Recenti survey, presentate ad ITASEC17, tenutosi a Venezia dal 17 al 20 gennaio, dimostrano una esposizione crescente dell’Italia ad attacchi cyber in particolare nel settore delle assicurazioni e delle PMI. Ne parliamo con Andrea Farina Presidente di Itway Group.
Come vede la prospettiva di questo settore in Italia, sotto il profilo della sicurezza digitale?
Il rischio cyber evolve rapidamente ponendo nuove sfide: è del febbraio 2016 il tentativo di sottrarre 951 milioni di dollari della Banca del Bangladesh dalla Federal Reserve Bank di New York con una perdita finale di 62 milioni di dollari. Sono ancora in corso le polemiche sull’attività di spionaggio e hackeraggio durante le elezioni americane, le minacce di ritorsioni, e, infine, l’intrusione nei file e nelle comunicazioni delle massime autorità del nostro Paese.
Che ruolo possono avere le assicurazioni?
Possono avere un ruolo duplice: da un lato sono una componente della domanda, dall’altro sono un servizio che può aiutare la crescita del mercato della cyber security. Dobbiamo intendere il mercato come rete di competenze e di capacità di soluzione. Infatti, come aziende le assicurazioni condividono l’esigenza delle banche di sviluppare sempre più il proprio business on line, e in questo hanno bisogno di livelli crescenti sicurezza cyber e di capacità professionali di alto livello, che aziende come la nostra possono offrire. Come erogatori di servizi assicurativi – ce lo dicono le survey internazionali – le compagnie hanno di fronte un mercato crescente per coprire i rischi cyber.
È un mercato nascente.
Lo sviluppo di questo mercato è chiaro: ma non dimentichiamo che questa crescita va guidata e aiutata, per evitare che la mancanza di statistiche affidabili sui rischi cyber specifici finisca per creare premi troppo costosi e rallentare lo sviluppo del mercato. Se invece questo mercato cresce per effetto dell’affermarsi di standard di protezioni che, se adottati, consentono di ridurre il costo dei premi, il sistema ne beneficerà e potrà avvalersi delle competenze di aziende che forniscono competenze e servizi per la sicurezza.
Quale è il ruolo di Itway nel settore del credito, attraversato oggi da una profonda riorganizzazione e da un cambiamento rapido dei canali di vendita?
Nel settore bancario la digitalizzazione rappresenta una indiscutibile opportunità, ma la sua adozione aumenta la superficie di attacco, con gli accessi home banking, app etc. che offrono nuove opportunità al malintenzionato. Oggi il malware non è più un episodio, si aggiorna, mette nel browser servizi e distorsioni non volute dall’utente, ma volute da “clienti” che pagano, quasi un malware as a service. Ma non dimentichiamo che nelle banche gli attacchi interni sono ancora i più pericolosi: è l’accesso ai sistemi interni che consente, ad esempio, di trafugare i pin dei bancomat permettendo di clonare migliaia di carte per effettuare sottrazioni molto rapide e massive.
In Italia è stato costituito il CERTFIN, promosso da ABI e Banca d’Italia.
Presentato proprio a Ita Sec 17 il CERTFIN rappresenta ad oggi il contributo più importante alla sicurezza del settore finanziario. Mi pare possa rappresentare un esempio molto efficace e promettente della cooperazione tra pubblico e privato, su stimolo del governo. Grazie alla nostra controllata Business-e siamo presenti ai massimi livelli nel settore delle banche e delle assicurazioni. Il Gruppo si sente parte di un sistema di collaborazione pubblico-privato in cui il settore finanziario si dota di un centro di competenza e di scambio delle informazioni nel quale vogliamo essere coinvolti per fornire il nostro know how e la nostra esperienza pluridecennale nel settore della cyber security. Un centro che fino ad oggi mancava e che può allineare il nostro Paese alle migliori pratiche internazionali: un centro con cui siamo pronti a collaborare da oggi.
Quali problemi devono affrontare le aziende che si pongono l’obiettivo di utilizzare le tecnologie digitali globali per diventare industrie 4.0?
Innanzitutto, le PMI vanno aiutate a capire che tutto diventerà digitale dal primo all’ultimo passaggio, dalla progettazione alla prototipazione, al processo di produzione, al controllo di qualità, alla logistica, al marketing, alla vendita. Per un’azienda tradizionale, magari gestita bene su base artigianale, è uno sforzo enorme. La cyber security in termini di protezione e difesa dei dati e delle infrastrutture ha impatto su aspetti tecnologici, procedurali, formativi, regolativi. La sicurezza dei servizi in cloud, il nuovo regolamento sulla privacy, i big data, la protezione infrastrutture critiche, lo SPID, l’Agenda digitale, e la resilienza rispetto agli effetti dannosi di attacchi informatici sono i principali ambiti in cui la sicurezza gioca un ruolo di conditio sine qua non. Lo ha ricordato l’intervento del Sottosegretario Baretta che ha chiuso il panel promosso da Mancini di Business-e, cui hanno portato puntuali contributi istituzionali Tambato del MISE, Gentile del MAE, La Puca della Difesa, Zorer di Trentino Network. Gli standard tecnologici e procedurali investono il modo di operare delle aziende e portano a ridurre il costo della protezione cyber anche per le PMI. Sono modelli di riferimento comuni ma devono essere declinati secondo le esigenze di sicurezza e l’esposizione ai rischi specifici dei diversi settori di mercato. Il NIST negli USA lavora per la loro diffusione e così sta facendo il Framework per la security in Italia puntando proprio a coinvolgere le PMI. Queste, da un lato sono oggi troppo esposte al rischio cyber, dall’altro sono portatrici di conoscenze e capacità innovative anche nel settore della sicurezza. Sappiamo che le PMI sono la chiave per la crescita della consapevolezza e delle capacità professionali sul tema cyber security nel nostro Paese e in Europa e si considera loro partner.