È stato il “semestre nero” della cybersicurezza in Italia. Nei primi sei mesi del 2020, sono stati registrati 850 attacchi informatici. Un’emergenza aggravata e alimentata dalla pandemia: un attacco su sette ha sfruttato in qualche modo il Covid-19. L’ultimo rapporto di Clusit, l’associazione italiana per la sicurezza informatica, conferma una tendenza in atto da tempo. “Il numero e la dimensione degli attacchi informatici sono aumentati e si è ampliata la superficie di azione degli aggressori”, commenta Andrea Monteleone, direttore commerciale per l’Italia di Axis Communications, azienda impegnata da anni nel campo della cybersicurezza.
“I servizi erogati da alcune infrastrutture critiche sono diventati imprescindibili: non possiamo pensare a un mondo senza connettività. Al contempo”, prosegue Monteleone, “il numero di dispositivi connessi è aumentato e, di conseguenza, sono sempre più numerosi i punti d’ingresso che il pirata informatico può sfruttare”. Rientrano in questa categoria i sistemi produttori di dati come i sensori di videosorveglianza, settore in cui Axis è leader da decenni.
Fondata nel 1984, parte del gruppo Canon dal 2015, Axis Communications è leader mondiale nella produzione di videocamere di rete. Conta più di 3.600 dipendenti, è attiva in 50 Paesi e nel 2019 ha realizzato vendite per 1,3 miliardi di euro con le sue soluzioni per videosorveglianza, controllo accessi e audio. È da sempre all’avanguardia nell’adozione di soluzioni rivoluzionarie per il settore. Nel 1996 creò la prima telecamera di rete al mondo, nel 1998 il primo codificatore video, nel 2009 la prima telecamera di rete a risoluzione Hdtv, nel 2010 la prima telecamera di rete termica. In parallelo al numero e alla gravità delle minacce informatiche è cresciuta anche la sensibilità di Axis su questo fronte. L’impegno si traduce, in primo luogo, nello sviluppo di sensori, hardware, software e firmware che tengono conto delle normative approvate negli ultimi anni dall’Unione europea. In particolare la direttiva Nis (Network and information security), che ha definito le misure necessarie a ottenere un alto grado di sicurezza delle reti e dei sistemi informativi.
La Nis obbliga aziende ed enti pubblici e privati ad adottare misure tecnologiche e organizzative per proteggere le infrastrutture e per gestire e prevenire incidenti informatici. Si rivolge a due categorie di enti: gli operatori di servizi essenziali (Ose, i soggetti pubblici e privati che forniscono servizi fondamentali per la società e l’economia, in settori critici quali sanità, energie, trasporti e banche) e i fornitori di servizi digitali (Fsd, coloro che offrono servizi come e-commerce, cloud computing e motori di ricerca). Obiettivi che sono tra i più colpiti dagli hacker. Secondo il rapporto Clusit, dopo gli attacchi ai cosiddetti bersagli multipli – pensati per danneggiare rapidamente e in parallelo il maggior numero possibile di persone e organizzazioni -, i più frequenti sono infatti quelli al settore pubblico, alla sanità e ai servizi online. Nel 2020 si è registrato anche un aumento di attacchi diretti al comparto militare e della difesa
La direttiva Nis è legata all’altro regolamento Ue introdotto in anni recenti: il Gdpr, che disciplina la protezione, il trattamento e la circolazione dei dati personali all’interno dell’Ue. I sistemi a cui fa riferimento la Nis sono chiamati a proteggere i dati tutelati dal Gdpr.
La vera rivoluzione portata dalla Nis è di tipo culturale. Allarga infatti la consapevolezza dei rischi e delle conseguenze di infrastrutture non sicure. Introduce inoltre il principio per cui tutti i soggetti attivi nella filiera debbano essere coinvolti. “La Nis”, spiega Andrea Monteleone di Axis, “promuove la cultura della sicurezza delle infrastrutture critiche e la resilienza del sistema paese, anche attraverso un patto pubblico-privato. La filiera della sicurezza deve assumere un ruolo centrale e tutti noi abbiamo una parte di responsabilità”. La Nis propone una visione della cybersicurezza caratterizzata da un approccio by design. La sicurezza dei dati deve essere cioè un elemento da considerare sin dalla progettazione di ogni processo aziendale. La gestione non è dunque limitata ai rami IT e risk management, ma è sovrafunzionale.
“Il ruolo di Axis, in quanto vendor, è quello di proporre al mercato soluzioni e prodotti che siano sicuri by design, in grado di dialogare con protocolli e modalità standard con tutti i dispositivi”, aggiunge Monteleone. “Dobbiamo poi dialogare con chi progetta le soluzioni stesse, con chi le installa, con chi le gestisce, con chi le utilizza. Le direttive Nis esortano a essere proattivi, anche in fase di manutenzione. Monitoraggio costante e aggiornamento sono i primi tasselli per garantire il funzionamento regolare di sistemi sempre più complessi e integrati”.
L’Italia ha recepito le normative europee e ha istituto presso la presidenza del Consiglio la Csirt (Computer security incidente response team), una task force con il compito di garantire la costruzione dell’ecosistema previsto dall’Ue. “Il tessuto economico del nostro Paese è formato in larga parte da piccole e medie imprese”, rileva Andrea Monteleone. “Nelle Pmi, i server aziendali sono in genere gestiti da terze parti. La consapevolezza del rischio è poca e la gestione della sicurezza è purtroppo percepita in molti casi come un costo. Axis, storicamente, ha uno stretto legame con le grandi aziende, dove invece c’è un alto grado di consapevolezza di queste problematiche. In generale, si fatica ancora a mettere nella giusta relazione la sicurezza – fisica e logica – e la fiducia dei clienti. Quando manca la prima, invece, la seconda può essere gravemente compromessa”. Axis mette perciò a disposizione dei clienti diversi strumenti: da un test rapido sulla cybersecurity a una guida per integratori e reparti IT con suggerimenti per rafforzare il sistema; dal sito web sulla sicurezza dei dispositivi a corsi online sulla materia.
Per altri contenuti iscriviti alla newsletter di Forbes.it CLICCANDO QUI .
Forbes.it è anche su WhatsApp: puoi iscriverti al canale CLICCANDO QUI .