Trasmettere il Cyber-Risk attraverso attività di controllo basate sull’Impatto Reale
4 dicembre 2018
Analisi e SMT (Satisfiability Modulo Theories)
10 dicembre 2018

La società globalizzata e il rischio cyber: dinamiche, impatti e soluzioni

Cercare rapporti di causa effetto lineari in un mondo complesso come il nostro è, quasi sempre, una pura illusione. Però, se ci sforziamo di guardare le cose dall’alto, si può affermare con sufficiente tranquillità che le forze che stanno modellando il nostro mondo sono quattro: il progresso tecnologico, i mercati, la questione ecologica e le migrazioni.

Il progresso tecnologico ha generato un cambiamento dirompente ad una velocità elevatissima ed ancora lo farà negli anni a venire. Molti vecchi lavori scompaiono e ne compaiono di nuovi e il passaggio dagli uni agli altri richiede un’elevata capacità di adattamento al nuovo contesto. Proprio questo è il punto centrale: il progresso tecnologico crea un profondo cambiamento che offre grandi vantaggi in termini di aumento della produttività, ma richiede (pretende) una grande capacità di adattamento. Genera quindi come effetto negativo l’esclusione della fascia di popolazione più debole e meno pronta da questo flusso velocissimo che offre i suoi frutti solo a chi è in grado di mantenerne il ritmo. Il problema è, quindi, riuscire a costruire un sistema educativo che consenta a tutte le fasce di popolazione, anche le più deboli, di agganciare la scia del progresso tecnologico.

La forza dei mercati è dirompente al pari di quella del progresso tecnologico. Queste due forze assieme hanno la capacità di modellare oltre che il lavoro, anche la nostra vita quotidiana: le abitudini alimentari, le abitudini di consumo e così via. I mercati, però, sono ancora più forti di quanto appare, sono perfino capaci di incidere nella vita politica e di modellare nuove aggregazioni istituzionali. Basti pensare all’Unione Europea che nasce come spazio economico comune sulla spinta del progressivo accorciamento delle distanze tra gli Stati dovuto sia dal progresso dei mezzi di trasporto che dall’informatizzazione dei mercati. Che ci piaccia o no, i mercati sono globali e negli ultimi 10 anni la tecnologia ci ha reso parte di una comunità globale. Anche se gli esseri umani hanno costantemente bisogno di confermare la propria identità all’interno di un gruppo, il progresso tecnologico e la dinamica dei mercati ampliano i confini della “comunità” abbattendo i rischi di conflitti che spesso nascono dalle dispute “tribali”. “Ampliare i confini della comunità” ha come fine, principalmente, la ricerca della soluzione al problema di come trovare uno spazio più ampio in cui il denaro e le merci possono circolare senza trovare ostacoli; la cosa rivoluzionaria è che nei secoli passati per trovare il “campo più ampio” serviva una guerra e/o la conquista di nuovi territori, ora la globalizzazione richiede la pace, e ciò è possibile solo con la pace! L’evoluzione della tecnologia e delle istituzioni rende possibile tutto questo.

Anche la questione ecologica è centrale. I mutamenti climatici cambiano la geografia del pianeta rendendo alcune zone molto vulnerabili ad eventi climatici estremi e sottraendo costantemente ampie fasce di territorio alla possibilità di essere coltivate e produrre reddito. Solo per fare un esempio, una parte delle migrazioni attualmente in atto in Europa è dovuta alla progressiva desertificazione delle zone intermedie tra Africa Centrale e Nord Africa causata anche dalla dissennata politica ecologica attuata dai paesi più sviluppati. È un paradosso: più i mercati avanzati spingono sull’acceleratore della produzione non ecologicamente sostenibile, più aumenta la desertificazione di vaste zone prima fertili e di conseguenza aumentano le migrazioni che costituiscono oggi la più grande minaccia alla stabilità delle economie avanzate. Meno queste si dimostrano consapevoli degli effetti negativi sul pianeta delle produzioni selvagge, più questi effetti si ritorcono contro di loro generando instabilità politica che tende a spostare l’asse politico globale-locale di nuovo sulla dimensione locale.

Fin qui lo storytelling delle quattro forze che lascia, però, aperti i nodi che conosciamo bene: giustizia, equità sociale, immigrazione e sistema educativo che minano alla base il sogno globalizzante che può funzionare solo se si dimostra in grado di “portare tutti a bordo”, diversamente le tensioni che si generano rischiano di rompere il giocattolo e modellare sempre di più un mondo a due velocità, sbilanciato e non inclusivo quale quello in cui viviamo ora. Le quattro forze, quindi, oltre agli indubbi benefici, producono molte e importanti esternalità negative.

Oltre agli effetti indesiderati, però, bisogna considerare il fatto che tutti i sistemi basati sulla forza dell’innovazione tecnologica sono minati alla base dalla dimensione del rischio cyber che minaccia di abbattersi con forza su costruzioni che assomigliano a castelli di carte. Ciò vale anche per la globalizzazione dei mercati: l’iper-tecnologia su cui essa si basa è – purtroppo – l’anello debole della catena. La relazione di causalità è – in questo caso – molto semplice: più aumenta la superficie digitale, più cresce il rischio cyber che è strutturalmente in grado di generare una crisi di sistema con impatti primari e secondari catastrofici. Con tutto ciò, giustizia, equità sociale, immigrazione, sistema educativo sono giustamente oggetto prioritario delle politiche dei governi, mentre il rischio cyber ancora non lo è, almeno fino a quando anche nel nostro paese sperimenteremo un evento realmente serio in grado di produrre effetti reali sui servizi erogati alle persone e sulla crescita economica del paese.

Intendiamoci, di recente c’è stato un significativo passo avanti sia a livello europeo che a livello nazionale: sul versante europeo GDPR, Direttiva NIS, Regolamento eIDAS e Cybersecurity Act, costituiscono un framework di regole che inizia ad assumere una dimensione organica mentre, sul versante italiano, il DPCM 17 febbraio 2017 ridisegna l’impostazione dell’architettura nazionale per la cybersecurity.

Anche se credo che la regolazione possa essere uno stimolo positivo a far crescere l’attenzione su questi temi, non credo sia la soluzione del problema. Credo che la regolazione sia necessaria e anzi obbligatoria se ci sono in ballo servizi di interesse pubblico essenziale; credo che debba essere semplice, di facile interpretazione, non in sovrapposizione con altre regolazioni che – magari – trattano il tema cyber solo incidentalmente; credo che la regolazione debba essere sufficientemente “alta” e non prescrittiva, ovvero, che non debba indicare in modo esplicito compiti da eseguire su base periodica; credo, infine che la regolazione debba essere seriamente verificabile dal regolatore o da entità da esso delegate. Il punto centrale credo che sia la consapevolezza del problema e della sua importanza che, a quanto vediamo ogni giorno, appare decisamente scarsa.

Negli USA, il presidente Trump ha di recente emanato la nuova strategia nazionale di cybersecurity che si basa su quattro punti fondamentali scritti direttamente dal presidente nella prima pagina del piano:

  1. Difendere la patria proteggendo reti, sistemi, funzioni e dati;
  2. Promuovere la prosperità americana alimentando un’economia digitale sicura e prospera e promuovendo una forte innovazione interna;
  3. Preservare la pace e la sicurezza rafforzando la capacità degli Stati Uniti – di concerto con alleati e partner – di scoraggiare e, se necessario, punire chi usa strumenti informatici per scopi malevoli;
  4. Espansione dell’influenza americana all’estero per estendere i principi chiave di un Internet aperto, interoperabile, affidabile e sicuro.

In sostanza gli obiettivi sono proteggere le infrastrutture critiche e i sistemi governativi, combattere il crimine informatico e migliorare la segnalazione degli attacchi coltivando nuovi talenti nella cybersecurity. Tutto ciò è certamente necessario, forse, potremmo tentare di seguire anche un’altra strada, che punta a cercare di colmare il gap di consapevolezza che c’è in primis nei cittadini ed in particolare nei cosiddetti nativi digitali fin dalle scuole medie inferiori. Ovvero, potremmo affrontare il problema dal punto di vista della crescita culturale del paese con il ripristino di una sorta di insegnamento di educazione civica adattato ai tempi e, quindi, un’educazione civica “digitale”.

La regolazione va bene per proteggere le infrastrutture critiche, ma è una guerra che si combatte in trincea, molto difficile da portare avanti, con costi molto elevati che non tutte le realtà (in verità poche) possono permettersi e con probabilità di successo non certo scontate. La situazione è, peraltro, aggravata dalla diffusa carenza di competenze tecniche tra gli operatori del settore e dalla totale dipendenza da tecnologie estere, con tutti i dubbi e le perplessità che possono emergere.

Puntare sulla crescita culturale del paese, invece, ci consentirebbe di conseguire un miglioramento della nostra postura sul lungo periodo. Considerando che il 90% del nostro tessuto economico è costituito da PMI, credo che questo possa essere l’approccio più idoneo a garantire risultati duraturi. Ovviamente, il tema ha molte sfaccettature e non riguarda solo la sensibilizzazione della base della cittadinanza ma anche lo sviluppo di competenze che – ai vari livelli – aiutino il sistema paese a costruire una valida risposta alla necessità di protezione degli asset aziendali e delle infrastrutture critiche. Lo skill shortage, che è riconosciuto come tema primario da tutte le survey e ricerche di mercato sul tema cyber, è uno dei punti da affrontare in via prioritaria, preferibilmente con una forma di collaborazione tra sfera pubblica e aziende private.

Articolo a cura di Marcello Fausti

Il Dott. Marcello Fausti è attualmente responsabile della funzione IT Security Engineering & Application Management di TIM; è membro della Vivendi Group CISO Community e dell’Advisory Board del Programma 2018 su Cybersecurity and Risk Management @The Innovation Group. Negli ultimi 9 anni, in Telecom Italia, è stato responsabile della Sicurezza ICT e dei sistemi a supporto dell’Autorità Giudiziaria. È certificato CISM, PMP, COBIT, ITIL, ISO20000.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy