Sono oltre 15mila gli attacchi informatici gravi, ovvero con un impatto sistemico in diversi aspetti della società, della politica, dell’economia e della geopolitica, che si sono verificati dal 2011 ad oggi. Di questi, più della metà (8.285) ha avuto luogo negli ultimi 4 anni e mezzo, periodo in cui la media mensile è passata da 124 a 190, segno di una smisurata accelerazione delle minacce cibernetiche. Un’escalation inarrestabile: se confrontati con il primo semestre 2018, gli attacchi da gennaio a giugno 2022 hanno infatti fatto registrare un’ulteriore crescita del 53%, con 1.141 attacchi cyber gravi (+8,4% rispetto al primo semestre 2021) e un picco di 225 attacchi a marzo 2022, il valore più alto mai verificato.
E’ la preoccupante fotografia scattata dall’ultimo Rapporto Clusit Clusit, Associazione italiana per la sicurezza informatica che parla di “cambiamento epocale” nei livelli globali di cyber-insicurezza al quale tuttavia non è corrisposto un incremento sufficiente delle contromisure difensive.
Attacchi sempre più gravi
I ricercatori di Clusit hanno valutato e classificato anche i livelli di impatto dei singoli incidenti, sulla base di aspetti economici, sociali e relativi all’immagine e alle ripercussioni dal punto di vista geopolitico e hanno evidenziato che il trend di crescita degli attacchi riguarda anche la “qualità” degli stessi messa a punto dai cyber criminali, che agisce da moltiplicatore dei danni. Confermando una tendenza già evidente nel 2021, gli attacchi gravi con effetti molto importanti sono stati nel primo semestre 2022 il 45% del totale, mentre quelli con impatto “critico” arrivano nei primi sei mesi di quest’anno a rappresentare un terzo di tutti gli attacchi. Nel complesso, gli attacchi con impatto Critical e High sono stati il 78% del totale.
In testa alla classifica delle vittime in termini percentuali i “Multiple Targets”, rappresentando il 22% del totale. In termini di crescita percentuale seguono le categorie “Telecommunication” (+77,8%), “Financial-Insurance” (+76,7%), “News-Multimedia” (+50%), “Manufacturing” (+34%), “Other Services” (+30,8%) ed “Ict” (+11,5%), “Energy-Utilities” (+5,3%) ed “Healthcare” (+2,2%).
Il ruolo del Pnrr
Uno strumento fondamentale per affrontare le minacce informatiche e rendere il Paese più resiliente è rapprsentato dal Pnrr. All’interno della Missione 1 è previsto uno stanziamento di 620 milioni di euro per erigere un efficace sistema di protezione a fronte di un maggior ricorso all’uso del digitale.
I fondi resi disponibili dal Pnrr si riferiscono a interventi destinati a rendere più efficienti le difese digitali della Pubblica Amministrazione, al fine di assicurare ai cittadini e alle imprese servizi efficaci, in sicurezza e pienamente accessibili: infrastrutture, interoperabilità, piattaforme e servizi, e cybersecurity. L’obiettivo, viene detto esplicitamente, è rendere la PA la migliore “alleata” di cittadini e imprese, con un’offerta di servizi sempre più efficienti e facilmente accessibili.
Ma il Piano non si limita a “coprire” il perimetro dei sistemi pubblici. Implicitamente, delineando una strategia complessiva di digitalizzazione che riguarda anche le imprese, sottintende la necessità di ricorrere alla alla cybersecurity.
D’altra parte, non potrebbe essere altrimenti perché un maggiore ricorso al digitale, alle più moderne tecnologie di comunicazione e al cloud, come cita il Pnrr, prevede implicitamente una sempre più ampia ed efficace protezione delle infrastrutture IT.
Un discorso analogo vale per tutti quei casi che il Pnrr fa ricadere all’interno del tema digitalizzazione, innovazione e competitività delle imprese italiane e per il quale è previsto uno stanziamento di 26,7 miliardi di euro. Ma non solo. Il Pnrr fa anche riferimento alla Transizione 4.0 che prevede incentivi fiscali per quelle imprese che investono in beni strumentali, materiali ed immateriali, necessari a un’effettiva trasformazione digitale dei processi produttivi, nonché alle attività di ricerca e sviluppo connesse a questi investimenti.
Tutti progetti che prevedono implementazioni ad alto rischio di attacco da parte dei cybercriminali e dove quindi non può mancare un adeguato livello di protezione contro gli attacchi.
Dunque, anche se non sempre in modo manifesto, nel Piano nazionale la sicurezza informatica diventa protagonista ogni volta che si fa riferimento a un progetto di digitalizzazione sia che riguardi la PA sia le imprese private.
Investire nelle competenze
Ma risorse e piani strategici rischiano di non avere effetto se non accompagnati da un serio impegno sulle competenze. l’Agenzia Europea per la Cybersicurezza (Enisa) ha identificato la necessità in ambito europeo di adottare un approccio comune per definire una serie di ruoli e competenze in materia di cybersicurezza che possono essere sfruttati per ridurre la carenza e il divario di competenze.
L’Agenzia ha dunque sviluppato lo European Cybersecurity Skills Framework (Ecsf)con l’obiettivo di rafforzare la cultura europea della cybersicurezza e, soprattutto, di fornire uno strumento pratico per supportare l’identificazione e l’articolazione di compiti, competenze, abilità e conoscenze associate ai ruoli dei professionisti europei della cybersicurezza.
I 12 ruoli professionali del quadro
L’Ecfs definisce una serie di 12 profili di ruoli professionali in ambito cybersecurity in grado di fornire supporto alle risorse umane per il reclutamento e valutazioni di ruoli in cybersicurezza. Ecco le figure:
· il Chief Information Security Officer (CISO) o Manager della sicurezza dell’informazione;
· il Cyber Incident Responder o Responsabile dell’incidente;
· il Cyber Legal, Policy and Compliance Officer o Responsabile per le politiche cyber e legale;
· il Cyber Threat Intelligence Specialist o Specialista per minacce cyber;
· il Cybersecurity Architect;
· il Cybersecurity Auditor o lo specialista di conformità;
· il Cybersecurity Educator o l’Educatore in cybersicurezza (e anche sensibilizzatore su attività cyber);
· il Cybersecurity Implementer o Tecnico di cybersicurezza;
· il Cybersecurity Researcher o Ricercatore in cybersecurity;
· il Cybersecurity Risk Manager o Gestore di cyber rischi in cybersicurezza;
· il Digital Forensics Investigator o Investigatore forense digitale;
· il Penetration Tester.
Il database per gli studenti universitari
Enisa ha inoltre sviluppato il Cyber Education Higher Database, un web database che elenca più di 130 programmi accademici in cybersicurezza in Europa che aiuta gli studenti a trovare il programma che soddisfa i loro interessi e li sostiene nella scelta dei percorsi possibili di carriera, andando anche a colmare il divario tra l’ambiente professionale e gli ambienti di apprendimento.
Minori a rischio
Ma il tema cyber non riguarda solo la protezione di imprese e PA ma anche la tutela dei minori, parecchio esposti ai pericoli sul web. Secondo l’Internet Watch Foundation, la pandemia ha impresso un incremento di oltre il 64% della circolazione del materiale che ritrae abusi sui minori.
Il fenomeno dell’adescamento online nel 2021 ha messo a segno un aumento del +33% rispetto all’anno 2020.
La fascia d’età più esposta è quella 10-13 anni, dove l’incremento è pari al 38%. I casi dei bambini under 10 erano quasi assenti pre-pandemia, invece hanno registrato un balzo in seguito ai lockdown dovuti all’emergenza sanitaria.
Anche il cyberbullismo non conosce sosta. Il fenomeno ha registrato una crescita del 13%, fra il 2020 e il 2021. Nella fascia d’età under 10 anni le cifre non sono cambiante, mentre l’aumento maggiore colpisce la fascia dei teenager fra 14-17 anni.
Per prevenire e fronteggiare gli abusi sui minori online (Children Sexual Abuse Material, Csam), la Commissione europea ha proposto uno schema di regolamento in cui si propone di creare un Centro europeo che metta collegamento fra Autorità nazionali, piattaforme e hosting provider.
Ma per proteggere i ragazzi serve soprattutto discutere di questi temi sui banchi di scuola, immaginando lezioni ad hoc sui pericoli della Rete e su come evitarli. E serve, infine, intensificare il dialogo con le famiglie per educare anch’esse a un uso consapevole e corretto delle nuove tecnologie.
In questo scenario, è fondamentale che anche le aziende del settore contribuiscano a supportare i più giovani e le loro famiglie nella creazione di un rapporto con il web sano e sicuro. È proprio con questo obiettivo che Eolo ha ideato una campagna video educational indirizzata ad un pubblico under 18, per guidare i ragazzi attraverso le possibili insidie che si nascondono in rete e aiutarli a beneficiare, invece, dei numerosi vantaggi che il mondo digitale ha da offrire loro. È questo il caso del video Pensare fuori dagli sche(r)mi, che, attraverso la speciale partecipazione di uno psicologo clinico, vuole aiutare i giovanissimi ad utilizzare internet con consapevolezza. I video del progetto verranno pubblicati con cadenza settimanale e saranno disponibili sul canale Youtube e Linkedin di Eolo.
