Dal 2020, con una recrudescenza nell’ultimo anno dovuta al conflitto tra Russia e Ucraina, si può tranquillamente parlare di una escalation di attacchi informatici, soprattutto in Europa, Europa che da sola può contare un quinto degli aggressioni subite nel mondo, dove l’Italia è stata il terzo paese europeo più colpito, il 4 in scala globale assieme a Stati Uniti, Francia e Germania. L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA), ha – infatti – segnalato un aumento sostanziale delle minacce alla sicurezza informatica per le organizzazioni pubbliche e private in tutta l’UE.

Per questo diventa cruciale per le aziende far sedere al tavolo delle decisioni in CISO, ovvero il Responsabile dell’Information Security Aziendale. Come consulente senior per la comunicazione di Sogesa, posso affermare che anche le scelte di comunicazione che compiamo in azienda passano da una valutazione del comparto della cyber security, soprattutto quando dobbiamo comunicare alle compagnie nostre clienti come proteggiamo i dati, talvota passando al vaglio della sicurezza anche gli strumenti attraverso i quali comunichiamo. La comunicazione sul tema della cyber security, per rimanere nel perimetro dei nostri confini nazionali ancora non è affidata, o per lo meno non è espressa in maniera incisiva, a un (mi scuso per  per la semplificazione in termini) “vademecum istituzionale” capace di indirizzare i cittadini a una maggiore presa di coscienza sui rischi della violazione dei dati personali. Ma va detto che la strategia nazionale di Cybersicurezza 2022 – 2026 redatto e presentato a maggio dall’ACN è un ottimo segnale in tal senso. Cittadini che con maggior enfasi diventano il bersaglio preferito degli attacchi informatici. Se prima gli attacchi erano rivolti alle aziende e ai dati di chi vi lavora, adesso l’obiettivo si sposta verso i consumatori, consumatori non ancora sufficientemente alfabetizzati suile modalità di “rapimento” delle identità digitali e sulle buone pratiche per evitare che accada.

Non dico rapimento a caso, prima di tutto perché si tratta di identità digitali che hanno una digital life, in seconda istanza perché alla motivazione ideologica o politica di un data breach si accompagna sempre più spesso la richiesta di un riscatto,  da qui il termine ransomware con cui vengono chiamati i malwaare che da soli – secondo un report commissionato da Sophos – il 75% della minaccia informatica globale.

Tornando alla premessa principale, ovvero sul basso grado di “alfabetizzazione” da parte degli italiani, a riprova di questo basti pensare che l’esfiltrazione di identità digitali in buona parte dei casi avviene tramite phishing e smarrimento dei device. Il phishing ormai dovrebbe essere una pratica immediatamente riconoscibile, nonostante la perfetta veste grafica che camuffa le email di phishing, ma ancora non lo è. Se poi pensiamo allo smarrimento dei device lo scenario diventa ancora più inquietante: spesso il telefono aziendale coincide col telefono personale, cioè all’interno dello stesso device convivono SIM aziendale e SIM personale; non solo: in tempi più recenti a causa della pandemia da Covid19 e la diffusione dello smartworking, i computer personali diventano computer aziendali, computer personali all’interno dei quali vengono immagazzinati per ” grossolano senso pratico” alcuni documenti di lavoro, anche di delicata rilevanza. In questo senso lo smartworking costituisce una gigantesca area di rischio se la crescita di questi endpoint non è sostenuta da reti protette. Anche per questo, oltre ai CISO occorre una compliance più estesa, un’enorme filiera virtuosa che coinvolga istituzioni, aziende e singoli individui. Si consideri che il primo e recentissimo rapporto Censis sulla cybersecurity rileva che solo 60% degli italiani conosce genericamente l’argomento e questo 60% è costituito da giovani, persone con un elevato grado di istruzione, imprenditori e dirigenti.

In Italia i settori più colpiti sono il Finance/insurance, settore storicamente sotto attacco, la pubblica amministrazione e – in crescita – l’industria: l’industria manifatturiera, in proporzione con gli altri settori che ho citato, è il settore più colpito. Accade perché alla spinta alla digitalizzazione non è corrisposto di pari passo l’individuazione delle vulnerabilità dei software o scelte sul Cloud non proprio oculate (le aggressioni informatiche avvengono sovente negli spazi comuni del cloud). I ransomware e la conseguente richiesta di riscatto hanno provocato l’interruzione delle attività o il rallentamento degli approvvigionamenti.

La cyber security è dispendiosa e questo non può non incidere sui prezzi di servizi e prodotti. In ambito assicurativo il ventaglio di polizze si amplia coprendo uno spettro che va dai dati biometrici ai fenomeni di cyber bullismo o di revenge porn, non sempre si tratta di soluzioni a basso costo, ma diventeranno con buona probabilità imprescindibili. Prima normalizzeremo certe pratiche, prima diverranno di più ampia fruizione. E in questo senso la comunità europea a cui dobbiamo il più stringente regolamento del mondo a tutela della privacy dei suoi cittadini spinge verso la creazione e definizione di comportamenti di autotutela.

Sogesa è già pronta a gestire sinistri cyber. In Sogesa nell’ultimo triennio, oltre a rinforzare la data protection, la business Continuity e il disaster recovery (vale la pena citare anche la certificazione fortinet dei nostri tecnici) abbiamo modificato di molto la nostra cyber posture, la postura rispetto alla sicurezza informatica, dotandoci di procedure di continuos assesment capaci di validare – appunto – postura e sicurezza dei clienti, adottando un approccio sicuramente multidisciplinare, che non solo accoppia sicurezza informatica e business, ma che coinvolge a più livelli le nostre divisioni e le nostre unit, spingendo verso una responsabilizzazione individuale.

Perché come ripetiamo sempre in Sogesa non è solo una questione di business, ma anche di responsabilità sociale, come recita il nostro motto “Responsabili di tutto responsabili di tutti”.
E questa è una sicurezza.