La Svizzera è stata nominata per l’ottava volta consecutiva il Paese più innovativo del mondo, ma la gestione della cyber security presenta ancora diversi i punti critici, da un approccio disomogeneo nei diversi cantoni ai modelli organizzativi ampiamente superati di molte realtà aziendali. Gli addetti ai lavori concordano che è tempo di un radicale cambio culturale anche in questo settore e di nuove modalità organizzative delle politiche di sicurezza cyber. Le cose potrebbero cambiare con l’arrivo di Mr Cyber. Vediamo le caratteristiche di questa nuova figura istituzionale, dedicata proprio alla gestione coordinata della cybersecurity a livello nazionale.
Al giorno d’oggi pronunciare la parola cybersecurity è sexy ma anche dannatamente superficiale. Ed è solo uno dei tanti termini caratterizzanti la trasformazione digitale, come per esempio intelligenza artificiale, FinTech, Big Data, IoT e altri ancora, entrati velocemente nella memoria a corto termine delle persone comuni, alimentando un sottobosco di confusione che regna sovrana in molte realtà aziendali. È come se la gestione della sicurezza informatica d’un tratto debba fare i conti con accelerazioni tecnologiche non sempre percepite e apprezzate, da chi in azienda, dopo molti anni di faticosa gavetta, ha il compito di proteggere le infrastrutture critiche e i dati sensibili. Non c’è dubbio che WannaCry, Petya e Notpetya abbiamo contribuito a portare alla luce situazioni che molti addetti ai lavori non immaginavano, con particolare riferimento a sistemi operativi obsoleti, ancora in uso per la gestione di processi strategici, software di protezione non più aggiornato e architetture di rete che farebbero rabbrividire il buon vecchio Andrew Tanenbaum.
Nuove forme di inconsapevolezza informatica
In molte PMI si è così manifestata una nuova forma di inconsapevolezza informatica, sostenuta dalla spinta emotiva di correre velocemente ai ripari, e dal timore che i fondi e le competenze “in-house” necessarie per farlo siano purtroppo limitate o addirittura inesistenti. Un bel problema, considerando de facto la realtà che senza l’aiutino degli attacchi informatici di ultima generazione, per molti manager aziendali la cybersecurity avrebbe mantenuto il suo status di “cosa” riconducibile soltanto ad anti-virus e firewall, come unici accorgimenti tecnici di protezione per impedire infiltrazioni indesiderate e furti di dati. Chi è senza peccato scagli il primo commento. La Svizzera, dal canto suo, non è affatto esclusa da queste situazioni. Nonostante sia stato nominato per l’ottava volta consecutiva il Paese più innovativo del mondo, presenta al suo interno molte realtà aziendali in cui la cybersecurity è costruita su modelli organizzativi ampiamente superati. In questi casi fare autocritica è molto importante, non solo per identificare e rafforzare gli anelli deboli della filiera cyber, bensì per imbastire un nuovo approccio che possa avvalersi di una forma mentis resiliente e predisposta alla piena condivisione di dati, competenze ed esperienze.
Arriva Mister Cyber
La Confederazione svizzera è uno Stato federale dell’Europa centrale, composto da 26 cantoni autonomi, in cui ognuno segue le proprie regole e tendenzialmente, diciamolo con grande orgoglio, fa come meglio crede. Questo vale anche per la gestione della cybersecurity, in cui a divergere è proprio l’attitudine che le varie regioni linguistiche manifestano di fronte alla gestione dei rischi cyber. Al manifestarsi dello stesso attacco informatico, le realtà aziendali dislocate nei diversi cantoni svizzeri potrebbero reagire in modo insolito. Una diversità operativa, per certi versi complementare, che si traduce in una grande opportunità nel momento in cui le barricate cadono e le informazioni superano la persistente (falsa) percezione che debbano restare sotto chiave da qualche parte nel file system dei computer portatili dei rispettivi collaboratori.
A questo proposito, è notizia dei mesi scorsi che la Svizzera stia muovendo i primi passi per la creazione di una nuova figura istituzionale, dedicata proprio alla gestione coordinata della cybersecurity a livello nazionale, con forte impatto sulle industrie, imprese e pubbliche amministrazioni dei singoli cantoni che la rappresentano.
I tempi per un vero Mister Cyber sembrano quindi maturi. In particolare, la commissione della politica di sicurezza del Consiglio nazionale svizzero (CPS-N), ha scritto al Consiglio federale affinché il nuovo centro di competenza cyber sia abilitato a impartire vere istruzioni, e non abbia soltanto compiti di coordinamento di carattere politico. Un approccio nuovo, almeno per la Svizzera, fortemente orientato alla cooperazione intercantonale e alla condivisione di informazioni e competenze tra gli addetti ai lavori, in cui istituzioni, industrie, aziende ed enti di ricerca ad alto valore aggiunto potranno (o dovranno) collaborare con il pieno supporto della Confederazione. Questo vale per l’accesso ai fondi nazionali per la ricerca scientifica, ma anche per la sperimentazione in laboratorio di situazioni a rischio, da cui trarre molteplici benefici. Uno di questi è senza dubbio il forte impatto sulla formazione continua e interdisciplinare del personale, oppure la creazione di nuovi consorzi di ricerca strategici. Per esempio, uno dei programmi di sostegno all’innovazione che la Svizzera offre sul territorio nazionale si chiama Innosuisse, il cui compito consiste proprio nel promuovere l’innovazione fondata sulla scienza nell’interesse dell’economia e della società. Ecco perché le sinergie trasversali assumono una valore aggiunto importante, specialmente per i progetti congiunti di ricerca e sviluppo nel campo della cybersecurity.
L’approccio Public-Private-Partnership
La resilienza degli attacchi informatici e la loro imprevedibilità, in rapporto ai rischi cyber, impongono un cambio di mentalità nella gestione in azienda della cybersecurity. Poco male, una necessità che apre la strada a molte opportunità di crescita, sviluppo e business. Soprattutto in ottica NIS, in cui uno dei tre obiettivi principali vede proprio il rafforzamento delle collaborazioni strategiche in ottica Public-Private-Partnership. In Svizzera gli addetti ai lavori concordano che è tempo di definire nuove modalità organizzative delle politiche di sicurezza cyber, sempre più di carattere interdisciplinare. Mai come ora è necessario fare squadra, aggregando esperienze, competenze e soprattutto talenti, per arginare modalità operative obsolete che vedono nella figura del classico amministratore di rete una congestione di responsabilità non più sostenibile e accettabile. Da qui, l’esigenza di offrire alle aziende l’occasione di incontrare e conoscere giovani studenti e neo laureati preparati alle nuove sfide, con un imprinting professionale orientato alla gestione di tutto il processo cyber. Un approccio trasversale che include aspetti di prevenzione, preparazione e reazione. Nelle prime due categorie troviamo competenze sulla governance, l’audit e l’education, mentre nella terza, tra le altre cose, risiedono l’incident response, la digital forensics e la blockchain analysis.
Un piatto ricco di opportunità che impone nuove sinergie locali, nazionali e internazionali, senza più frontiere e confini. Servono tecnici ben preparati (tecnicamente e mentalmente) e servono in fretta. Affinché in azienda la cybersecurity sia finalmente percepita come un investimento (ormai imprescindibile) e non più come un costo da inserire a preventivo nella colonna “varie ed eventuali”. Serve un cambio culturale importante, che trova la sua forza propulsiva nelle collaborazioni strategiche in perfetto stile Public-Private-Partnership. In Svizzera, e in particolare nel Cantone Ticino, questo approccio si concretizza nel 2011, quando per la prima le Autorità Giudiziarie trovano nei centri di ricerca locali un alleato fidato e preparato ad affrontare le nuove sfide cyber, soprattutto per quanto riguarda le investigazioni digitali. Un unicum in Svizzera, che fonda le sue radici su una convenzione ufficiale tra il Dipartimento delle Istituzioni e il Servizio informatica forense della Scuola Universitaria Professionale della Svizzera Italiana (SUPSI).
Un approccio alla collaborazione scientifica che nel 2018 ha ampliato le sinergie anche al Tribunale penale svizzero. Un percorso di crescita che ha contribuito allo sviluppo di modelli collaborativi agili, a cui hanno preso parte enti, aziende e associazioni locali specializzate nel campo della sicurezza informatica, con il coinvolgimento di rinomati specialisti nazionali e internazionali.
Inchiesta sulla Cybersecurity nel Cantone Ticino
A dicembre del 2017 nel Cantone Ticino si è conclusa con successo la prima inchiesta dedicata alla cybersecurity. Un lavoro complesso e interdisciplinare guidato dalla Camera di commercio, dell’industria, dell’artigianato e dei servizi del Cantone Ticino (Cc-Ti) in stretta collaborazione con il Servizio di informatica forense della Scuola Universitaria Professionale della Svizzera Italiana (SUPSI) e con la società InTheCyber SA di Lugano. Per la prima volta in Svizzera un consorzio strategico in stile Public-Private-Partnership ha coinvolto industrie, aziende private, pubbliche e para-pubbliche del Cantone Ticino (complessivamente trentacinque), con lo scopo di fotografare lo stato dell’arte della cybersecurity. Il lavoro si è svolto attraverso un formulario strutturato a domande, e adeguato quanto più possibile alla cultura professionale locale, onde evitare fraintendimenti o, peggio ancora, incomprensioni di carattere tecnico che potessero condizionare il buon esito dell’inchiesta. I risultati sono stati presentati ufficialmente con una conferenza stampa nei mesi successivi, e alle aziende che hanno partecipato è stata offerta la possibilità di approfondimento, in cui analizzare la propria realtà aziendale rispetto ai risultati complessivi emersi dall’inchiesta. Un ulteriore avvicinamento molto apprezzato dalle ditte coinvolte, in segno di trasparenza e collaborazione reciproca.
Il quadro complessivo dei risultati, indica la necessità di maggiore attenzione alla manutenzione della cybersecurity, che sia resiliente, dinamica e davvero proporzionata alla realtà aziendale, e che non trascuri la formazione costante del personale nei ruoli di competenza. Analizzando con maggiore attenzione i dati raccolti con l’inchiesta, si possono identificare e riassumere gli aspetti con maggiore criticità:
- Gli attacchi maggiormente segnalati dalle aziende intervistate sono di tipo Ransomware & Spear Phishing, con particolare aumento a quelli targettizzati;
- Un quarto delle aziende intervistate non ha in casa risorse dedicate alla gestione della cybersecurity;
- Un terzo delle aziende intervistate non utilizza alcuno standard di cybersecurity dedicato alla governance;
- La metà delle aziende le attività di audit, risk & compliance hanno un reale impatto sull’organizzazione e sulle tecnologie adottate;
- Più della metà delle aziende intervistate considera marginale il tema della cybersecurity, privilegiando il time to market;
- Il 60% delle aziende intervistate ha eseguito in modo strutturato un risk assessment;
- Il 20% delle aziende intervistate dichiara di aver subito un danno economico diretto, e l’aumento degli attacchi targettizzati coincide con i danni relativi ai furti di dati sensibili e alla violazione della proprietà intellettuale;
- Il 69% delle aziende intervistate non dispone in casa di capacità (e competenze) di threat intelligence;
- Il 53% delle aziende intervistate pone attenzione all’approccio “Security by Design”, imposto dalle normative svizzere in fase di revisione (LPD) e dal GDPR europeo.
Per concludere, una fotografia interessante estratta dai risultati dell’inchiesta, mostra quali siano le priorità degli investimenti che le aziende del Cantone Ticino intendono fare nei prossimi mesi/anni nel campo della cybersecurity. Ai posteri l’ardua sentenza.
Figura 1: Priorità degli investimenti
I risultati dell’inchiesta sono stati resi pubblici con il pieno consenso delle aziende coinvolte, in forma aggregata e anonima e nel pieno rispetto della privacy. Per consultarli clicca qui.
Nota:
Per una corretta lettura dei risultati ottenuti, è necessario sapere che sono state coinvolte industrie, aziende private, pubbliche e para-pubbliche del Cantone Ticino, per un totale di trentacinque realtà aziendali, appartenenti a settori diversi.
L’articolo La cyber security in Svizzera: il quadro, luci e ombre proviene da Agenda Digitale.