Gli attacchi informatici nel 2018 sono aumentati del 32% (studio F-Secure - Ict Security Magazine), secondo Gartner gli investimenti per tutelarsi cresceranno del 60% entro il 2020, ma intanto se in Europa il denaro destinato alla sicurezza informatica vale il 30% del totale, in Italia siamo fermi al 10%. A rischio le infrastrutture bersaglio degli attacchi: dispositivi casalinghi IoT, reti aziendali e pubbliche, reti welfare, come la Sanità.
Sono i dati citati da Mario Menichetti, Ceo di Cips Informatica, in occasione del Digital Channel Forum Spring Edition, appuntamento fisso organizzato dal canale Cips Informatica dedicato alla sicurezza Ict, dal 1991. Un momento d’incontro per system integrator, operatori e clienti, per fare il punto sulle tecnologie, gli aspetti legali e l’offerta Cips, sulla quale gli operatori stessi, a contatto con le aziende, costruiscono le proprie soluzioni.
«È una grossa opportunità di business - commenta Mario Menichetti - il mercato legato a soluzioni di gestione della sicurezza informatica è cresciuto del 12% nel 2018 e per il 2019 ci si aspetta una cifra analoga, pari a 124 miliardi di dollari, secondo Gartner». La tecnologia si evolve rapidamente, la complessità è sempre più elevata perché c’è di messo la connessione, in più soprattutto in Italia le aziende hanno dimensioni ridotte e per motivi di costi non riescono a integrare un reparto IT. La proposta di Cips è un modello Mssp, Managed Security service provider basato sui dati, nel quale Cips si propone come un aggregatore di soluzioni, anche white label, e di competenze, messe a disposizione dei system integrator. Questi, a contatto con il cliente, definiscono la soluzione più adatta servendosi dalla cassetta degli attrezzi di Cips e configurando gli strumenti su misura, per dare risposte in real time basate sui dati. La soluzione viene poi proposta al mercato al prezzo ritenuto più corretto in base al valore dell’expertise che è stato applicato: a discrezione dell’operatore.
Cips si propone ai professionisti con una formula basata su un canone mensile, o pay per use, molto flessibile, dove le infrastrutture pesano poco perché quasi tutto è in cloud. La sicurezza quindi diventa un servizio altamente professionale da affidare a terzi, se non è possibile gestirlo internamente con la necessaria flessibilità, e basato sui dati, visto che anche i criminali informatici sfruttano i dati per i loro attacchi. «La differenza è questa - spiega Menichetti - essere proattivi grazie al cloud e ai big data. Il problema principale è la mancanza di conoscenza da parte delle aziende, cui si somma la scarsa sensibilità da parte dell’utente finale. La complessità impone che l’operatore riconquisti la professionalità che gli compete. I principi espressi dal decalogo della ISO 27000 sono quelli poi entrati nel Gdpr, le linee guida c’erano già, di Data Driven Economy in Europa si parla da dieci anni e si basa tutto sulla fiducia. Senza la fiducia degli utenti l’economia non va avanti».
Violazioni: il punto di vista legale
Un altro dato segnalato da Mario Menichetti riguarda il tempo occorrente alle imprese per accorgersi di una violazione: tre settimane. Da qui ci sono 72 ore per comunicarlo, ove previsto, all’Autorità, 72 ore nelle quali bisognerà ricostruire l’accaduto ed essere in grado di fornire prove efficaci della propria accountability. Il contesto normativo è quello dato dal Gdpr e dalla ISO 27000. «La prova di un fatto digitale è a sua volta digitale - spiega l’avvocato Giuseppe Serafini, Law Firm, ISO/IEC 27001 Lead Auditor IT Laws, Forensics, Privacy & Security - che deve essere attinta dai dispositivi elettronici di elaborazione per portarla all’autorità giudiziaria oppure al Garante, nel caso di attività ispettive. Siamo passati da una lista dettagliata come quella presente nell’Allegato B della 196/2003, Disciplinare tecnico in materia di misure minime di sicurezza, a un obiettivo a tendere: riservatezza, integrità, disponibilità, resilienza, protezione dei diritti e delle libertà”. Un attacco informatico può avere conseguenza logiche e anche fisiche, per esempio un criptovirus su un database di cartelle cliniche impedisce l’accesso alle cartelle (effetto logico) e impedisce ai medici di operare a danno della salute dei pazienti (effetto fisico).
L’informatica insomma interviene nella vita quotidiana molto più di quanto si sia disposti ad accettare. «Da avvocato - prosegue Serafini - ritengo che nel framework legale debbano essere ricomprese anche le norme del codice di procedura penale e civile, e quelle del codice dell’amministrazione digitale, ovvero dell’efficacia probatoria del documento digitale». Per esempio, la stampa di un messaggio di posta elettronica senza l’header con l’IP di provenienza non ha efficacia probatoria. L’attendibilità, la genuinità del documento probatorio dipendono da come viene individuato, raccolto e conservato. In pratica, per poter affermare di aver predisposto misure idonee a contenere una violazione e a notificarla bisogna disporre di procedure, ruoli e responsabilità, per esempio con i log degli amministratori di sistema. «Gli attacchi sono purtroppo fisiologici - dice Serafini - cioè non si possono impedire. Proteggere i sistemi significa diminuire la probabilità che l’attacco abbia successo e, se la parte lesa dovesse chiedere un risarcimento in tribunale, disporre delle evidenze digitali idonee a supportare lo sforzo di accountability sostenuto. Occorre quindi configurare il sistema in modo che sia responsivo, cioè parli, permetta l’accertamento dei fatti tramite evidenze utilizzabili. Altrimenti è come se quel sistema non ci fosse. Come in una partita a scacchi: possiamo scegliere i bianchi, cioè avere una mossa di vantaggio sui criminali».
