Resilienza informatica: chi ben comincia…

di Davide Maniscalco, Coordinatore regionale Aidr per la Sicilia,
Privacy Officer e Capo delle relazioni istituzionali Swascan – Tinexta
Group

Come previsto nel Work Programme 2022 della Commissione europea, la
tecnologia e la sostenibilità rappresentano le priorità dell’agenda
europea che, invero, ribadisce la convinta visione di un’Europa verde
e digitale.
E’ noto che il decennio per realizzare il percorso di trasformazione
digitale dell’UE avrà un orizzonte al 2030 e si caratterizzerà, tra
l’altro, per lo sviluppo di:
un’economia innovativa basata su una tecnologia umano-centrica,
affidabile e sicura;
una connettività ad internet sicura e resiliente;
un sistema di comunicazione sicuro globale basato sullo spazio;
un’identità digitale europea;
sistemi di Intelligenza Artificiale affidabili, con sempre maggiori
standard di calcolo computazionale.
Tuttavia, già adesso e, purtroppo con una preoccupante frequenza,
frodi, attacchi di phishing e ransomware rappresentano una minaccia
sistemica concreta per intere economie e governi.

A fronte di questo fenomeno, che nel tempo ha assunto anche
connotazioni geo-politiche, talora con finalità di destabilizzazione e
sabotaggio o, più spesso, di spionaggio industriale e
scientifico-tecnologico, le risorse aziendali, laddove consistenti in
budget concreti, restano ancora prevalentemente allocate sulla
sicurezza informatica difensiva, principalmente focalizzata sulla
protezione della riservatezza e dell’integrità dei dati e meno spesso
sulla continuità operativa dei processi primari di business e dei
sistemi informatici ed informativi.
E’ evidente che questa impostazione si sta rivelando insufficiente di
fronte ad attacchi che diventano ogni giorno più pervasivi e
richiedono non soltanto una risposta più strutturata di tipo
preventivo ed anche predittivo, ma anche di un capitale umano più
diversificato ed inclusivo.
In tale scenario, la collaborazione multilayers rimane un imperativo
sempre più imprescindibile.
Ed infatti, la sicurezza informatica ha bisogno tanto dell’esperto
sviluppatore quanto del sistemista e dell’End user, perché sono tutti
imprescindibilmente players di una mission comune: la resilienza
informatica.
Non ci sono altre strategie, tutti devono essere coinvolti all’interno
della cybersecurity per rafforzarne l’intera filiera.
In tale direzione, il preannunciato European Cyber Resilience Act, il
cui lancio è stimato per il terzo trimestre del 2022, proporrà in
parte nuove regole per i dispositivi connessi al fine di affrontare
potenziali vulnerabilità del software e stabilire standard comuni di
sicurezza informatica per i dispositivi connessi.

Inoltre, linea con le priorità della Commissione europea, anche la
proposta di Regolamento sulla resilienza operativa digitale (“DORA”)
per i servizi finanziari dello scorso settembre 2020, che fornirà un
quadro europeo di norme armonizzate diretto ad affrontare le esigenze
di resilienza operativa digitale di tutti i soggetti finanziari
regolamentati, stabilendo anche un quadro di supervisione per i
fornitori ICT terzi critici.
Ma è chiaro che l’approccio normativo, pur necessario, non possa bastare.
Si tratta infatti di approcciare la sicurezza informatica con la
consapevolezza di dover creare, con risorse e focus esecutivi
adeguati, resilienza in ogni parte del business, dalla mappatura dei
processi aziendali alla disponibilità dei servizi di ingegneria alla
dipendenza spesso critica dai fornitori.
Tutto ciò richiede ed include inevitabilmente la correzione costante
delle vulnerabilità, il rilevamento e la mitigazione delle minacce e
la formazione continua del capitale umano.
Inoltre, gli sviluppatori dovrebbero comprendere quanto la sicurezza
dei codici che scrivono e la loro distribuzione, per tutto il ciclo di
vita delle applicazioni, siano funzionali ad un incremento del valore
dei software, che devono tuttavia rimanere sensibili alla velocità del
business.
Per questo il Regolatore europeo sta puntando sulla leadership
tecnologica e digitale, perché solo attraverso regole europee certe ed
armonizzate si creerà una virtuosa interazione tra chi progetta, chi
sviluppa e chi gestisce i sistemi, determinando così le fondamenta
per un nuovo paradigma della cybersecurity.
L’obiettivo della sovranità digitale europea sarà una logica
conseguenza e passerà per la creazione di un sistema basato su regole
che consentano una maggiore proprietà di risorse tecnologiche vitali,
a livello locale, nazionale e regionale e, in ultimo, di avere un
concreto controllo sul proprio destino digitale, ossia i dati,
l’hardware e il software che si creano e su cui si fa affidamento.