Il 2017 è forse l’anno in cui i temi di cyber security sono diventati parte della quotidianità per cittadini e imprese, non essendo più un tema di interesse per pochi specialisti. Si tratta anche di un effetto di “onda lunga”, conseguenza degli eventi degli anni passati. Negli anni scorsi infatti, la diffusione del ransomware ha messo in evidenza come l’infezione da malware non sia un semplice fastidio, quale era in sostanza considerata da buona parte delle aziende e delle persone. I dubbi sulle possibili interferenze della Russia nell’elezione di Donald Trump, dubbi che hanno messo in evidenza quanto la manomissione dei sistemi informativi possa ormai incidere anche sui processi fondamentali della democrazia, sono stati poi fonte di discussione per tutta la prima parte dell’anno.
L’esposizione di dati personali di centinaia di migliaia di clienti di Unicredit[1], dovuta a quanto pare alla violazione dei sistemi di un partner commerciale, ha infine mostrato come la sicurezza dipenda sempre più dalle complesse interrelazioni fra i sistemi informativi aziendali con quelli di partner, fornitori e clienti. Ha anche messo in evidenza come eventi di queste dimensioni non siano esclusivi di paesi come gli Stati Uniti, dove peraltro a settembre un data breach ha interessato 143 milioni di clienti di Equifax[2]. Riguardo a questo ultimo incidente però, l’aspetto forse più interessante è che un evento di queste dimensioni sia stato oggetto di attenzione da parte dei media al più per un paio di giorni. Lo stesso si può dire per la violazione dei dati di circa 57 milioni di utenti, subita da Uber nel 2016 e resa pubblica a fine 2017[3]. Indice che anche gli incidenti di cyber security sono ormai parte della quotidianità, non sono più notizie “esotiche”.
Se le violazioni fanno poco notizia, la cyber security invece è oggetto di discussione in relazione a nuovi servizi e strumenti sempre più sofisticati. Il 2017 è sicuramente l’anno dell’accettazione ufficiale di Bitcoin, e quindi della discussione dei meccanismi di questa criptovaluta, cosa che ha portato anche programmi televisivi generalisti a parlare di temi come blockchain e la sua sicurezza. Possiamo aspettarci che nel 2018 e nei prossimi anni, con la diffusione non solo dell’utilizzo dei Bitcoin, ma anche di tanti strumenti di pagamento innovativi, i cittadini, comunque ancora poco sensibili e preparati, saranno oggetto di nuove modalità di frodi e raggiri. Questo non dovrebbe spaventare o limitare l’utilizzo di questi strumenti, dovrebbe casomai spingere a farlo con maggiore consapevolezza.
Infine, le tematiche di sicurezza nell’ambito dell’industry 4.0 hanno portato diverse aziende a porsi davvero il problema della cyber security in relazione alla tutela dei propri processi operativi, e non solo come tema di conformità a qualche normativa.
Gli effetti del GDPR
Eppure, se le aziende italiane pensano alla sicurezza è nuovamente soprattutto in conseguenza di una norma. Il nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) sarà efficace dal 25 maggio 2018, data che ormai tutte le aziende hanno presente come termine per una serie di adempimenti su cui, immancabilmente, hanno cominciato a muoversi per la maggior parte con grande ritardo. Un aspetto particolarmente motivante del GDPR, come noto, sono le sanzioni particolarmente pesanti, almeno per alcuni tipi di violazioni. Fra gli aspetti che avranno un maggiore impatto sulla gestione della sicurezza c’è il tema della notifica dei data breach. La necessità di rilevare e notificare i data breach, come minimo per limitare le sanzioni, richiederà alle aziende prima di tutto una maggiore capacità di rilevare gli incidenti, attraverso un monitoraggio efficace degli eventi di sicurezza all’interno del proprio sistema informativo.
Questa capacità di monitoraggio porterà molte aziende ad una maggiore coscienza dello stato della sicurezza delle proprie informazioni. Ed è nel settore del monitoraggio di sicurezza che potrebbero esserci gli sviluppi più interessanti dal punto di vista tecnologico. Negli ultimi anni infatti, c’è stata molta innovazione nell’ambito dell’intelligenza artificiale, grazie soprattutto allo sviluppo delle tecniche di riconoscimento di immagini. Questa innovazione si sta trasferendo dal riconoscimento immagini ad altri settori (il caso più spettacolare è quello del gioco del Go[4]), e quello del monitoraggio eventi per il riconoscimento di eventi di sicurezza sembra essere uno di quelli che ne potranno beneficiare.
Il problema principale nel monitoraggio degli eventi di sicurezza è sempre stato infatti il tema dell’analisi e correlazione, attività onerosa e svolta in generale da analisti specializzati. Un maggiore supporto da parte di tecnologie evolute potrebbe portare ad una maggiore diffusione ed efficacia degli strumenti. Naturalmente, come sempre quando una tecnologia diventa di moda, servirà separare il grano dal loglio, selezionando prodotti realmente efficaci.
Un ulteriore effetto collaterale del GDPR sarà la maggiore disponibilità di informazioni sugli incidenti di sicurezza. Il rischio di sanzioni in caso di mancata notifica dei data breach porterà infatti presumibilmente alla luce un gran numero di incidenti che altrimenti sarebbero stati tenuti nascosti, anche a chi ne avrebbe avuto un danno. Al momento invece, le informazioni sulla frequenza e tipologia degli incidenti ancora poche, e questo costituisce un grosso limite per quanto riguarda l’utilizzo efficace di metodologie di gestione della sicurezza basate sulla valutazione del rischio. A parte questo, una maggiore disponibilità di informazioni su incidenti accaduti in Italia sarà rilevante perché, nonostante tutto, per molti cittadini ed imprenditori l’unica forma di sensibilizzazione efficace, a parte subire loro stessi un attacco, è l’evidenza di incidenti importanti occorsi ad altre aziende o persone a loro vicine.
[1] http://www.ilsole24ore.com/art/finanza-e-mercati/2017-07-26/unicredit-maxi-attacco-informatico-violati-dati-400mila-clienti-090535.shtml
[2] http://www.independent.co.uk/news/business/news/equifax-data-breach-hack-social-security-numbers-sensitive-information-us-a7935421.html
[3] https://www.corrierecomunicazioni.it/cyber-security/uber-shock-rubati-i-dati-di-57-milioni-di-utenti/
[4] http://www.repubblica.it/tecnologia/2016/03/09/news/computer_google_batte_campione_go-135081189/