I sistemi informatici costituiscono ormai le fondamenta della nostra vita, come la nostra salute, sia a livello personale (es. gli smartphone, senza i quali ci sentiamo perduti) sia a livello familiare sociale globale (praticamente tutte le attività ed i servizi sono gestite attraverso sistemi automatizzati). Il fatto che per la maggior parte del tempo tutto funzioni o che mi senta bene, o che i malfunzionamenti o i picculi disturbi siano brevi e facilmente risolti, comporta in molti una falsa sicurezza di avere sempre tutto funzionante ed in piena salute; i problemi diventano evidenti a tutti solo quando qualche sistema importante non funziona come previsto, e li poi si corre a cercare rimedio!!

Le minacce

Le cronache delle ultime settimane hanno fornito diverse dimostrazioni di eventi gravi (disagi per i mezzi di trasporto, furti o accessi abusivi a dati, persino operazioni statali di attacco a organizzazioni nemiche), ma solo questi arrivano sui media; la stragrande maggioranza dei casi rimane noto solo a chi è coinvolto ed agli addetti ai lavori (per rendersene conto, a puro titolo di esempio, si può consultare l’elenco completo degli attacchi “ransomware” andati a segno in Italia negli ultimi anni). Semplificando molto, gli impatti principali che un’organizzazione può subire sono:

  • furto o perdita di riservatezza di dati;
  • blocco totale delle attività, oppure operatività gravemente degradata;
  • qualità insufficiente delle attività.

Questi impatti sono conseguenza del verificarsi di eventi non voluti (“minacce”), i cui più significativi sono:

  • guasti alle apparecchiature fisiche o malfunzionamenti dei software;
  • eventi ambientali (allagamenti, scariche elettriche, terremoti);
  • attacchi dall’esterno (comunemente noti come “attacchi hacker”, anche se il termine è scorretto);
  • attacchi dall’interno (lavoratori infedeli);
  • errori umani (di gran lunga i più diffusi).

A questi, che possiamo considerare “normali”, dobbiamo aggiungere le azioni di guerra, convenzionali o informatiche che siano, che hanno proprio come scopo il blocco di determinati servizi fondamentali (es. comunicazioni, banche, produzione di energia).

Le recenti normative italiane ed europee

Non è quindi un caso che nell’ultimo decennio l’Unione Europea abbia avuto come priorità l’innalzamento delle difese contro le minacce appena ricordate, allo scopo di tutelare sia gli individui che il tessuto sociale ed economico. In queste pagine trattiamo principalmente la normativa sulla protezione dei dati personali (“GDPR”), che è appunto dedicata alla tutela degli individui, ma esistono altre normative la cui applicazione è tema proprio di questi mesi. L’approccio di queste normative, ognuna delle quali affronta il problema o a livello generale o in ambiti specifici, è comunque comune: ogni organizzazione soggetta deve effettuare valutazioni di rischio rispetto sia agli impatti sociali che alla propria operatività e sopravvivenza; mettere in campo le misure che mitigano tali rischi (in modo da minimizzare gli eventuali impatti); innalzare la consapevolezza tramite la formazione; imporre obblighi equivalenti ai propri fornitori di prodotti e servizi; segnalare gli incidenti che la coinvolgono (lo scopo è quello di condividere le esperienze, in modo che tutti possano reagire tempestivamente); e di tutto ciò è primo responsabile il livello direttivo dell’organizzazione (che equivale a dire che la sicurezza informatica deve entrare a far parte delle attività strategiche).

Per chi volesse approfondire, le normative “sulla cresta dell’onda” sono note come: NIS2, DORA, CES a livello europeo; e il decreto cybersicurezza (Legge 28 giugno 2024, n. 90) e il decreto sul perimetro di sicurezza nazionale cibernetica (DL 21 settembre 2019, n. 105, convertito, con modificazioni, dalla Legge 18 novembre 2019, n. 133) a livello nazionale.

La necessità universale della sicurezza informatica

Le normative appena ricordate non si applicano indistintamente a tutti i soggetti, in particolare esiste un limite di dimensione per cui apparentemente sono escluse le PMI; “apparentemente” perché comunque le PMI sono spesso parte delle cosiddette “catene di approvvigionamento” (cioè le forniture di prodotti e servizi) di soggetti cui si applicano le normative, e come prima ricordato la sicurezza di tali catene è uno dei capisaldi dell’approccio normativo; ma l’elemento fondamentale di cui tutti, indistintamente, devono tenere conto è che le minacce e i relativi impatti riguardano tutti, indistintamente. Le probabilità di essere oggetto di un “incidente” segnano un incremento continuo, sia a causa dell’aumento della dipendenza dai sistemi informatici, sia dalla continua nascita di nuove minacce.

Un disservizio significativo può comportare il blocco totale delle attività di un’azienda, che comporta danni reputazionali ed economici devastanti, in non pochi casi può comportarne la scomparsa. Le statistiche parlano di 20 giorni (in media) di blocco delle attività, il che significa 20 giorni di mancati introiti, 20 giorni di inattività dei lavoratori, 20 giorni di spese impreviste per il ripristino, 20 giorni di utenti o clienti insoddisfatti, 20 giorni di riflettori addosso, senza contare le conseguenze successive (risarcimenti, ispezioni, etc). Vista la varietà di minacce e le loro probabilità, è inevitabile dover intervenire sia a livello preventivo (prevedendo misure che cerchino di impedire il verificarsi degli eventi, e tra questi ci sono gli strumenti di protezione come firewall, antivirus, crittografia) che a livello correttivo (quindi misure che ripristino l’operatività, quali backup, piani di continuità operativa e di disaster recovery).

Quindi, cosa bisogna fare?

Non c’è dubbio che la prima cosa da fare sia prendere coscienza del problema, prevenzione, e questo deve accadere in primis per il livello direttivo: basta immaginare di trovarsi un mattino senza poter utilizzare gli strumenti informatici normalmente utilizzati (ignorando, in questo esercizio, la causa e la probabilità di ciò). La presa di coscienza dovrebbe portare, indipendentemente dall’obbligo normativo, a ciò che richiede in sostanza la normativa: mettere in campo delle misure che permettano di tutelare sia l’organizzazione stessa che la società e gli individui ad essa in qualche modo correlati. Il processo non è dissimile da quello di adeguamento al GDPR, anzi è probabile che quanto fatto per la protezione dei dati personali possa risultare utile anche per la protezione complessiva dei sistemi informatici, e viceversa eventuali ulteriori adeguamenti possono ripercuotersi positivamente anche nella protezione dei dati personali.

Da un punto di vista più pratico, è necessario analizzare approfonditamente i propri sistemi informatici, per individuarne le debolezze e le mancanze rispetto agli obiettivi che ci si pone (i quali derivano sostanzialmente dalle valutazioni in termini di eventi che l’organizzazione ritenga debbano essere completamente evitati, e di quali possano accadere purché siano limitati gli impatti); da ciò si predispone un piano di adeguamento per raggiungere i suddetti obiettivi.

Risulta evidente che tutto ciò ha un costo: ma esso va comparato con i costi che subire gli incidenti complessivamente comporta. Inoltre, l’esperienza insegna che è facile trovare alcuni interventi che sono sia veloci che a basso costo ma che permettono già un aumento significativo sulla sicurezza compessiva (la formazione del personale è uno di questi).

Quindi ogni tanto un bel checkup completo fatto da un professionista risulta necessario, per continuare a vivere “bene”

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.