La rete di informazioni disponibile on-line è in costante aumento, anche in considerazione del fatto che viene utilizzata da imprese, istituzioni pubbliche e organizzazioni operanti in diversi ambiti.
In questi ultimi anni, proprio la digitalizzazione e l’uso della tecnologia informatica, in costante aumento nel mondo dell’imprenditoria, ha fatto emergere un nuovo fenomeno legato alla sicurezza delle imprese: il, cosiddetto, cybercrime (crimine informatico) che, se non contrastato in tempo, può causare ingenti perdite economiche per l’impresa stessa e per i suoi clienti.
Il traffico di dati on-line generato dal mondo dell’imprenditoria riguarda diversi aspetti gestionali che comprendono, per citarne alcuni: l’acquisizione, l’elaborazione, l’archiviazione e la loro condivisione.
I principali obiettivi del cybercrime sono i furti di dati, di denaro e di identità che comportano per le imprese gravi danni, non solo economici, ma anche di immagine causati dalla perdita di affidabilità.
Da sottolineare che in molti casi la scoperta di un attacco informatico avviene solo dopo molto tempo e purtroppo a tutt’oggi sono ancora poche le imprese, soprattutto quelle di piccole e medie dimensioni, che hanno adottato piani concreti per fronteggiare il pericolo cybercrime.
Nel Rapporto Security Summit 2019 realizzato da Clusit, organizzazione che monitora l’andamento delle minacce cyber dal 2011, si afferma che “nell’ultimo biennio il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente”, però ciò nonostante, nel corso del convegno del 2018, promosso dalla medesima organizzazione, si evidenziava che solo il 5% delle imprese considera la sicurezza IT una spesa strategica cui riservare un budget specifico e dedicato.
Proprio per le diverse tipologie e modalità di diffusione, la protezione dei dati è quanto mai complessa, coinvolgendo non solo il sistema tecnologico, ma anche quello culturale: è necessaria una educazione digitale del privato cittadino, oltre che di un programma strutturato di sicurezza aziendale.
A seguito dell’aumento dei reati informatici, negli ultimi anni si è dedicata una particolare attenzione alla difesa dagli attacchi on-line: la cybersecurity diventa così un aspetto di primaria importanza per le imprese.
I principi fondamentali della cyber security, da intendersi come una disciplina, ossia un insieme di norme da seguire per evitare attacchi informatici, sono stati individuati come la triade CIA – Confidentiality, Integrity e Availability o RID – Riservatezza, Integrità, Disponibilità.
Per una corretta gestione dei dati in sicurezza, è necessario che le policy aziendali tengano conto dei seguenti tre requisiti:
ConfidentialityLa confidenzialità è sinonimo di riservatezza dei dati, riguarda quindi l’aspetto della privacy. Deve, perciò, essere garantito l’accesso solo alle persone autorizzate in tutti i passaggi del dato nella rete: acquisizione, conservazione, visualizzazione, ecc.
IntegrityIl dato deve restare integro, si deve, pertanto, garantire che i soggetti non autorizzati non possano modificare o cancellare i dati nell’intero ciclo di vita degli stessi.
AvailabilityUn sistema sicuro deve garantire, inoltre, la costante disponibilità dei dati anche in caso di interruzione delle comunicazioni o disastri ambientali.
Organizzazioni a sostegno della Cybersecurity
Enisa European Union Agency for Network and Information Securityhttps://www.enisa.europa.eu/
Obiettivo dell’Agenzia è garantire la sicurezza informatica degli Stati membri dell’Unione Europea.
Costituita nel 2004, fornisce consulenze e soluzioni per una migliore gestione della sicurezza sia informatica che delle reti di telecomunicazioni, offrendo supporto in caso di attacchi informatici che possono coinvolgere uno o più stati europei.
L’ENISA sostiene, inoltre, lo sviluppo e l’attuazione delle norme europee in materia di sicurezza delle reti e dell’informazione e lo sviluppo della cultura della sicurezza mediante numerose iniziative e pubblicazioni.
Dal 2019 progetta schemi europei di certificazione per prodotti, processi e servizi ICT conformi al Regolamento “Cybersecurity Act”, entrato in vigore in Italia a fine giugno del 2019, il cui obiettivo è la creazione di un mercato unico della sicurezza cibernetica al fine di favorire la cosiddetta “security by design” garantendo così uno standard di sicurezza informatica sin dalla progettazione dei prodotti ICT inclusi i dispositivi “IoT”.
L’Agenzia coordina, con il sotegno degli Stati membri, la campagna dell’European Cyber Security Month – ECSM, che si tiene ogni anno nel mese di Ottobre, per promuovere la conoscenza delle minacce informatiche e come contrastarle.
CLUSIT. Associazione Italiana per la Sicurezza Informaticahttps://clusit.it
Associazione nata nel 2000, presso il Dipartimento di Informatica dell’Università degli Studi di Milano, il cui obiettivo è la diffusione della cultura della sicurezza informatica presso le Aziende, la Pubblica Amministrazione e privati cittadini.
Partecipa alla elaborazione di leggi, norme e regolamenti, sia nazionali che europei, per la sicurezza informatica e collabora alla definizione di percorsi formativi per la preparazione e certificazione delle figure professionali del settore sicurezza.
Fornisce supporto alle imprese in materia di sicurezza informatica e pubblica ogni anno il “Rapporto sulla sicurezza ICT in Italia”.
Promuove in Italia la campagna informativa del Mese Europeo della Sicurezza Informatica coordinata dall’ENISA.OCSI. Organismo di Certificazione della Sicurezza Informaticahttp://www.ocsi.isticom.it/
Il ruolo di Organismo di Certificazione della Sicurezza Informatica nel settore della tecnologia dell’informazione (OCSI), istituito con DPCM del 30 ottobre 2003, è ricoperto dall’ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico.
L’Organismo gestisce lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione, la cui funzione è la raccolta di procedure e regole necessarie per la valutazione e certificazione in conformità a standard internazionali e criteri europei.
Tra le attività dell’Organismo, si ricorda la predisposizione di regole tecniche in materia di certificazione sulla base di norme nazionali e internazionali, l’accreditamento dei Laboratori per la Valutazione della Sicurezza (LVS), l’emissione dei Rapporti di Certificazione sulla base delle valutazione eseguite dai Laboratori, l’accertamento di conformità dei dispositivi di firma elettronica qualificata e la formazione e abilitazione del personale dell’organismo di certificazione, dei valutatori degli LVS e degli Assistenti della sicurezza.
CINI. Consorzio Interuniversitario Nazionale per l’Informaticahttps://www.consorzio-cini.it
Costituito nel1989, il Consorzio, sotto la vigilanza del Ministero competente per l ‘Università e la Ricerca, promuove e coordina attività scientifiche nel campo dell’informatica.
Le strutture del Consorzio sono le Unità di Ricerca e i Laboratori Nazionali, tra questi ultimi costituiti per il raggiungimento di scopi istituzionali, vi è quello dedicato alla sicurezza informatica: “Cybersecurity National Lab” il cui scopo è quello di invitare alla collaborazione le strutture di ricerca nel campo della cyber security, al fine implementare strategie nazionali.
Tra i progetti in atto si ricorda:
- Itasec: la Conferenza annuale sulla sicurezza informatica
- Framework Nazionale: uno strumento operativo per organizzare i processi di cybersecurity e Data Protection adatto alle organizzazioni sia pubbliche che private.
- Cyber Readiness: un progetto a supporto delle imprese e della Pubblica Amministrazione nella valutazione del proprio livello di sicurezza informatica basato sul Framework Nazionale.
Osservatorio Information Security & Privacy del Politecnico di Milanohttps://www.osservatori.net/it_it/osservatori/information-security-privacy
L’Osservatorio fa parte degli Osservatori Digital Innovation della School of Management del Politecnico di Milano.
Obiettivo principale è il sostegno alle imprese per conoscere e affrontare le minacce informatiche.
L’Osservatorio programma incontri e attività di ricerca su base annuale che confluiscono in un convegno finale di presentazione dei risultati e nella pubblicazione di un Rapporto cartaceo.
Tra le varie attività si ricorda la “Guida alla gestione della sicurezza informatica in azienda” on-line e il Rapporto annuale in cui sono riportati i trend della Sicurezza informatica e Data Protection nelle aziende italiane, scaricabile gratuitamente.
CERT-AgID - Computer Emergency Response Team. Agenzia per l’Italia Digitalehttps://www.agid.gov.it/it/sicurezza/cert-agid
I servizi erogati da CERT-PA, organismo che operava all’interno dell’AgiD, a supporto delle pubbliche amministrazioni nella prevenzione e risposta agli attacchi informatici, sono stati, da maggio 2020, riorganizzati in un nuovo organismo: il CERT- AgID con la finalità di supporto a tutti i temi riguardanti gli aspetti di sicurezza informatica in linea con le disposizioni del CAD.
OCS. Osservatorio della Cybersecurityhttps://www.cybersecurityosservatorio.it/
L’Osservatorio, nato nel 2018, opera all’interno dell’Istituto di Informatica e Telematica di Pisa del Consiglio Nazionale delle Ricerche (IIT-CNR).
Obiettivo dell’OCS è informare e sensibilizzare piccole e medie imprese, professionisti e enti pubblici sulla importanza della sicurezza delle reti.
L’Osservatorio mette a disposizione i risultati del Laboratorio di cyber security del CNR mediante la pubblicazione di best practice, Report e news.
Tra i servizi offerti si segnala: l’analisi e la scansione delle vulnerabilità degli hardware e dei software (exploit), sondaggi per la verifica della conformità al GDPR (General Data Protection Regulation) e il rilevamento di DGA (Domain Generating Algorithm) utilizzati da malware per registrare nuovi domini.
A vantaggio delle piccole e medie imprese è previsto un servizio di “self assessment”, che offre uno strumento semplice e rapido per l’autovalutazione del calcolo del rischio cibernetico. Richiede due tipi di input: quelli relativi alle misure di sicurezza e quelli sulle risorse dell’azienda. A questionario completo, il servizio stima le perdite annuali previste per ogni minaccia e inoltre fornisce un valore sul rischio totale.
Direttive Europee
Direttiva Nis (Network and Information security)
Linee guida per la gestione dei rischi cyber
La prima, la cosiddetta Direttiva NIS (UE 2016/1148), tenta di affrontare, per la prima volta in modo organico e trasversale, gli aspetti inerenti la cybersecurity, rafforzando la resilienza e la cooperazione in ambito europeo.
Essa è principalmente finalizzata all’adozione di misure congrue per aumentare il livello di sicurezza delle reti e dei sistemi informativi, oltre a diffondere una cultura consapevole della cybersicurity.
La stessa definisce, inoltre, i soggetti chiamati ad adottare adeguate misure cautelative per prevenire e gestire gli incidenti a carico della sicurezza delle reti e dei sistemi informative per assicurare la continuità del servizio.
La Direttiva Europea è stata recepita nel nostro ordinamento con il Decreto Legislativo n. 65 del 18/05/2018 e nell’estate del 2019 sono state approvate le Linee guida per la gestione dei rischi on-line in cui sono indicati, ai 465 Operatori di Servizi Essenziali individuati, gli strumenti e le procedure necessari per rendere reti e sistemi informatici più sicuri.
Il testo individua le Autorità competenti NIS (5 Ministeri: Sviluppo economico; Infrastrutture e trasporti; Economia; Salute; Ambiente e i rispettivi compiti, svolti in cooperazione con le omologhe Autorità degli altri Stati membri.
Oltre agli Operatori di Servizi Essenziali (OSE) di cui all’art. 5 della Direttiva, il decreto individua anche i Fornitori di Servizi Digitali (FSD), di cui all’allegato 3 della stessa: tra questi rientrano le persone giuridiche che forniscono servizi di e-commerce, cloud computing, o motori di ricerca, con sede sociale o rappresentante designato sul territorio nazionale (sono escluse dagli obblighi le piccole imprese: con meno di 50 dipendenti e un bilancio inferiore a 10 milioni di euro).
Non solo i soggetti indicati devono rendere più sicure le loro reti informative ma hanno anche l’obbligo di notificare gli eventuali incidenti rilevanti rispetto alla continuità e alla fornitura del servizio ad una struttura preposta: il CSIRT italiano (Computer Security Incident Response Team), operante presso la Presidenza del Consiglio dei Ministri.
Per quanto riguarda i Fornitori di Servizi digitali, inoltre, essi dovranno adottare misure tecnico-organizzative per la gestione dei rischi e la riduzione dell’impatto di eventuali incidenti informatici.
Gli elementi che i FSD dovranno prendere in considerazione ai fini della gestione dei rischi, sono meglio specificati nel Regolamento di esecuzione UE 2018/151.
Direttiva europea PSD (Payment Services Directive) 2 - SCA (Strong Customer Authentication)
Il 13 gennaio 2018 è entrata in vigore nel nostro ordinamento la direttiva europea 2015/2366 nota come PSD2, che disciplina i servizi di pagamento digitali effettuati con qualsiasi strumento: online, bancomat, App, ecc.
Essa stabilisce un insieme chiaro e completo di regole che si applica sia ai tradizionali Istituti finanziari, che ai provider di servizi di pagamento innovativi. Tali regole hanno l’obiettivo di fare in modo che questi player possano competere equamente, portando ad una maggiore efficienza e trasparenza dei servizi di pagamento, rafforzando così la fiducia dei consumatori verso il mercato.
Per evitare furti di dati bancari e frodi, nella direttiva è stata introdotta la Strong Customer Authentication (SCA) che garantisce una maggiore sicurezza per chi effettua pagamenti on-line attraverso la verifica dell’identità attraverso più fattori di autenticazione.
Dal 14 settembre 2019 la SCA è entrata in vigore in tutta Europa, pertanto diventa un requisito obbligatorio l’autenticazione mediante due elementi a scelta su tre di quelli proposti così come indicato nella norma: “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente)”.
Da intendersi per esempio due tra i seguenti elementi: la password per la conoscenza, lo smartphone per il possesso e l’impronta digitale per l’inerenza.
I pagamenti non conformi all’autenticazione cosiddetta “forte” dovranno essere rifiutati dall’istituto bancario di chi effettua l’operazione.
Il meccanismo di autenticazione è applicato anche al commercio elettronico, proprio al fine di contrastare le frodi on-line che ogni anno in Europa registrano danni superiori al miliardo di euro.
Per sua natura infatti le frodi di maggior valore sono quelle relative ai pagamenti online mediante carte di credito e, si calcola che ogni anno, nella sola Europa, superino il miliardo di euro.
