Se fino a poco tempo fa il tema della sicurezza informatica era una questione di sensibilità soggettiva, ora il governo italiano mette la cybersecurity sotto la lente di ingrandimento: riconosce la necessità di rendere l’Italia digitale più resiliente e, allineandosi ai maggiori Paesi UE, assegna risorse e responsabilità da cui ci aspettiamo notevoli cambiamenti rispetto al passato. Secondo una stima del Clusit, infatti, nel 2020 i cyber attacchi sono aumentati del 12% rispetto al 2019: la sicurezza del digitale non può più aspettare e tutte le aziende, sia pubbliche che private, devono adottare misure adeguate.
A tal fine, l’Italia si è recentemente allineata con il Regolamento dell’Unione Europea istituendo l’Agenzia per la Cybersicurezza Nazionale (ACN), centro di competenza predisposto a trattare e far applicare le misure in ottica di cybersecurity. Vediamo le funzioni con le quali l’ACN si inserisce in questo contesto.
In Italia nasce l’Agenzia per la Cybersicurezza Nazionale
L’11 giugno 2021 il Consiglio dei ministri ha approvato la fase esecutiva del decreto sulla Cybersecurity che istituisce il Comitato Interministeriale per la Cybersicurezza (CIC) e anche l’Agenzia per la Cybersicurezza Nazionale (ACN), che sarà incaricata di:
- contribuire all’innalzamento della sicurezza dei sistemi ICT dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle Pubbliche Amministrazioni, degli Operatori di Servizi Essenziali (OSE) e dei Fornitori di Servizi Digitali (FSD);
- assumere il ruolo di interlocutore unico nazionale per i soggetti pubblici e privati, che dovranno necessariamente includere livelli di sicurezza cibernetica commisurati al rischio e all’impatto sul business nel perimetro delle reti, dei sistemi informativi (direttiva Network and Information Security) e delle reti di comunicazione elettronica.
Sviluppare una maggiore consapevolezza nazionale di cybersecurity
In Italia, il tema della cybersecurity non ottiene ancora abbastanza attenzione e, generalmente, fatica ad arrivare ai piani alti di un’azienda prima di un attacco cyber, che espone l’organizzazione e i propri clienti a numerosi rischi.
Con la crescente digitalizzazione che ha interessato il mercato durante la pandemia, aumenta la consapevolezza delle minacce e della sicurezza cyber.
Secondo il rapporto Clusit 2021, nel 2020 gli attacchi cyber sono aumentati del 12% a livello mondiale rispetto al 2019, con 1.871 attacchi gravi di dominio pubblico su scala globale, risultando in una media di 156 attacchi gravi al mese, in aumento rispetto ai 139 del 2019. In particolare, gli attacchi cyber sono stati messi a segno prevalentemente utilizzando Malware (42%), tra i quali spiccano i cosiddetti Ransomware – una tipologia di malware che limita l’accesso ai dati contenuti sul dispositivo infettato, richiedendo un riscatto – utilizzati in quasi un terzo degli attacchi (29%).
Questo dato è, a mio avviso, particolarmente rilevante in quanto evidenzia come la criminalità informatica stia evolvendo e adottando nuove forme che incidono ancora di più sul business aziendale.
L’ingresso sulla scena dell’Agenzia per la Cybersicurezza Nazionale è uno snodo chiave nel costruire e alimentare un’adeguata strategia a livello nazionale, innalzando il livello di sicurezza degli operatori di servizi essenziali, della Pubblica Amministrazione e dei fornitori di servizi digitali che offrono managed services, in cui i servizi erogati includono già gli aspetti di sicurezza.
Per fare questo, l’agenzia svolgerà le seguenti funzioni:
- Elaborare la strategia annuale nazionale di cybersicurezza in linea con il Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR);
- Fungere da punto di contatto unico del Network and Information Security (NIS);
- Assumere i compiti di certificazione di sicurezza cibernetica attualmente a capo del Ministero dello Sviluppo Economico;
- Partecipare alle riunioni del gruppo di coordinamento Golden Power;
- Collaborare con il Centro di competenza europeo per la cyber sicurezza;
- Definire il perimetro cyber.
Sicurezza cyber a livello d’impresa con la certificazione ISO 27001
Con l’acquisizione della certificazione ISO 27001 anche Intesys ha fatto un ulteriore progresso in tema di sicurezza, che nei prossimi anni vedremo sempre più pervasivo nel nostro lavoro.
La scelta dei fornitori e la creazione di progetti di servizi digitali privilegeranno chi sarà capace di creare garanzie di “security by design”, includendo già l’adeguamento alle linee guida di sicurezza cyber al loro interno e assumendo un ruolo consulenziale nel saper rispondere alle richieste delle attività ispettive. Accanto a questo, occorre considerare anche la crescente esigenza di accountability da parte di aziende di medio-grandi dimensioni: la selezione di controlli di sicurezza adeguati alla gestione, al monitoraggio e al miglioramento della sicurezza dei dati garantisce alti livelli qualitativi e di sicurezza.
Poter fornire una garanzia internazionalmente riconosciuta è per noi un contributo rilevante per poter migliorare sempre di più la sicurezza e la qualità della protezione da attacchi informatici in Italia, assicurando la continuità di funzionamento di servizi strategici non solo per le singole imprese, ma anche per i cittadini e la pubblica amministrazione.
Oggi è ancora presto per dire come la nascita dell’ACN impatterà sulle aziende pubbliche e private, ma ci aspettiamo che presto arrivino misure da applicare e alle quali adeguarsi. La sicurezza digitale è un percorso lungo che va costruito, mantenuto e aggiornato nel corso del tempo, strada che Intesys sta già percorrendo adeguandosi allo standard ISO 27001.