Quali le misure che il sistema-paese ha disposizione per difendersi dal cybercrime? Se ne è discusso al Cyber Security 360 Summit, l’evento organizzato dal Gruppo Digital360 a Roma cui hanno partecipato rappresentanti delle istituzioni, delle imprese e dell’università, all’interno della tavola rotonda moderata da Alessandro Longo, direttore responsabile Agendadigitale.eu.
Uno dei pilastri della nostra cyberdifesa, in linea con quanto previsto a livello europeo, è rappresentato dai Cert (Computer emergency response team), soggetti che erogano servizi di supporto, formazione, informazione, ricerca e sviluppo per i loro utenti, pubblici o privati. Ora, come ha sottolineato Corrado Giustozzi, esperto di sicurezza cibernetica di Agid per il Cert della Pubblica amministrazione, i Cert si stanno aggiornando in linea con l’evoluzione delle minacce e dei nuovi approcci di difesa: il focus non è più la “risposta” ma la “readiness”, ovvero fornire strumenti non solo per reagire agli attacchi dopo che si sono verificati ma per affrontare le sfide prima o nel momento in cui si presentano. E se la molteplicità di attori preposti alla cyberdifesa può sembrare un ostacolo, per Giustozzi “oggi c’è un quadro più chiaro su chi deve fare che cosa. I prossimi appuntamenti sono molto importanti: c’è solo il Gdpr, il regolamento sulla protezione dei dati, ma anche la direttiva Nis per la protezione delle infrastrutture digitali”.
Il Gdpr è un’occasione per cambiare l’approccio sullo sviluppo dei prodotti di security, ha sottolineato Michele Slocovich, Solution Design Director di CAST, Director of Outreach Italy CISQ e Docente CS all’Università Luigi Bocconi. Non solo vincoli dalla normativa, quindi, ma uno stimolo a progettare incorporando la sicurezza by design e inserendola “anche nei prodotti e nelle applicazioni”; anzi, nell’era di Industria 4.0 “è tutta la filiera che deve essere certificata da standard di sicurezza a 360 gradi, purché con costi accessibili, altrimenti le imprese continueranno a preferire di correre il rischio piuttosto che spendere per difendersi”, ha messo in guardia Slocovich.
La Internet of Things ha bisogno di un “framework di prodotto”, ha ribadito Marcello Manca, VP, Gov & Industry Affairs, Europe UL: standard di sviluppo e certificazione per gli oggetti connessi a Internet che ne garantiscano la sicurezza e riducano le vulnerabilità. “Le certificazioni di prodotto già esistono in Europa e anche l’Italia le sta testando”, ha indicato Manca; “si lavora soprattutto sull’infrastruttura critica ma occorrono soluzioni per tutti i settori e industry-friendly, ovvero con costi accessibili. Oggi tende a prevalere il sistema dell’autocertificazione, ma con minacce in crescita esponenziale e sempre più complesse non è sufficiente: serve uno standard superiore che isoli il rischio di prodotti non conformi che creano danni agli operatori economici e rendono vulnerabile l’intero sistema-paese”.
L’opportunità della IoT per il sistema produttivo può essere colta a pieno solo con le giuste competenze, ha affermato Camil Demetrescu, professore di Ingegneria informatica all’Università La Sapienza di Roma. L’Italia non solo deve diffondere le digital skills nei lavoratori attuali ma “formare gli insegnanti e intercettare i giovani di talento fin dalla scuola”, ha detto Demetrescu, che è anche il coordinatore del Cyberchallenge, il primo programma italiano di addestramento alla cybersecurity dedicato agli studenti delle scuole medie superiori e dei primi anni di università promosso dall’Università La Sapienza e dal Consorzio Cini. Formare nuove generazioni di innovatori nell’ambito della cybersecurity per colmare in Italia il gap di esperti in ambito industriale, governativo e di ricerca è essenziale: conoscere il cyberspazio è elemento strategico per fare impresa, per amministrare il paese e per esercitare a pieno la cittadinanza digitale.