Cyber security, cambio di mentalità e governance integrata fondamentali per aumentare la sicurezza

Minacce, contromisure e best practice per aumentare la sicurezza nel Roadshow del Centro di Competenza Nazionale ad alta specializzazione sulla cybersecurity Cyber 4.0

Pubblicato il 07 Apr 2023

CyberSecurity


“Un cambio di mentalità, che consideri finalmente la cybersecurity un asset strategico e imprescindibile per le aziende. E una governance integrata, perché la cyber-sicurezza è un aspetto che riguarda e comprende tutte le aree e le attività di un’impresa”.

Ecco cosa serve alle aziende e alla Manifattura per combattere e vincere negli scenari della sicurezza informatica, secondo Daniele Riccardo Incerti, consulente per la Cybersecurity in Sistemi Formativi Confindustria.

Sono molti i fenomeni cyber cui sono soggette le imprese e, spesso, anche i loro clienti, come frodi informatiche, furto di dati, blocco dei dispositivi, errori umani legati alla mancanza di consapevolezza dell’uso sicuro di dispositivi elettronici, internet, e-mail, social network.

Minacce, contromisure e prospettive sono emersi nella tappa milanese del ‘Roadshow Cyber 4.0’ che Cyber 4.0, il Centro di Competenza Nazionale ad alta specializzazione sulla cybersecurity con sede a Roma, da ottobre porta in tour in tutta Italia.

L’appuntamento milanese è stato organizzato insieme a Sistemi Formativi Confindustria, con la partecipazione del Digital Innovation Hub della Lombardia, del MADE Competence Center di Milano, che ha ospitato l’incontro, e con il contributo scientifico dell’Osservatorio Innovazione Digitale nelle PMI del Politecnico di Milano.

Un focus particolare è stato dedicato agli aspetti di sicurezza OT (Operation Technology), dal punto di vista tecnico e organizzativo. Inoltre, “attraverso la dimostrazione di un cyber attacco simulato, sono state presentate potenziali vulnerabilità e vettori di attacco, e il dispiegamento delle attività di rimedio”, sottolinea Leonardo Querzoni, presidente di Cyber 4.0.

E Querzoni rimarca: “la messa in sicurezza della digitalizzazione dei processi produttivi non è più una variabile, un’eventualità, ma va considerata come un asset strategico per ogni impresa, dalle più grandi alle PMI, sullo stesso livello di importanza dei vari asset produttivi e commerciali, perché se non c’è sicurezza informatica è a forte rischio ogni altra attività”.

L’Italia nell’occhio del ciclone di hacker e cracker

Un attacco informatico su quattro, il 25% del totale, in Italia è diretto contro le aziende e il mondo manifatturiero. È il settore in assoluto più colpito nel nostro Paese, insieme a istituzioni e Difesa, e precede quello finanziario e assicurativo (colpito nel 19% degli attacchi), quello dei servizi professionali (15%) e dell’Energia (11%), secondo le evidenze di una ricerca di IBM.

Non solo. L’Italia risulta particolarmente nell’occhio del ciclone: nel corso dell’ultimo anno, come denuncia il Clusit, nel Bel Paese i cyber-attacchi sono aumentati del 169%, a fronte di una crescita media mondiale pari al 21%. Questi i principali obiettivi e conseguenze: estorsione (nel 19% dei casi), furto di dati (con la stessa percentuale di frequenza), furto di credenziali riservate e critiche (11%), Data leaks (con un analogo 11%).

“Occorre sempre più promuovere la conoscenza delle minacce informatiche, la consapevolezza del rischio e l’adozione di buone pratiche per limitare i pericoli di cybersecurity, all’interno di tutte le aziende e in particolare tra le piccole e medie imprese, che spesso risultano meno protette e più vulnerabili rispetto a realtà più grandi e strutturate”, sottolinea Gianluigi Viscardi, coordinatore della rete nazionale DIH (Digital innovation hub) di Confindustria.

Le PMI come ‘porte di accesso’ a obiettivi più grandi

Spesso, fanno notare gli addetti ai lavori, le PMI rappresentano le ‘porte di accesso’ per entrare nelle reti informatiche e colpire anche le grandi aziende. In molti casi, infatti, hacker e cracker cercano e trovano il punto debole di un sistema per profanarlo e colpirlo, e questo punto debole “molte volte è rappresentato proprio dalle piccole e medie imprese, quando si fanno trovare deboli e impreparate di fronte alle minacce cyber”, fa notare Pierluigi Petrali, direttore DIH Lombardia.

Per questo, nessuno e nessuna azienda può chiamarsi fuori: “i pirati informatici non colpiscono solo direttamente i loro obiettivi principali e finali, ma si servono di altri anelli della stessa catena per raggiungere i loro scopi”, sottolinea ancora Incerti. In questo senso, le catene di fornitura rappresentano altrettante catene di sistemi informatici che possono essere presi di mira e colpiti.

“La vergogna è nascondere le vulnerabilità sotto il tappeto”

“Bisogna evitare l’obsolescenza di prodotti e sistemi, anche in ambito cybersecurity”, fa notare Stefano Macario, esperto in sicurezza informatica di Siemens, “ed è meglio rivolgersi a fornitori che nel caso ci informino di eventuali e nuove vulnerabilità di prodotto o di sistema, perché la vulnerabilità non è una vergogna, ma è una vergogna nascondere le vulnerabilità sotto il tappeto”.

Sempre secondo le analisi della situazione, il 26% delle PMI italiane, in media una su quattro, ha subito cyber-attacchi nel corso del 2022. La consapevolezza delle minacce e del problema sta crescendo, come anche e di conseguenza le risorse e gli investimenti dedicati. Nell’ultimo anno strumenti e difese di cybersecurity sono diventati la priorità di investimento per le piccole e medie imprese del Paese, secondo i rilevamenti degli Osservatori Digital Innovation del Politecnico di Milano. Per il 2023, il 52% delle PMI ha destinato budget per interventi di cybersecurity: in media vengono spesi 4.800 euro per ogni impresa, per un totale di 470 milioni di euro. E “una media di 4.800 euro per ogni PMI è senza dubbio una cifra e un investimento migliorabili”, fa notare Petrali.

Ciò significa anche che il 48% delle PMI per l’anno in corso non ha destinato risorse per proteggere e rendere più impermeabili le proprie reti informatiche. E il livello di protezione di un’azienda sta sempre più diventando un fattore che la qualifica anche di fronte a potenziali clienti e partner: il nuovo Codice degli appalti, all’articolo 108 comma 4, per i fornitori di un progetto d’appalto prevede che debbano essere tenute in considerazione le misure di cybersecurity messe in campo, che devono essere certificate, documentate e dimostrate.

Il ‘Roadshow Cyber 4.0’ nelle regioni italiane

Il ‘Roadshow Cyber 4.0’, attraverso “interventi informativi e formativi, condivisioni di dati reali ed esperienze vissute, permette di rappresentare il contesto strategico e presentare le opportunità di sviluppo in ambito cybersecurity per le PMI e le imprese di ogni settore”, rileva Matteo Lucchetti, direttore operativo di Cyber 4.0.

Da qui a dicembre le prossime tappe di questo tour nazionale, per incontrare imprese e protagonisti dei territori, sono in programma a: Pesaro, Firenze, Torino, Parma, Udine, Bari, Cagliari, Trento e Venezia.

“Le diverse sessioni di ogni evento, strutturate in maniera interattiva e multidisciplinare”, spiega Lucchetti, “permettono ai partecipanti di conoscere i rischi informatici applicabili ai diversi contesti tecnologici, comprendere come individuare le priorità di azione, conoscere gli strumenti operativi per difendersi e reagire alle minacce informatiche, approfondire e condividere diversi punti di vista in materia”.

Il Social engineering, ovvero l’arte di manipolare le persone

L’awareness, e quindi la consapevolezza dei rischi e dei comportamenti corretti da adottare, “rivestono un ruolo fondamentale nel garantire la sicurezza del patrimonio informativo aziendale così come la vita di tutti i giorni”, si rimarca nel libro ‘Il fattore umano nella cyber security’, a cura di Nicola Sotira e pubblicato da FrancoAngeli.

E si mette in evidenza: “le priorità di cyber security non sono le stesse per ogni impresa, perché dipendono dalle caratteristiche dell’impresa stessa. È a questo punto che gli obiettivi e i contenuti del programma di awareness diventano unici per l’azienda”. Il Social engineering, ad esempio, è l’arte di manipolare le persone al fine di ingannarle e convincercele a fornire informazioni riservate, come dati finanziari o codici di accesso, fingendosi un soggetto affidabile. Come? Facendo leva sulle emozioni, via e-mail, via Sms, su chat o durante telefonate, cercando di conquistare la fiducia dell’utente, di creare empatia o al contrario di incutere timore e senso di emergenza, per indurre la vittima ad agire in maniera impulsiva.

La comunicazione ‘artificiale’ deve essere protetta e sicura

In un altro volume sulle nuove tecnologie, intitolato ‘Comunicazione Artificiale’ e pubblicato da Egea, la casa editrice dell’Università Bocconi, Elena Esposito rimarca: “se le macchine contribuiranno all’intelligenza sociale, non sarà perché hanno imparato a pensare come noi, ma perché noi abbiamo imparato a comunicare con loro”. Da qui dunque la proposta di pensare alle tecnologie digitali e alle macchine ‘intelligenti’ “non in termini di intelligenza artificiale ma di comunicazione artificiale”.

L’analisi dei problemi più urgenti legati all’uso degli algoritmi nella nostra società e nelle aziende “non è solo una questione tecnica, ma è innanzitutto una questione comunicativa, una questione di comunicazione artificiale”, fa notare Esposito, in cui il ruolo della cyber-sicurezza è centrale per garantire il buon funzionamento di ogni dispositivo e macchinario. E di tutto ciò che vi è collegato.

Valuta la qualità di questo articolo

C
Stefano Casini

Giornalista specializzato nei settori dell'Economia, delle imprese, delle tecnologie e dell'innovazione. Dopo il master all'IFG, l'Istituto per la Formazione al Giornalismo di Milano, in oltre 20 anni di attività, nell'ambito del giornalismo e della Comunicazione, ha lavorato per Panorama Economy, Il Mondo, Italia Oggi, TgCom24, Gruppo Mediolanum, Università Iulm. Attualmente collabora con Innovation Post, Corriere Innovazione, Libero, Giornale di Brescia, La Provincia di Como, casa editrice Tecniche Nuove. Contatti: stefano.stefanocasini@gmail.com

email Seguimi su

Articoli correlati

Articolo 1 di 4