Massimo Franchi Advisor, Consulente di management CMC e docente presso A.A.C. Business School, Direttore Capitale Intellettuale
Il ruolo della Cyber Security è divenuto oggi di fondamentale importanza per le imprese di ogni dimensione, in quanto il benessere e la pace sociale di una nazione dipendono anche dalla protezione contro le minacce derivanti dal Cyberspace, un dominio materiale ed immateriale senza confini, nel quale si è sviluppato un nuovo modello sociale, informativo e relazionale, grazie all’uso di sistemi hardware, software, network di comunicazione, device mobili, ecc. Avere una policy per la Cyber Security significa proteggere il Cyberspace da qualsiasi tipo di minaccia che può colpire la privacy del singolo cittadino/consumatore come i dati sensibili delle imprese, di ogni dimensione e le infrastrutture critiche. In questi anni ogni paese evoluto ha messo in pratica azioni per la protezione delle infrastrutture critiche che però hanno assunto sfumature diverse.
Per gli Usa si tratta di sistemi e asset, sia fisici che virtuali, così vitali per gli Stati Uniti che “l’incapacità o la distruzione degli stessi potrebbe avere un debilitante impatto sulla sicurezza, sulla sicurezza nazionale economica, sulla salute pubblica nazionale, sull’antinfortunistica e sulla combinazione di queste tematiche“1, mentre per l’Unione Europea oltre agli “asset e sistemi essenziali per il mantenimento delle vitali funzioni sociali” viene evidenziato il “benessere delle persone” con un impatto della minaccia che si considera tale solo se presente in almeno due Stati membri 2.
Alla base della Cyber Security vi è il come proteggere gli utenti da eventi occasionali o accidentali, come il furto ed il trasferimento di dati, la loro modifica, la distruzione degli stessi o il blocco dei sistemi. Tutto questo rappresenta una minaccia, ma anche un’opportunità per le aziende che operano in questo comparto e che vedranno una crescita esponenziale negli anni futuri, sia in termini di fatturato che di personale impiegato. Infatti, se da una parte gli utenti, privati o pubblici che siano, dovranno investire miliardi di euro per la loro protezione, sicuramente le imprese specializzate in questo settore strategico potranno fare affari d’oro. Per l’Unione Europea i settori critici e da proteggere sono il food, l’acqua, l’industria nucleare, lo spazio, l’industria chimica, la sanità, l’industria finanziaria, i trasporti, l’energia, i centri di ricerca e l’ICT. Gli Usa hanno un concetto ancora più estensivo ed aggiungono l’industria del sistema difesa, i complessi commerciali e governativi ed i sistemi produttivi critici. Un tipico attacco, magari nel settore finanziario (il più grande segmento al mondo per la Cyber Security), è normalmente attuato per paralizzare le infrastrutture critiche oppure rubare informazioni con differenti scopi: criminali, terroristici o di spionaggio.
Di fondamentale importanza è la valutazione dei target oggetto di un attacco, cosa che può fare una grande istituzione finanziaria, ma che diventa più difficile per una banca locale: quali sono le conseguenze e gli impatti sulla società e come normalizzare e ripristinare la situazione quanto prima? Quali sono stati i danni verificatisi? Gli inglesi del UK Government’s National Cyber Security Strategy3 hanno indicato che le piccole imprese hanno scarsa capacità di implementare una piena gamma di controlli necessari ad ottenere una robusta protezione cyber. Poiché in Italia la maggior parte delle imprese sono Micro (il 94,8%, per un totale di 3.527.452) e Piccole (il 4,6%, per un totale di 171.658), è evidente la priorità che merita questo tema.
Gli Usa hanno compreso molto bene il rapporto che dovrebbe legare il pubblico ed il privato realizzando una nuova strategia per la difesa del Cyberspace, la “Defense Innovation Unit X”4, che prevede lo sbarco, o meglio il rafforzamento, del ruolo del Pentagono nella Silicon Valley per realizzare un centro di ricerca sperimentale che farà da interfaccia tra difesa ed industria. Tale unità, che sarà composta da personale misto civile e militare, prevede il reclutamento di “Riservisti”, cioè di personale che riesce ad operare ed interfacciarsi facilmente con entrambi i mondi, dotato di elevate competenze e con un adeguata mindset psicologica.
La leva tecnologica da usare in chiave commerciale, fondamentale per lo sviluppo di ogni paese ma in modo particolare per gli Usa, presenta oggi dei rischi per il mondo degli affari, per i governi, per i militari e per gli individui. Il dual use di molti prodotti può delineare un’eccezionale opportunità commerciale e di sicurezza, ma anche un grave rischio se la tecnologia è usata, ad esempio, per fini terroristici o contro la sicurezza nazionale, compreso l’aggressione ad imprese strategiche. Inoltre, la stessa Casa Bianca nel 2015 ha proposto una nuova revisione della National Security Strategy nella quale la Cyber Security ha un ruolo fondamentale e centrale con la previsione d’aiuto agli altri paesi per prevenire le minacce all’infrastruttura nazionale.
La Cyber Security è oggi un pilastro sostanziale dell’Intelligence Economica in quanto tutte le informazioni, le transazioni finanziarie, le immagini, la voce, passano per quel dominio fondamentale che è il Cyberspace. I dati che vengono scambiati sono talmente sensibili ed importanti che quando un’impresa non riesce ad implementare un controllo specifico, per diverse ragioni, dovrebbe necessariamente implementare un controllo alternativo.
Tale approccio può essere semplice per una media impresa, organizzata e con funzioni bene indentificate, ma risultare più difficile per una Micro o Piccola azienda. La Cyber Security diventerà nel mondo iper globalizzato un vantaggio competitivo che farà scegliere al consumatore finale quale prodotto acquistare e dove socializzare. Secondo i francesi, che stanno lavorando sul potenziamento legislativo della loro Cyber Security, l’Intelligence Economica è l’insieme delle azioni coordinate di ricerca, trattamento, diffusione e protezione dell’informazione, con lo scopo di ispirare e guidare la strategia degli attori economici, intesi come Stati, Enti locali e sistema imprenditoriale5.
Se ogni paese sta potenziando la propria Cyber Defence, sia pubblica che privata, per contrastare al meglio le Cyber War quotidiane, è legittimo chiedersi in quale condizione di sicurezza opereranno le Micro e Piccole imprese italiane nei prossimi anni e come potranno respingere adeguatamente le Cyber Threat. Certamente, senza un sostegno ed una direzione centrale questo risultato sarà difficile da raggiugere. ■
image @iStock-641304194-homaguery
- 1 US Public law 107-56 (October 26, 2001) “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act”.
- 2 European Union Directive 2008/114/EC.
- 3 Cyber Essentials Scheme: equirements for basic technical protection fromcyber attacks, 2014.
- 4 http://www.defense.gov/news/newsarticle.aspx?id=128655
- 5 Guerra Economia e Intelligence di Giuseppe Gagliano, prefazione di Massimo Franchi, Fuoco Edizioni, 2013.