Allerta sicurezza digitale: caccia a tecnici e manager

Gli attacchi informatici alle imprese sono in aumento sostenuti da tecnologie potenziate dall’intelligenza artificiale. In attesa, per il mese prossimo, della presentazione dei nuovi dati dell’Osservatorio Cyber Security&Data Protection promosso dalla School of management del Politecnico di Milano, le statistiche ad oggi disponibili dicono che in Italia il 73% delle grandi imprese ha avuto almeno un attacco nel 2024 e che imprese ed enti pubblici e privati stanno investendo per rafforzare la propria sicurezza informatica, un settore che ha aperto grandi possibilità di formazione e specializzazione a livello universitario e non solo. Ne parliamo con Gabriele Faggioli, responsabile scientifico dell’Osservatorio.

Professore, quali sono i percorsi formativi per occuparsi professionalmente di sicurezza informatica?

Ci sono più livelli per definire diversi percorsi. La sicurezza informatica coinvolge più categorie professionali. A seconda del profilo che ci si vuole costruire, nella formazione sulla sicurezza informatica il campo spazia da scienze più umanistiche ad altre più tecnologiche.

Ci sono percorsi più tecnici, non necessariamente universitari, e ci sono corsi universitari nell’ambito di discipline ingegneristiche. Da una parte abbiamo abilità molto legate alla tecnologia, alla conoscenza dello strumento digitale per lo sviluppo di capacità molto tecniche che una volta si sintetizzavano nel profilo dei cosiddetti Nerd, per un’attività estremamente legata alla tecnologia hard che comportano la capacità di usare gli strumenti e col supporto di uno studio molto tecnico legato all’ecosistema digitale. Se invece si vuole affrontare il tema nel senso di governance o relativamente all’impatto sul business o sull’organizzazione gli studi adatti sono di tipo economico o di ingegneria gestionale, utili ad affrontare modalità e strategie per affrontare la tematica in termini di skill, procedure, gestione dei sistemi. È la parte utile per arrivare alla gestione degli incidenti: a livello tecnologico significa capire come intervenire in caso di attacco e limitarne gli effetti soprattutto con azioni tecniche emergenziali.

E per chi voglia specializzarsi negli aspetti giuridici sulla sicurezza informatica?

Gli aspetti più legali che in questo momento storico sono particolarmente rilevanti a causa dell’impatto normativo sul settore. Per un taglio giuridico l’attività si lega all’applicazione delle norme e quindi oggi sono moltissime le attività legate a come l’impianto normativo incide sull’organizzazione delle imprese e quindi la costruzione dell’apparato documentale, organizzativo, procedurale legato alle norme.

Nelle imprese, considerando le differenze anche dimensionali, c’è la tendenza a fare formazione interna continua sulla cybersecurity?

Se analizzo il nostro campione, quello delle aziende vicine all’attività del nostro Osservatorio, la risposta è sì. Ma il fatto che siano nel nostro campione e operino nel nostro ecosistema rende evidente che sono interessate alla materia e, quindi, sono particolarmente attente ad investire di conseguenza. Parliamo di realtà dimensionate e oggi la dimensione dell’azienda conta perché l’investimento e l’impatto delle norme sulle imprese più dimensionate è sicuramente maggiore. Ciò determina che si dotino di figure professionali dedicate, a partire dai direttori della sicurezza informatica, i Ciso-Chief information security officer, fino a profili sottostanti.

Le pmi dunque hanno un problema in tal senso?

Il problema inizia sotto lo strato delle aziende più grandi, perché le imprese di medie dimensioni hanno minori investimenti, quindi meno skill, meno persone e meno percorsi formativi dedicati. La formazione continua per loro diventa difficile, per ragioni di budget. Fra le grandi imprese e quelle di medie e piccole dimensioni c’è un abisso sul tema. La stragrande maggioranza degli attacchi informatici avvengono nelle pmi, dove l’impatto preso singolarmente magari non è devastante per la sopravvivenza aziendale, anche perché nessun criminale ha interesse a far fallire l’azienda, in quanto se fallisce non paga: la possibilità di ottenere da ciascuna decine di migliaia, o anche qualche centinaio di migliaia di euro fa sì che sommando i diversi attacchi si creino dei business criminali importanti, più facili da ottenere da soggetti più deboli, come le pmi.

Qual è il suo parere sulla direttiva europea “Nis2-Network and information Security Directive 2”, evoluzione della Nis1 e del Gdpr, che introduce nuovi obblighi di certificazione in cybersecurity per aumentare la sicurezza informatica in ambito Ue?

È un altro passo avanti molto rilevante dell’apparato normativo in un contesto politico particolarmente complicato. La Nis2 ha il grande pregio di estendere la numerosità e le categoria di soggetti coinvolti dalla norma. Rispetto alla Nis1 si passa da alcune centinaia ad alcune decine di migliaia di realtà coinvolte, le quali si portano dietro la filiera di fornitori e quindi l’incidenza aumenta. Ciò costringe un numero di imprenditori e manager immensamente più grande di prima ad affrontare la tematica in modo più determinato e speriamo con più effetto.

Nei dati dell’Osservatorio qual è oggi la scelta di investimento prevalente delle imprese per la gestione dei cyber attacchi?

Parte della nostra ricerca è fatto soprattutto con le grandi imprese, ma abbiamo delle verticalità anche rilevanti fra le pmi. Ma la numerosità delle pmi è talmente elevata in Italia che avere campioni rappresentativi è complicato. Inoltre sono anche molto più distribuite territorialmente, fra territori avanzati e altri arretrati. Secondo il digital index della Commissione che classifica la digitalizzazione su diversi parametri vede l’Italia agli ultimissimi posti in competenze digitali e in competenze digitali avanzate. Ciò ci dice che soprattutto in realtà che non fanno investimenti le capacità digitali sono molto limitate. Come Osservatorio abbiamo la nostra capacità di analisi del mercato e in relazione alle nostre forze abbiamo fatto scelte su dove andare per avere campioni più rappresentativi.

Come agiscono in genere le imprese in caso di attacco informatico?

Le realtà più dimensionate hanno procedure molto stringenti per affrontare le varie casistiche di attacco. Gli attacchi informatici alle aziende sono continue e spesso sono attacchi importanti, con forte determinazione criminale. Per fortuna solo una quota parte minore ha esito positivo per i criminali. Le grandi imprese hanno tecnologie di protezione estremamente avanzate, ma alcuni riescono a superare le protezioni. Le imprese più dimensionate, ma anche imprese più piccole e molto tecnologiche, ormai hanno figure professionali e procedure che permettono di reagire, con capacità di isolare il perimetro di attacco e limitare il contagio al resto dell’azienda, con strutture che comunicano con fornitori coinvolti e con le autorità per comunicare ciò che va trasmesso per legge, con capacità di creare report utili alla gestione degli effetti nei giorni successivi, quando magari un attacco è progredito riuscendo magari a creare fermi di produzione. In alcuni casi servono giorni.