La Cyber Resilience a livello globale sarà uno dei temi che gli Stati, ma anche le imprese, dovranno affrontare nell’era dell’Iot e dei Big Data, in cui la sicurezza informatica sarà un fattore di sostenibilità sociale.

In questo contesto la resilienza delle infrastrutture critiche dovrà essere garantita.

In particolare, in Italia l’ultimo provvedimento intrapreso è stato la costituzione presso l’ISTI del MISE del Centro di valutazione e certificazione nazionale (CVCN): Azione qualificante per la costruzione dell’architettura nazionale sulla sicurezza cibernetica

Il CVCN avrà come obiettivo la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati, e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture strategiche, nonché di ogni altro operatore per cui sussiste un interesse nazionale.

Si tratta di una delle azioni qualificanti per la costruzione dell’architettura nazionale sulla sicurezza cibernetica, tracciata per la prima volta dal Dpcm del 24 del gennaio 2013.

In particolare, nel DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 gennaio 2013, Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale, Pubblicato nella G.U. 19 marzo 2013, n. 66 veniva definito che: “Il presente decreto definisce, in un contesto unitario e integrato, l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi.”

Per l’operatività del CVCN bisognerà attendere il decreto applicativo che verrà emanato dal direttore dell’ISCTI, che ne definirà i dettagli tecnici.

L’infrastruttura critica è stata definita dalla Direttiva Europea 2008/114/CE come “un elemento, un sistema o parte di questo […] che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo […] a causa dell’impossibilità di mantenere tali funzioni”.

L’importanza degli standard per la cyber security si evince nelle conclusioni dello “Study on CSIRT landscape and IR capabilities in Europe 2025 – V 1.0 FEBRUARY 2019ˮ dell’ENISA, l’European Union Agency for Network and Information Security:

“La sicurezza informatica è – in larga misura – guidata dalle normative. A tale riguardo, la direttiva NIS e il GDPR svolgono un ruolo chiave nel costringere gli attori a migliorare le loro capacità e standard di cyber sicurezza e ad aumentare la cooperazione con altri attori. A livello internazionale, la mancanza di mezzi e pratiche armonizzate tra i paesi nel cyberspazio è dovuta principalmente all’assenza di norme vincolanti che regolano le loro attività. L’attuale sforzo delle Nazioni Unite di concordare regolamenti comuni è volto a sostenere che, senza il vincolo giuridico, gli attori potrebbero essere meno disposti a cooperare nel campo della sicurezza informatica”.

Nel “JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL – Resilience, Deterrence and Defence: Building strong cybersecurity for the EU” del 2017 della Commissione Europea si fa riferimento alla Cyber Resilience e alla sicurezza informatica come sfida sociale:

“Una forte capacità di ripresa informatica richiede un approccio collettivo e di ampia portata. Ciò richiede strutture più solide ed efficaci per promuovere la sicurezza informatica e rispondere agli attacchi informatici negli Stati membri, ma anche nelle istituzioni, negli enti governativi e negli organismi dell’UE. Richiede inoltre un approccio più globale e trasversale alla costruzione della cyber-resilienza e all’autonomia strategica, con un forte mercato unico, importanti progressi nella capacità tecnologica dell’UE e un numero maggiore di esperti qualificati. Al centro di tutto ciò vi è un’accettazione più ampia del fatto che la sicurezza informatica sia una sfida sociale comune, per cui devono essere coinvolti più livelli di governo, economia e società.”

La Commissione Europea ha proposto un’ampia gamma di misure concrete che rafforzeranno ulteriormente le strutture e le capacità dell’UE in materia di sicurezza informatica, con una maggiore cooperazione tra gli Stati membri e le diverse strutture dell’UE interessate. Queste misure garantiranno che l’UE sia meglio preparata ad affrontare le crescenti sfide della sicurezza informatica.

Nell’era della Quarta Rivoluzione industriale, parlando di imprese, e quindi del connubio IoT e Industria 4.0, i nuovi modelli produttivi e organizzativi prevederanno l’utilizzo di un numero crescente di dispositivi e macchinari collegati tra loro e il sistema centrale tramite wireless o reti cablate. Intercettare in tempo utile i segnali di allarme provenienti da un eventuale attacco cyber consentirà alle imprese di mettere in atto le opportune procedure di difesa e di recovery. Ciò vuol dire che bisognerà vedere la sicurezza informatica non più come un costo, ma come un investimento aziendale che, nel medio/lungo periodo, potrà garantire la sostenibilità del nuovo modello produttivo di Industry 4.0. Senza sicurezza la filosofia produttiva propria dell’IoT rappresenterebbe uno dei più grandi rischi che la nostra società possa correre.

Per affrontare i nuovi paradigmi della cyber security, le imprese avranno la necessità di creare al loro interno e con i partners con cui lavorano un ecosistema condiviso basato sulla Cyber Resilience. In particolare, un aspetto importante, sarà inserire nei propri sistemi organizzativi aspetti quali la qualificazione dei fornitori e dei partners in base ai requisiti della Cyber Resilience.

Tutto ciò avrà necessità di personale qualificato per implementare corretti sistemi di gestione per la sicurezza informatica che siano efficienti e sostenibili ma anche di una cultura aziendale diffusa di Cyber Security.

Per far ciò le aziende e le istituzioni avranno necessità di professionisti come:

  • Auditor/ Lead Auditor di Sistema delle Informazioni ISO 27001
  • Cyber Security Expert
  • Cyber Resilience Manager

 

*by Oliviero Casale