Sicurezza cibernetica: l’intervista a Stefano Mele

Pubblicato il 5 ottobre 2020

Secondo il Data Breach Investigation Report 2020 pubblicato da Verizon Business, gli attacchi alla cyber security delle applicazioni web sono raddoppiati negli ultimi sei mesi rispetto ai valori raggiunti in tutto il 2019. Un dato questo che sottolinea come l’avvento del Covid-19 abbia consentito al cyber crime di essere ancora più performante nella sua attività.

Su un tema di grande attualità, come quello dell’evoluzione del perimetro di sicurezza nazionale cibernetica,  riportiamo un estratto dell’intervista comparsa sul portale Bimag  a Stefano Mele, avvocato esperto di privacy e cybersecurity e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano, che parteciperà come relatore al percorso di alta formazione sulla “Cybersecurity e la gestione dei rischi per il mondo dell’impresa” previsto a partire dal 29 settembre e organizzato da Business International (divisione di Fiera Milano MediaGruppo Fiera Milano).

Mele, con l’avvento del Covid-19 il tasso di attacchi alle reti domestiche e ai dispositivi connessi è aumentato a dismisura, raggiungendo livelli mai visti prima. Lo smart working e la permanenza nelle abitazioni ha portato i criminali informatici a spostare la propria attenzione dagli uffici alle case dei professionisti. Come sarà possibile riuscire ad arginare questa nuova situazione di rischio in un’epoca nella quale il digitale sta prendendo il sopravvento su qualunque attività quotidiana?
«Sicuramente ci sono alcuni consigli che possono aiutare a colmare il gap che società private e pubblica amministrazione si sono trovate ad affrontare con l’emergenza Covid-19. Nessuno era preparato, infatti, a gestire una migrazione di massa di tutti i propri dipendenti né sul piano tecnologico, né sotto il profilo delle policy e tanto meno dal punto di vista dei processi di security. Ci si è quindi dovuti adattare e chi non l’ha ancora fatto dovrà farlo adesso con grande urgenza, perché il pericolo purtroppo non è ancora finito. È un dato di fatto che, durante il lockdown, la quasi totalità delle aziende e delle pubbliche amministrazioni si sono trovate di fronte alla necessità di dover costruire, con estrema urgenza e praticamente da zero o quasi, la loro capacità di consentire a ogni singolo dipendente di fruire dei servizi lavorativi dal proprio appartamento. In quel periodo, che purtroppo perdura, c’è stato innanzitutto un tema di messa a disposizione delle tecnologie nei confronti dei dipendenti e di allineamento di questi strumenti sotto il punto di vista dei processi di cyber security, con regole molto stringenti e soprattutto omogenee, al fine di evitare di avere tante minacce alla rete aziendale quanti sono i dipendenti connessi. Oltre a ciò, poi, c’è il discorso delle policy, ovvero della formalizzazione delle regole che ogni utente/dipendente dovrà seguire, in modo che esso comprenda molto bene il processo straordinario di trasformazione imposto dall’emergenza e le regole che dovrà seguire. Regole che, inevitabilmente, devono tener conto delle ormai numerose normative che producono effetti nel settore della sicurezza cibernetica, dall’ormai celeberrimo GDPR, fino al nuovo Perimetro di Sicurezza Nazionale Cibernetica, passando per norme europee fondamentali come la Direttiva NIS e il Cybersecurity Act».

Secondo i dati di numerose ricerche, da quando è in atto la Pandemia, gli obiettivi preferiti dei criminali informatici oltre alle email, sono diventati anche siti di eCommerce e applicazioni mobile, soprattutto di video streaming. Con una scuola che riprende in formato ibrido, un commercio che non riparte se non attraverso portali di vendita online e un utilizzo dello smartphone sempre più massivo, anche per accorciare il distanziamento sociale imposto dal lockdown, quali saranno o dovranno essere le precauzioni e gli asset principali da considerare per gestire la sicurezza delle persone?
«In realtà, l’asset principale su cui puntare e da tenere in considerazione per proteggere le persone sono proprio le persone stesse. Non possiamo continuare a rincorrere le attività e ogni nuova modalità di attacco della criminalità informatica, perché altrimenti – com’è sotto gli occhi di tutti – siamo e saremo sempre più di un passo indietro e quindi inevitabilmente sconfitti. In questo contesto, a mio avviso, potrebbe essere molto più interessante un approccio strategico che veda la formazione dell’utente/dipendente sui temi della security, del GDPR e della cyber security come un requisito fondamentale per operare in un’organizzazione, sia essa pubblica o privata, aiutando così a creare quell’indispensabile base di anticorpi necessari per far sì che attacchi banali come, ad esempio, il phishing, così come le nuove e più sofisticate azioni malevole contro siti di eCommerce, app e IoT di casa non vengano “rincorse” a seguito dei loro effetti, ma comprese o anche solo intuite in anticipo grazie a un set di comportamenti che sono alla base del patrimonio culturale di ciascun cittadino. Dobbiamo, quindi, creare una base culturale forte, oggi completamente assente, e dobbiamo farlo fin dalle scuole primarie. Così come, tempo fa, tra le materie dell’istruzione esisteva sin dalle scuole elementari l’educazione civica, allo stesso modo noi oggi dobbiamo creare e insegnare la materia dell’educazione civica digitale. Ciò potrà senz’altro aiutare i giovani a sviluppare una forte base culturale sulle principali questioni tecnologiche e di cyber security, contribuendo anche all’accrescimento di una forte consapevolezza anche su temi sociali particolarmente rilevanti come il cyber bullismo o la pedopornografia online. È questa la ragione per cui da tempo affermo che l’essere umano è l’asset più importante su cui investire e di cui prendersi cura, essendo esso l’elemento cardine di interazione con l’ambiente digitale attuale e futuro, oltre che il classico anello più debole della catena della sicurezza. Senza delle solide e profonde fondamenta culturali su questi temi la nostra società sarà sempre sconfitta dal prossimo attacco cibernetico o dalla prossima ondata di interessi criminali».

Il futuro della cyber security dipenderà dunque dall’introduzione nelle scuole di un’educazione civica digitale?
«Credo che per il futuro del digitale sarà fondamentale porre delle norme di comportamento sul convivere online. Lo scenario tecnologico è sempre più caratterizzato da una comunicazione one-to-all ed è su questo elemento che dobbiamo porre grande attenzione. È altrettanto chiaro, a mio avviso, quanto questo sia un settore nuovo e complicato da comprendere, ma è un segmento ancora oggi caratterizzato purtroppo, soprattutto a livello psicologico, dal problema del filtro del monitor e della tastiera, del non guardare in faccia il nostro interlocutore, del non capire gli effetti che hanno i nostri comportamenti sbagliati. Tutto questo, inevitabilmente, agevola questi comportamenti sbagliati e la loro reiterazione».

 

Continua a leggere qui l’articolo



Contenuti correlati

Scopri le novità scelte per te x