Sicurezza delle infrastrutture critiche, cosa cambia nella nuova normalità?
Le problematiche e le soluzioni emerse dalla tavola rotonda organizzata da Axis Communications
Emergenza sanitaria, misure di contenimento che impattano persone e imprese, vincoli normativi: per riflettere su questi fattori e i loro effetti dirompenti sulla cybersecurity, il 27 ottobre 2020 si è svolta la Tavola Rotonda “Sicurezza delle infrastrutture critiche, cosa cambia nella nuova normalità?” organizzata da Axis Communications, che ha idealmente riunito – naturalmente in modalità virtuale – tutti gli stakeholder coinvolti nella filiera della cybersecurity.
Con la moderazione di Raffaello Juvara (Direttore responsabile di essecome/securindex), l’incontro ha infatti visto la partecipazione di Gabriele Faggioli (Presidente Clusit), Corradino Corradi (membro del direttivo AIPSA), Corrado Giustozzi (AGID) e Andrea Monteleone (Axis Communications), tutti esperti multidisciplinari intervenuti in rappresentanza delle molteplici e variegate professionalità chiamate a interagire e condividere responsabilità all’interno dei processi di sicurezza informatica.
Importanti difficoltà oggi derivano – in rapporto all’eterna esigenza di proteggere dati, informazioni e asset aziendali – anche dal quotidiano aumento di oggetti e strumenti connessi alla rete (IoT/IIoT): inclusi quelli utilizzati proprio per attività di security, che, in assenza di un’adeguata e diffusa alfabetizzazione digitale, rischiano di trasformarsi in armi a doppio taglio nelle mani dell’utente finale, perché capaci di far sfumare lo stesso concetto di “perimetro” da tutelare.
Il moltiplicarsi degli endpoint mostra tutti i limiti dei tradizionali modelli difensivi basati su firewall. Oggi le strategie vincenti includono la gestione proattiva del ciclo di vita dei dispositivi, un approccio “zero trust” alle reti e rigorose policy di monitoraggio degli accessi: tutte caratteristiche che Axis ha da tempo incluso nella propria offerta, aiutando le aziende a dotarsi di strumenti all’avanguardia e implementare processi di sicurezza integrati e collaborativi, per far sì che nessun anello della catena resti esposto a metodologie di attacco sempre più massive e indiscriminate.
Nel corso del dibattito, infatti, sono emersi molteplici spunti sulle minacce emergenti nel contesto attuale, a partire dal preoccupante trend degli attacchi mirati alle strutture sanitarie. Ma «il primo semestre 2020» ricorda Faggioli «ha visto un’escalation globale di cyberattacks diretti a realtà, sia istituzionali sia loro contractors, del comparto militare e della difesa», imponendo a tutti gli attori in campo massima attenzione (con investimenti proporzionati, soprattutto nella ricerca) per contrastare rischi capaci di mettere in crisi la reputazione e la sicurezza non solo di persone o aziende, ma degli stessi Stati.
Qui si inserisce – specifica Giustozzi – la rilevanza della Direttiva NIS e dell’italiano Perimetro di Sicurezza Cibernetica, ormai prossimo a entrare in vigore. La sua attuazione mira a offrire «un organico e ambizioso quadro a tutela degli “operatori di servizi essenziali”: definizione che amplia il tradizionale concetto di “infrastrutture critiche”» includendovi banche, sanità e molti altri settori, a conferma della mutata consapevolezza del legislatore sul tema. Come sempre, però, la normativa sconta tempi più lenti rispetto all’evoluzione delle minacce e dovrà affrontare costanti aggiornamenti per tenere il passo degli attaccanti.
Nell’opinione di Corradi, tutte le misure che si stanno mettendo in campo avranno successo solo se sapranno promuovere, anche presso aziende di piccole dimensioni (che in Italia rappresentano gli attori principali) un generalizzato approccio risk based «adottato non per mera compliance, ma come unica strategia per poter competere con le “grandi” sul mercato». Rispetto allo smart working, si evidenzia altresì come le nuove forme di attacco contino spesso sulla “solitudine” dei lavoratori in remoto; ribadendo la centralità, in ottica di mitigazione dei rischi, di un costante aggiornamento e del dialogo fra tutte le soggettività coinvolte.
«Ciò che, come vendor del settore sicurezza, siamo chiamati a fare» sottolinea Monteleone «è fornire al cliente finale ogni strumento possibile, anche promuovendo l’educazione al buon uso delle tecnologie a tutti i livelli». Un processo virtuoso che considera la sicurezza una componente essenziale dell’intera filiera, «dalle fasi di design e sviluppo alla delivery del prodotto finale» e vede le aziende condividere informazioni, responsabilità e buone pratiche per un utilizzo sicuro – nel senso più ampio del termine – di ogni soluzione immessa sul mercato.
Istanza ancora più chiara nel contesto dell’emergenza pandemica, dove didattica a distanza e lavoro da remoto oggi mettono a nudo, non solo nel nostro Paese, tutti i limiti di una cultura della sicurezza ancora troppo poco diffusa. Il punto d’arrivo su cui tutti i relatori concordano è, infatti, l’urgenza di una massiccia alfabetizzazione informatica dei cittadini e di una più forte attenzione, incluso a livello mediatico, per incentivare tra le nuove generazioni la scelta di percorsi formativi e di carriera indirizzati al mondo della cybersecurity e della relativa awareness; promuovendo, con l’occasione, una maggiore diversità di genere che arricchisca il dibattito in materia di differenti prospettive e sensibilità.
Per riascoltare tutti gli interventi, è possibile richiedere la registrazione completa della Tavola Rotonda al seguente link https://www.axis-communications.com/l/133061/2020-10-29/5rq2v6