity lancia una allarme concreto e deciso ricordandoci che in Italia siamo all’anno zero. Quello raccolto in oltre 220 pagine è solo il punto di vista della comunità scientifica ma vuole essere una guida per i policy maker per aiutarli nel processo di gestione della minaccia cyber legati ai processi di trasformazione digitale che stanno investendo aziende pubbliche e private.

Minaccia che non ha precedenti nella storia degli ultimi dieci anni e che richiede soluzioni più articolate. Anche perché paradossalmente, non ci sono numeri. «Nonostante sui media appaiano periodicamente, le stime di queste grandezze non sono quasi mai fondate su metodi di rilevazione scientici». Esistono alcune eccezioni, si legge nel report. Nel Regno Unito poco meno di metà delle imprese britanniche è stata vittima di almeno un tentativo di attacco nell'ultimo anno. Nel nostro paese, la Banca d'Italia ha stimato che, tra settembre 2015 e settembre 2016, il 45% delle aziende nazionali è stata colpita da una qualche tipologia di attacco. Parallelamente la spesa impiegata per difendersi è stata minima, solo tra 4 e 19mila euro. Niente, in pratica.

Il sistema delle imprese e la cybersecurity, nel dettaglio. Quasi tutte le aziendedichiarano di usarealmeno un software anti-virus e due terzi formano i dipendenti all'uso sicuro dei dispositivi informatici; risulta invece poco diffusa l'abitudine a cifrare i dati, adottata da meno un terzo delle imprese non ICT. Per quanto riguarda i danni provocati dagli attacchi, sia i dati britannici sia quelli nazionali mostrano che nella maggior parte dei casi l'impatto monetario diretto è limitato; in Italia i costi di ripristino dei sistemi colpiti e le perdite derivanti dall'interruzione di attività superano i 50mila euro solo in un caso su cento. La distribuzione dei costi è però fortemente asimmetrica: da una parte la dimensione media del fenomeno è più contenuta rispetto a quanto riportato alle fonti commerciali cioeà chi vende antivirus e soluzioni di cybersecurity,dall'altra pochi grandi incidenti sembrano responsabili di una quota molto elevata dei danni economici complessivi.

Non esiste la pallottola d’argento. Un esempio? I recenti attacchi Meltdown e Spectre hanno dimostrato che in un sistema di elaborazione non vi sono parti sicure e purtroppo non esiste una pallottola d'argento in grado di risolvere tutti i problemi.

Cosa chiede la comunità scientifica alla politica. La parola più gettonata è cyber-hygiene, ovvero abitudini di condotta che, a un costo molto basso, possono vanificare i più comuni tentativi di attacco. Tradotta significa maggiore cultura della cybersecurity. E quindi formazione a tutti i livelli. Dentro il libro bianco sono presenti indicazioni chiare sotto questo profilo. Anzi, si può dire che il tono rispetto agli scorsi anni è cambiato. Sul “che fare” la comunità scientifica ha le idee chiare. In primis, si legge, serve provvedere auna veloce creazione e rapida messa a regime delle nuove strutture indicate dalDPC Gentiloni. Ovvero l’istituzione di un Comando Interforze per le Operazioni Cibernetiche e il Centro di Valutazione e Certificazione Nazionale. Il documento chiede inoltre il rafforzamento di quelle già esistenti (il Nucleo Sicurezza Cibernetica e il CNAIPIC)e l'unificazione e ilrafforzamento del CERT-Nazionale e del CERT-PA. Di nuovo c’è la richiesta di una Fondazione di un Centro di Ricerca e Sviluppo in Cybersecurity e un Laboratorio di Crittografia. Inoltre la creazione di una Cybersecurity Academy che, sulla falsariga del modello dei conservatori musicali, possa seguire nel tempo la crescita dei talenti.

Le startup per la cybersecurity. Interessante infine, la messa a disposizione di un fondo di venture capital etico (peraltro già previsto dal decreto del presidente del consigli Gentiloni), per la creazione e il rafforzamento di startup che sviluppino tecnologia di interesse nazionale. Il fondo, si legge, giocherebbe un ruolo chiave nell'attivazione di un ecosistema cyber tra università e impresa e consentirebbe che le miriadi di prototipi, proof of concept e algoritmi innovativi sviluppati dalla ricerca Italiana possano essere trasformati in opportunità di business.

Il convegno Itasec. Il libro bianco viene presentato oggi a Milano nell’ambito di Itasec, una tre giorni di convegni dedicati alla cybersecurity. I l programma, denso di appuntamenti, prevede dieci sessioni scientifiche su temi quali il voto elettronico, la privacy e i malware, una sessione speciale dedicata alla Crittografia Quantistica, un intervento della Commissione Europea e 7 incontri su cybercrime, GDPR, Industry 4.0, futuro della cybersecurity. Infine sono previsti 9 tutorial su Blockchain, crittografia, sicurezza dei sistemi
industriali.

© Riproduzione riservata