Di Gabriele Faggioli, Responsabile Scientifico Osservatorio Information Security & Privacy
Sebbene il tema della cybersecurity sia stato posto sempre di più all’attenzione del legislatore nazionale ed europeo, emerge ancora la mancanza di un’adeguata consapevolezza nei confronti delle minacce informatiche. È dunque necessario adottare un nuovo approccio, considerando la sicurezza come un investimento e come una condizione necessaria per garantire la competitività del nostro sistema produttivo. Al riguardo, risulta altresì fondamentale promuovere una vera e propria cultura della sicurezza, sensibilizzando gli utenti sull’opportunità di adottare una serie di accorgimenti volti a scongiurare possibili attacchi hacker, come modificare frequentemente le password dei propri account, non aprire link o scaricare file provenienti da fonti sospette o non verificate. Potrebbe inoltre essere utile prevedere programmi di formazione anche nelle scuole per consentire ai giovani di comprendere i rischi che l’utilizzo delle tecnologie comporta.
È impossibile garantire una sicurezza totale rispetto ad eventuali attacchi, tuttavia è fondamentale per le aziende individuare, attraverso un apposito piano d’azione, le modalità mediante le quali rispondere ad una violazione di sicurezza. Tale attività di pianificazione deve altresì individuare il referente o il team al quale affidare la gestione dell’incidente. Fondamentale è, inoltre, formare adeguatamente i dipendenti e i collaboratori, implementando una policy che faccia chiarezza su ciò che possono, devono o non possono fare.
Ciò risulta ancor più evidente alla luce dei recenti attacchi hacker, tra cui quello del 1 dicembre 2016 che ha colpito un milione di account Google, il cui obiettivo era quello di installare un software dannoso sui dispositivi Android al fine di scaricare applicazioni per finalità fraudolente. Ancora, non può non darsi conto dei due attacchi informatici che hanno colpito Yahoo!. Il primo, annunciato lo scorso settembre, ha comportato la violazione dei dati di oltre 500 milioni di utenti, tra cui nomi, mail, telefoni, date di nascita e password. Il secondo, annunciato pochi giorni fa, risulta ancor più grave del precedente, avendo comportato la violazione di oltre un miliardo di profili.
Ad ogni modo, deve precisarsi come negli ultimi anni gli interventi normativi in tema di cybersecurity siano stati molteplici. L’Italia, dal canto suo, con il D.P.C.M. del 24 gennaio 2013 ha introdotto “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, ponendo rimedio alla mancanza di una precisa strategia nazionale in questo settore. Successivamente, con la legge di stabilità 2016 è stato istituito un fondo di 150 milioni di euro volto al rafforzamento degli interventi e delle dotazioni strumentali in materia di sicurezza informatica, un decimo dei quali destinati ad attività di formazione del personale del servizio di polizia postale e delle comunicazioni, oltre che ad interventi di aggiornamento sui macchinari e le postazioni informatiche.
In Europa, con l’approvazione della Direttiva NIS è stato per la prima volta fissato un quadro comune per la sicurezza informatica delle infrastrutture critiche degli Stati dell’Unione. La finalità primaria della Direttiva in questione è quella di ovviare al forte grado di frammentazione che il tema della cybersecurity presenta tra i vari Stati membri dell’Unione Europea, oltre che di rafforzare la cooperazione in materia di sicurezza informatica tra i Paesi membri dell’Unione Europea.
Anche il nuovo Regolamento UE n. 679/2016, che diverrà pienamente applicabile a decorrere dal 25 maggio 2018, determinerà l’adozione di un nuovo approccio rispetto al tema della sicurezza informatica. Esso, infatti, pone in primo piano il tema dell’analisi dei rischi, imponendo di adottare strumenti a tutela della privacy fin dalla fase della progettazione delle attività di trattamento.