Cybersecurity Week

Mancano 100 secondi alla fine del mondo e il problema non è l'anno bisestile. L'annuncio è stato dato dal "Bulletin of the Atomic Scientists' Science and Security Board" e se vi state chiedendo chi sono costoro, sappiate che si tratta del gruppo di esperti che si occupa del "Doomsday Clock", l'orologio che indica quanto tempo ci separa dalla fine del mondo.

Lo scorso 7 febbraio la lancetta è arrivata a soli cento secondi dalla simbolica mezzanotte che segnerà la fine della civiltà come la conosciamo. Dal lontano 1947, anno in cui è stato creato, mai ha segnato un'ora tanto vicina all'apocalisse e lo spostamento di quest'anno non è stato determinato dai cambiamenti climatici o dal rischio di olocausto nucleare, bensì dal riconoscimento che la guerra cibernetica rappresenta una seria minaccia per l'intera umanità.

Tutti i contenuti della rubrica Cybersecurity Week

Personalmente mi conforta sapere che la questione della sicurezza della società dell'informazione stia uscendo dai ristretti confini specialistici, anche se purtroppo ancora con molte parole e pochi fatti.

Una risposta al tema arriva dall'Italia (nel nostro piccolo qualcosa facciamo). Sempre il 7 febbraio si è chiusa ad Ancona Itasec, importante conferenza italiana dedicata alla cybersecurity, e Roberto Baldoni, vicedirettore generale del Dipartimento delle informazioni per la sicurezza (Dis), ha annunciato l'avvio della costruzione del perimetro nazionale di cybersecurity. Baldoni ha specificato che si procederà con gradualità partendo con "un numero ragionevole di asset e soggetti ict". Sembra una lodevole iniziativa, tuttavia mi sorge un dubbio.

Da almeno un decennio quando si affronta il tema della sicurezza delle nuove tecnologie si parla di scomparsa del perimetro perché il livello di interconnessione e interdipendenza di sistemi e dati ha reso praticamente indistinguibili le aree di pertinenza dei diversi attori siano esse organizzazioni pubbliche e private o singoli cittadini. Migliaia di sistemi sono in tutto o in parte in cloud, l'avvento del 5g produrrà un appiattimento globale su una singola rete, aziende e pubbliche amministrazioni con la necessità di rendere più efficienti e rapidi i loro rapporti hanno progressivamente interconnesso i propri sistemi in modo fiduciario. Mi domando come si possa disegnare un perimetro, per sua geometrica natura preciso e definito, in un mondo di tal fatta. Aspetteremo con pazienza.

Nel frattempo i criminali sono sempre molto impegnati a sfruttare ogni occasione per andare "a pesca" di utenti poco attenti. A fornire la "materia prima" per una nuova campagna di phishing, la prima delle quali si è verificata in Giappone, è stata l'epidemia di Coronavirus. Solito messaggio di posta elettronica, solito aggetto allarmistico sulla diffusione dell'epidemia, solito invito ad aprire un allegato che contiene importanti informazioni. Ovviamente solito malware che infetta il dispositivo.

Se possiamo sperare che il Coronavirus non si diffonda in Italia, possiamo avere ragionevoli certezze che questo suo parente informatico non mancherà di sbarcare suoi nostri smartphone e computer. Fondamentali le abituali attenzioni (leggere con attenzione la mail di provenienza, verificare i link, al minimo dubbio cestinare il messaggio).

Se la battaglia contro il cyber crime raramente offre qualche soddisfazione, sembra invece che la nostra Autorità Garante per la Protezione del Dati Personali intenda procedere a passo spedito nel sanzionare aziende troppo disinvolte nel trattamento dei dati. In particolare il nostro Garante ha sempre mostrato una spiccata sensibilità rispetto al "telemarketing selvaggio", un tipo di violazione che proprio non perdona. Così dopo Eni Gas e Luce che a fine gennaio si è vista recapitare sanzioni per complessivi 11,5 milioni di euro, all'inizio di febbraio è stato il turno di Tim con quasi 28 milioni di euro (il provvedimento risale al 15 di gennaio). L'operatore telefonico, inoltre, si è visto imporre 20 misure correttive.

Mi sembra evidente che, grazie alla possibilità garantita dalla nuova normativa europea di imporre sanzioni molto elevate, l'Autorità con questi provvedimenti sta cercando di lanciare un segnale al mercato. Quale? Tolleranza zero.

Alessandro Curioni

Presidente DI.GI. Academy

Presidente DI.GI. Academy