Un nuovo approccio per una maggiore sicurezza
Non c'è dubbio che l'avanzamento della digitalizzazione sia un prerequisito indispensabile per il progresso sociale ed economico. Allo stesso tempo, però, la digitalizzazione sta creando una serie di nuove opportunità di attacco. La cronaca quotidiana ci insegna che anche le opportunità di attacco ai sistemi informatici vengono sfruttate su vasta scala. C'è un evidente sbilanciamento a favore dei malintenzionati rispetto ai sistemi solitamente facili da violare.
Questa situazione rappresenta una minaccia non solo per le singole aziende, ma per l'intera società, e non solo a livello nazionale, ma globale. È quindi opportuno che lo stesso legislatore europeo sia intervenuto in questo ambito. Un precedente tentativo di innalzare il livello di sicurezza informatica in generale (noto come Direttiva NIS dal 2016) si è rivelato inefficace; ora se ne traggono le conseguenze e si vuole ottenere un miglioramento generale della resilienza con regolamenti significativamente più severi.
Settori interessati
Per una società funzionante, i settori della sanità, dell'energia, dei trasporti, della finanza, della salute, dell'acqua potabile e delle acque reflue, nonché le infrastrutture informatiche devono essere protetti in prima linea. Altre strutture fondamentali di una società moderna includono naturalmente anche la produzione alimentare, i servizi postali e di trasporto e, non da ultimo, la gestione dei rifiuti. Le aziende che operano in questi settori rientrano quindi nel campo di applicazione della nuova legislazione NIS2. Tuttavia, i criteri dettagliati finali sull'ambito di applicazione devono ancora essere determinati dall'attuazione nazionale della direttiva entro ottobre 2024.
Misure tecniche, organizzative e operative
I requisiti specifici della direttiva sono piuttosto generici.
È necessario che le misure siano conformi agli standard tecnici attuali e che siano adeguatamente adattate al rischio esistente. Si tratta di standard piuttosto elevati nell'attuale situazione di minaccia. Sono richiesti un'analisi dei rischi, un processo per gestire gli incidenti di sicurezza e, naturalmente, un concetto per mantenere le operazioni (continuità operativa). Inoltre, le misure di sicurezza obbligatorie devono essere incluse nell'acquisto di sistemi e servizi informatici. Un'attenzione particolare va riservata anche alla sensibilizzazione dei dipendenti in materia di sicurezza. Il requisito dell'uso dell'autenticazione a più fattori o dell'autenticazione continua è un po' più specifico
Responsabilità, vigilanza e sanzioni
La responsabilità dell'attuazione delle misure è chiaramente definita dalla legge: spetta agli organi di gestione dell'azienda (direzione, consiglio di amministrazione e consiglio di vigilanza). Per queste parti responsabili è prevista anche una formazione obbligatoria in materia di cybersecurity.
Il rispettivo Stato nazionale è responsabile della supervisione della conformità alla NIS2. In Italia, l'autorità ACN (Agenzia per la Cyber-Sicurezza Nazionale), fondata nel 2021, avrà questo compito. Questa istituzione ha quindi l'autorità di effettuare controlli di sicurezza appropriati presso le aziende, sia in caso di sospetto fondato che di propria iniziativa. Se vengono alla luce irregolarità, possono essere imposte sanzioni draconiane. Queste possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale (a seconda del valore più alto).
Obbligo di segnalazione e scambio di informazioni
Una lotta efficace contro le minacce nel cyberspazio non può prescindere da una cooperazione coordinata tra le istituzioni e da un rapido scambio di informazioni. Per questo motivo, la NIS2 prevede l'obbligo di segnalare gli incidenti di sicurezza a organismi nazionali centralizzati (i CSIRT o Computer Security Incident Response Teams). Tuttavia, questi CSIRT devono anche collaborare in tutta l'UE per contrastare le minacce attuali nel modo più efficace possibile. L'UE sta ora facendo un ulteriore passo avanti: sta per essere istituita un'organizzazione per la gestione delle crisi a livello europeo che, se necessario, si occuperà del coordinamento di gravi situazioni eccezionali.
Da dove cominciare?
Indipendentemente dal fatto che un'azienda rientri direttamente nell'ambito di applicazione della NIS2, che debba soddisfare i nuovi requisiti indirettamente attraverso la catena di fornitura o che sia interessata a un miglioramento della sicurezza fine a se stesso: I passi concreti necessari per un reale miglioramento sono noti da tempo. I sistemi devono essere sempre aggiornati, i dati devono essere sottoposti a backup regolari, devono essere stabiliti diritti di accesso adeguati, la rete deve essere suddivisa in zone di sicurezza, il traffico di dati verso Internet deve essere regolato e, infine, i dipendenti devono essere sensibilizzati. Tuttavia, la realtà è generalmente molto diversa. Ci sono accessi per la manutenzione remota con una semplice password e nessuno si accorge se persone non autorizzate li manomettono. Ci sono sistemi dismessi, non più sottoposti a manutenzione, che rimangono online per anni e attirano letteralmente gli aggressori. E ci sono anche diritti di accesso in cui chiunque può fare qualsiasi cosa. Le ragioni della mancata implementazione delle misure di sicurezza possono essere molteplici.A volte manca la convinzione interiore, mentre in altri casi le organizzazioni sono semplicemente sopraffatte. È importante che le organizzazioni riconoscano l'importanza della sicurezza e adottino misure adeguate per proteggere i propri dipendenti e le proprie risorse.
Tuttavia, se si verifica un incidente grave, come accade sempre più spesso, le organizzazioni sono costrette a cambiare idea e a creare un nuovo sistema sicuro alla velocità della luce e con enormi sforzi.
Il "ladro" arriva il venerdì sera
Tuttavia, le misure di sicurezza tradizionali non sono più sufficienti. Esse fanno suonare l'allarme quando viene riconosciuta una minaccia, ma se nessuno reagisce all'allarme, è inutile. È proprio per questo che i criminali iniziano il loro lavoro il venerdì sera e poi hanno generalmente mano libera fino al lunedì mattina; tempo sufficiente per installare il malware e quindi distruggere il sistema, ma soprattutto tempo sufficiente per rubare in anticipo tutti i dati dell'azienda. Gli aggressori sono professionisti nel pescare tra i dati rubati proprio quelli che danneggiano maggiormente la vittima a scopo di ricatto. Per una maggiore protezione, è quindi altamente consigliabile rivolgersi a un centro operativo di sicurezza (SOC) e far sì che l'intera situazione della sicurezza sia monitorata 24 ore al giorno.