Investire in innovazione e formazione per stare al passo con le minacce informatiche in continua evoluzione. In sintesi, questa è la ricetta che propone Fortinet per riuscire ad attuare una protezione capace di contrastare i cyber attacchi attuali che “sono sempre più distruttivi, veloci e sofisticati e che tra gli attori annoverano il cyber crime organizzato, che oggi rappresenta la terza economia mondiale per volume di fatturato”, ha affermato
Massimo Palermo, VP e country manager dell’azienda per l’Italia e Malta parlando a una tavola rotonda sulla cyber security organizzata dalla stessa Fortinet. Palermo ha aggiunto che uno dei principali problemi che devono affrontare oggi le aziende è “avere superfici di attacco sempre più vaste e multiformi dove la frammentazione tecnologica, dovuta alla proliferazione di piattaforme e applicazioni, rende difficile il monitoraggio e la protezione”.
Sempre più difficile proteggersi
Così proteggersi diventa più complicato. Anche tecniche avanzate come lo zero day sembrano acquisire maggiore efficacia se si considera che, secondo i dati registrati da Fortinet, nell’ultimo semestre del 2023 c’è stato un incremento del 43% proprio nella velocità dello sfruttamento delle vulnerabilità. D’altra parte, oggi le organizzazioni criminali operano su scala globale e questa cooperazione permette di condividere le informazioni per costruire tecniche, tattiche e procedure sempre più sofisticate ed efficaci. A complicare le cose si aggiunge poi il fatto che le stesse opportunità che l’intelligenza artificiale offre a chi sviluppa tecniche di difesa le offre anche a chi lancia gli attacchi. E dato che l’intelligenza artificiale, anche generativa, è di supporto anche ai cyber criminali, “diventa sempre più importante stare al passo con le minacce. E lo si può fare con investimenti e innovazione. Noi abbiamo portato avanti il concetto di piattaforma per monitorare questa superficie d’attacco sempre più sempre più ampia e vasta, offrendo soluzioni integrate e automatizzate”.
Come se non bastassero le minacce dall’esterno, oggi ci si deve difendere anche da quelle interne. “Le difese aziendali che si innalzano rendono più difficile per gli attaccanti esterni penetrare i sistemi, ma gli attaccanti interni rimangono una preoccupazione significativa – ha sostenuto Palermo –. Le minacce interne sono in aumento, facilitate da phishing e corruzione”.
Il ruolo fondamentale delle formazione
Fortinet ha lavorato tanto anche sul versante formazione. “Attraverso il programma Fortinet Security Academy, che fa parte del nostro impegno a livello mondiale di formare un milione di persone entro il 2026, abbiamo attivato università e ITS mettendo a disposizione il materiale per essere informati e formati sui rischi e sulle minacce cyber. Attraverso le certificazioni offriamo opportunità di skilling o upskilling a chi già lavora o di acquisire competenze a chi si affaccia per la prima volta sul mondo del lavoro. La mancanza di personale qualificato ha raggiunto livelli molto elevati”.
A fronte dell’introduzione delle nuove normative in tema di sicurezza, come NIS2 e DORA, il tema delle formazione è stato al centro anche delle opinioni espresse da Annita Sciacovelli (docente di diritto internazionale presso l’Università di Bari Aldo Moro e AG Agenzia dell’Unione Europea per la cyber security ENSA) e da Roberto Setola (direttore Master Homeland Security dell’Università Campus Bio-Medico di Roma). Sciacovelli ha enfatizzato la necessità di creare la figura del “cyber risk manager, che assume un ruolo fondamentale all’interno del dipartimento di sicurezza IT aziendale, in particolare nel settore delle infrastrutture critiche”. Sono infatti le sue conoscenze e le sue competenze che permettono di affrontare il vero problema attuale, che non è più la prevenzione, ma la gestione del rischio.
Setola ha sottolineato invece come, la NIS2 stabilisce che tutte le imprese che hanno un bilancio superiore a 10 milioni di euro sono automaticamente soggette alla norma. “Questo porterà a un ampliamento delle necessità di competenze, perché si passa sostanzialmente da un centinaio di realtà a cui si rivolge la NIS1 a svariate migliaia di aziende, le quali dovranno attuare un percorso e precisi processi per adeguarsi alle richieste previste”.
Colmare il gap di competenze? Impossibile
Ne consegue che necessariamente aumenterà la domande di personale qualificato in un settore in cui già ora c’è carenza di offerta. Tuttavia, “è impossibile pensare che entro qualche anno in Italia (ma anche in Europa) si potranno avere competenze adeguate – ha sentenziato Gabriele Faggioli, presidente di Clusit –. È bello come obiettivo ed è giusto spingere in tale direzione, ma non accadrà. E, quindi, siccome non accadrà, o comunque non abbastanza velocemente, dovremmo pensare ad azioni che invece sono più efficaci e realizzabili.
Ancora in tema di carenza di personale, Faggioli ha evidenziato un altro problema: “Il nostro sistema imprenditoriale è prevalentemente basato su piccole e medie imprese che non possono permettersi i medesimi investimenti in skill, competenze e infrastrutture di aziende che hanno miliardi di fatturato. Non avranno mai questo tipo di capacità”.
Faggioli ha riconosciuto che leva normativa è molto importante “e se non ci fosse la situazione sarebbe peggiore. Però, la normativa attuale sottintende che ogni azienda sia una sorta di ecosistema autonomo, capace di difendersi, capace di fare resistenza, capace di investimenti ingenti. Ma non è così. Credo invece che serva fare molta economia di scala, si debbano fare molti più investimenti in comune. Le normative non dovrebbero chiedere a un’impresa di fare l’analisi fornitori e della loro compliance, dovrebbero farlo le autorità centrali. Esagerare con le norme porta a un insieme di compliant che ha costi enormi”.