Ottobre è l’European Cyber Security Month (ECSM), l’annuale campagna Europea per aumentare la consapevolezza in ambito cyber security. Il principale promotore dell’evento è l’ENISA, l’agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione.
I temi legati alla sicurezza informatica ed al cyber crime sembrano, oggi, più importanti che mai.
Nel 2017 il cyber crime ha realizzato un vero e proprio “salto quantico” rispetto al decennio precedente. Dal 2011 al 2017 i costi generati globalmente dalle attività cybercriminali sono quintuplicati, passando da poco più di 100 miliardi di dollari nel 2011 ad oltre 500 miliardi nel 2017. Il 2018 si appresta a superare il catastrofico 2017. (Rapporto Clusit 2018)
Nonostante gli elevatissimi costi legati al cyber crime, destinati a crescere anche nel 2018, e nonostante la drammatica insufficienza degli investimenti in cyber security nel nostro Paese, il 2018 sembra comunque un anno favorevole per avviare un percorso destinato ad aumentare la sensibilità e la cultura nazionale ed europea in ambito di ICT security e cyber security.

Il contributo del GDPR

Da quest’anno, come tutti sappiamo, è applicabile il GDPR. Seppur non trattando di cybersecurity, il GDPR è rilevante perché dispone l’obbligo di notificare ogni data breach grave. Fino al 24 maggio la prassi, almeno in Europa, era quella di nascondere accuratamente ogni incidente, ove possibile. L’obbligo di cui all’art. 33 consentirà nei prossimi anni di avere statistiche sugli incidenti informatici molto più accurate, e probabilmente il 2017 sembrerà un bel sogno a confronto.
Il costo stimato per l’Italia nel 2016, derivante da attività cyber criminali, sarebbe di quasi 10 miliardi di euro, un terzo della manovra finanziaria di quell’anno. (Rapporto Clusit 2018)

Come accennato, i costi reali per i prossimi anni saranno probabilmente molto più alti rispetto a quelli stimati finora, a fronte dell’obbligo di notificazione di data breach di cui all’art. 33 del GDPR.
Il GDPR ha però anche un altro pregio: costringere le imprese ed i professionisti a pensare alla sicurezza informatica. L’art. 32 infatti pone a carico dei titolari e responsabili del trattamento l’obbligo di dotarsi di misure tecniche ed organizzative per garantire un livello di sicurezza dei trattamenti adeguato al rischio. In un mondo in cui i dati personali vengono ormai trattati quasi sempre con sistemi informatici, le misure di sicurezza sia tecniche che organizzative non possono che essere legate alla sicurezza delle reti e dei sistemi, che – ricordiamolo, passa anche per la formazione dei dipendenti.

La Direttiva NIS

L’Unione Europea ha compreso l’importanza della sicurezza informatica, e la Direttiva NIS è un primo passo verso una normativa europea comune per la sicurezza delle reti e dei sistemi informativi.
La Direttiva NIS è rivolta a due categorie di soggetti: gli OSE, che sono soggetti pubblici o privati che forniscono servizi essenziali per la società e l’economia nei settori sanitario, energia, trasporti, bancario, acqua potabile ed infrastrutture digitali e dei mercati finanziari, e gli FSD che sono le persone giuridiche che offrono servizi di e-commerce, cloud computing o motori di ricerca. Similmente a quanto previsto dal GDPR, questi soggetti hanno l’obbligo di porre in essere misure tecniche ed organizzative adeguate a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi. E sempre similmente a quanto accade per il GDPR, sussiste obbligo di notificazione degli incidenti che hanno un impatto rilevante sulla fornitura del servizio.

La cybersecurity è una responsabilità condivisa

Oggi le campagne malware hanno conseguenze reali, a volte anche catastrofiche. Ad esempio, nel 2017, tra il 12 ed il 15 maggio, ben 16 ospedali in UK sono stati infettati da un malware (Wannacry) che ha reso inaccessibili tutti i sistemi informatici, rendendo impossibile o estremamente difficoltoso offrire le dovute cure sanitarie ai pazienti, con un altissimo costo per la sanità pubblica ed altrettanto elevato rischio per la salute dei pazienti. L’infezione è scaturita dall’apertura di una semplice email, probabilmente da parte di un dipendente disattento o inconsapevole.
Non è un caso che il motto dell’ECSM sia “Cyber security is a shared responsibility!”. La cyber security non è rilevante solo per chi lavora con i computer, e non è una materia per soli nerd. Il cyber crime ha conseguenze reali sulla vita di tutti noi, ed i costi legati ad esso sono costi che tutti noi sosteniamo.
La sicurezza informatica è responsabilità di tutti: responsabilità delle scuole, che dovrebbero formare gli studenti anche in materia di “cyber-hygiene”; responsabilità delle aziende, che dovrebbero formare i dipendenti nell’uso di internet e degli strumenti aziendali; responsabilità di ogni cittadino, perché siamo tutti coinvolti.