Sarà che ottobre è il mese della sicurezza informatica. Sarà che malware e attacchi di hacker sono all’onore delle cronache quasi quotidianamente. Sarà infine che il grado di penetrazione delle tecnologie digitali, fuori e dentro le aziende, è così elevato che nessuno ormai può più ignorare i rischi legati alle interazioni on line. Per tutte queste ragioni non stupisce affatto che la terza edizione del WOW Samsung Business Summit, di scena oggi a Milano, sia stata completamente dedicata alla cyber security, con una serie di interventi e panel tenuti da rappresentanti dell’impresa, della ricerca, dell’associazionismo, della politica e delle autorità garanti oltre che delle forze dell’ordine. Tutti gli attori, insomma, che sono chiamati a comporre un complesso mosaico a cavallo di infrastruttura, regolamentazione e cultura, lo sfondo su cui saranno delineate le strategie di digital transformation del Paese. “Un passo necessario anche per rendere l’Italia un mercato appetibile per gli investitori esteri”, ha commentato Roberto Baldoni, Direttore CIS Sapienza Università di Roma e Direttore Laboratorio Nazionale di Cyber security (CINI). “La cyber security è un vero game changer, cambia l’ordine di idee con cui vedremo il nostro mondo, superando la tradizionale distinzione tra Paesi sviluppati e non, favorendo invece le società che sapranno interpretare i meccanismi multidimensionali del cyber spazio e rendere la sicurezza informatica un vantaggio competitivo anziché un costo”. Riferendosi al decreto Gentiloni, Baldoni lo definisce un “buon piano operativo, ma dobbiamo trasformarlo in una implementazione efficiente: il framework descritto punta a definire un linguaggio comune tra i vari attori dell’ecosistema, poi bisogna riuscire a portare competenze e buone pratiche a tutti i livelli del sistema economico, a partire dai contratti tra pubblico e privato e includendo il mondo delle PMI”.
Milano e Lombardia capofila dell’innovazione
A che punto è dunque il sistema nazionale? Se si parla di Lombardia e Milano, la situazione sembrerebbe essere incoraggiante. Roberto Maroni, governatore della Regione, ha ricordato il recente referendum sulle autonomie: “È stata la prima volta che si è tenuta una consultazione che prevedeva anche il voto elettronico, grazie a 24 mila apparecchi installati in 9.600 seggi elettorali. Nonostante fosse circolata la falsa notizia di un attacco hacker al sistema, siamo riusciti a smentirla e a garantire la sicurezza informatica del processo di voto. Ora possiamo mettere a disposizione questa esperienza a chiunque sia interessato a replicarla. D’altra parte, la Regione investe molto in innovazione e ricerca. Siamo passati da risorse pubbliche e private pari all’1,3% del PIL (330 miliardi di euro) del 2013 all’attuale 3%. Il focus? Su SPID, certificazioni sanitarie e sistema dei pagamenti”. Di Milano ha invece parlato Roberta Cocco, già manager Microsoft e assessore alla Trasformazione digitale e ai Servizi civici della giunta Sala, citando il sorpasso storico dei certificati digitali (54%) su quelli cartacei registrato a settembre. “Il piano di sviluppo del Comune si basa su quattro pilastri: infrastruttura, servizi, educazione e competenze”. Se sui primi tre elementi Cocco si è detta soddisfatta, rispetto al match tra domanda e offerta di lavoro, specialmente in ambito cyber security, ha lamentato la carenza di profili adatti.
La percezione del livello di sicurezza in Italia
Il Samsung Business Summit è stato anche l’occasione per divulgare i risultati di un sondaggio dedicato alla percezione dei livelli di protezione e sicurezza dei device nell’ambito personale e lavorativo, un’indagine basata sulle risposte degli oltre 500 partecipanti provenienti dalle aziende che hanno aderito all’evento. Rispetto alla percezione della sicurezza in ufficio l’87,1% del campione ritiene che il proprio luogo di lavoro metta a disposizione degli strumenti di difesa dagli attacchi informatici, mentre meno netto è il giudizio sui provvedimenti in tema di sicurezza informatica intrapresi dal governo italiano: infatti, il 39,8% li ritiene al momento adeguati, il 33% pensa il contrario. E proprio di questi temi si parlerà nell’edizione 2017 del Cybersecurity 360 Summit (qui le registrazioni) di Digital 360, che si terrà il 14 novembre al centro congressi Roma eventi piazza di Spagna.
Le cose potrebbero cambiare nel momento in cui anche gli strumenti e i servizi di consulenza sulla sicurezza informatica fossero coinvolti nel piano di incentivazione Industria 4.0. Giorgio Mosca, presidente Cybersecurity Steering Committee di Confindustria Digitale, ha spiegato che “nella legge di Bilancio è stato fatto un piccolo passo avanti, includendo tra le spese agevolate quelle per componenti software per la cybersecurity. Ma si tratta”, ha sottolineato Mosca, di un 4-5% della spesa. Servirebbe includere anche i servizi. Industria 4.0 e cyber security sono due facce della stessa medaglia”.
L’evento è proseguito con una serie di dibattiti che hanno coinvolto diverse personalità provenienti da tutti i settori sopra citati: da Andrea Malacrida, Amministratore Delegato The Adecco Group Italia a Fabio Cappelli, Partner EY, Mediterranean Cyber security Leader, passando per Simone Puksic, Presidente del Consiglio di Amministrazione di Insiel S.p.A e Presidente di Assinter Italia, Sergio Boccadutri, Membro dell’Intergruppo Parlamentare Innovazione e Responsabile Innovazione PD, e Guido Bortoni, Presidente Authority per l’Energia. Ma hanno parlato anche Riccardo Capecchi, Segretario Generale AGCOM, Maurizio Pimpinella, Presidente dell’Associazione Italiana Prestatori di Servizi di Pagamento (APSP), Andrea Raffaelli, Tenente Colonnello, Comandante Carabinieri ROS (Reparto Operativo Speciale), Salvatore La Barbera, Primo Dirigente, Polizia Postale di Milano, e il giornalista Enrico Mentana.
Parola d’ordine: condivisione
La testimonianza di Francesco Morelli, Responsabile della Tutela Aziendale di Terna, è stata particolarmente rilevante rispetto a ciò che è la situazione di fatto: Morelli ha precisato che la sua organizzazione si basa su un approccio alla sicurezza integrato, che comprende la parte fisica, quella cyber oltre alla gestione dei rischi. “Le nostre sono pratiche consolidate innanzitutto nella prevenzione, nella previsione e nella preparazione a possibili attacchi, in modo che quando si verifica un’emergenza tutti sappiano cosa fare e con quali tempistiche. Ci sono aziende che sostengono di dover rispondere ad almeno un attacco al giorno. Noi solo ieri ne abbiamo ricevuti 5.700, e nonostante questo non abbiamo registrato violazioni del sistema. Su 140 mila mail ricevute quotidianamente, 80 mila sono spam e tentativi di phishing”. La chiave del successo di Terna, secondo Morelli, va ricondotta all’applicazione di logiche di enterprise management nella gestione della sicurezza, con la costante mappatura di tutti i rischi interni ed esterni, valutati in base all’importanza dei singoli asset e supportata da analisi comportamentali dal punto di vista statistico”. Sono poi fondamentali le collaborazioni con i CERT (Computer Emergency Response Team) nazionali e con la polizia postale, anche perché la gestione condivisa di una situazione d’emergenza può salvare altre organizzazioni, visto che spesso abbiamo a che fare con attacchi replicati, clonati, massivi”.
Filosofia sposata in pieno dal padrone di casa, Carlo Barlocco, Presidente di Samsung Electronics Italia. “Noi disponiamo di diverse soluzioni per la cyber security, ma perché siano davvero efficaci è necessaria la condivisione con altre realtà, occorre la volontà comune di collaborare in un mercato competitivo e di affrontare insieme i pericoli che hanno spazzato via il concetto di invulnerabilità ben al di là dei perimetri aziendali. Tutto questo senza mai dimenticare la componente umana”, ha concluso Barlocco. “Qualunque soluzione perde valore se le procedure non sono chiare e se gli utenti finali – come anche i manager – non sono consapevoli dei propri comportamenti nel cyber spazio”.