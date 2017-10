La sicurezza -anzi, la cybersicurezza- è il tema attorno al quale si è sviluppata l’edizione 2017 del Samsung Business Summit tenutosi nella mattinata di giovedì 26 ottobre a Milano. Un incontro, per usare le parole di Carlo Barlocco, presidente Samsung Electronics Italia, che vuole fornire alle aziende spunti di riflessione sui cambiamenti e sulle loro conseguenze dettate dal digitale e dalla digital transformation.

La cybersecurity è la seconda emergenza in Europa, ponendosi alle spalle del cambiamento climatico e prima dell’immigrazione, come emerge dall’ultimo meeting sullo stato dell’Unione Europea dello scorso 13 settembre. Tutte le grandi aziende e le infrastrutture critiche nazionali subiscono ogni giorno attacchi informatici e nel solo 2016 il 47% delle aziende piccole e medie in Italia ha subito almeno un attacco (fonte: Banca d’Italia). Questo dato subirà di sicuro un forte incremento nel 2017, basta pensare al flagello delle campagne ransomware avvenute quest'anno che hanno compromesso in modo significativo la sicurezza di intere aziende.



Carlo Barlocco, presidente Samsung Electronics Italia

E se per una grande azienda ogni attacco andato a buon fine ha un costo medio di 3,5 milioni di euro (destinati a crescere), per le piccole e medie imprese un attacco informatico può rappresentare un vero e proprio colpo di grazia. E' a fronte di questo scenario che l'Europa ha sollecitato l'ENISA (Agenzia Europea per la sicurezza delle reti e dell'informazione) a strutturare un piano di intervento comune, ad adottare un’etichetta che certifichi la sicurezza dei dispositivi connessi, e persino a creare un fondo di solidarietà a sostegno dei Paesi che dovessero trovarsi in difficoltà a causa di un attacco informatico su vasta scala.



Mobilità, Bring Your Own Device, Internet of Things sono nuove prospettive del mondo in cui viviamo, che cambiano scenari (il perimetro aziendale si è dissolto) e regole del gioco: tutto è abilitato dalla tecnologia, ed è l’attenzione alla sicurezza della tecnologia, a partire dal concetto di security by design che deve permeare tutti i nuovi dispositivi, a rappresentare uno dei tasselli fondamentali per poter costruire un approccio efficace alla cybersicurezza.

Ma, appunto, è solamente un tassello. E se c’è un elemento positivo che emerge da questo Business Summit è la presa di consapevolezza che la cybersecurity non è un qualcosa per cui esiste una formula precisa da individuare, un prodotto capace di risolvere tout court i problemi, di neutralizzare le minacce, di rispondere alle sfide. E’ piuttosto un grande lavoro collaborativo, dove pubblico, privato e ricerca devono fare rete, dove il traguardo è rappresentato dalla coltivazione di un virtuoso ecosistema composto di prodotti, competenze, conoscenze e best-practice che permettano di arrivare ad una gestione del rischio continuativa ed efficace, in grado di adattarsi sempre più prontamente alle mutevoli condizioni del mondo.

Mondo che non è più diviso tra fisico e digitale: è imperativo iniziare a considerarli come un’unica entità inscindibile. Nel corso di questi anni di evoluzione tecnologica e della società abbiamo via via trasferito il mondo fisico nell’universo digitale, portandovi economie, identità personali e conflitti. Il mondo digitale si sta preparando a restituirci il favore, con l’avvento della robotica pervasiva: ulteriore dimostrazione di come non abbia più senso pensare ad una separazione tra mondo fisico e mondo digitale.

Tuttavia il multistrato "cyber", fatto di dispositivi e reti che li interconnettono, è stato creato dall’uomo ed è probabilmente una delle cose inconsapevolmente più complesse che l’umanità abbia mai creato. E proprio per questo è pieno di vulnerabilità e punti deboli. Affrontare tutto ciò significa diventare capaci di gestire un meccanismo multidimensionale - il virtuoso ecosistema di cui sopra - che può diventare un asso nella manica importante per l’intera società e per il Sistema Paese. La capacità di gestire efficacemente la cybersicurezza diventa un vantaggio competitivo e le risorse dedicate alla cybersicurezza (ancora: a tutti i livelli, dalle tecnologie alle competenze, dalla cultura alla condivisione delle informazioni) non sono più un costo ma sono e devono essere considerate un investimento per il futuro: un concetto condiviso e supportato dal Governatore della Regione Lombardia, Roberto Maroni, e dall'Assessore alla Trasformazione Digitale e Servizi Civici del Comune di Milano, Roberta Cocco, che hanno aperto i lavori del Summit.

Ma a che punto è il Sistema Paese? La domanda emerge in particolare dai risultati di un sondaggio commissionato da Samsung che tra i vari quesiti ha indagato quale sia la percezione che il pubblico ha dei provvedimenti presi dal Governo: il 39,8% li ritiene al momento adeguati, il 33% pensa invece che non sia adeguati, mentre il restante 27,2% non ha una visione ben chiara di come l’amministrazione pubblica in Italia si stia muovendo in tema di cybersecurity.

Il decreto Monti che ha dato vita al Piano Nazionale per la Cybersecurity è stato rivisto dall’attuale governo, aggiornandolo con il decreto Gentiloni a febbraio di quest'anno. Allo stato attuale delle cose si tratta, secondo il parere di Roberto Baldoni, Direttore CIS Sapienza Università di Roma e Direttore Laboratorio Nazionale di Cybersecurity, di un buon piano operativo, ma appunto solamente di un piano. E’ necessario operare, e per operare servono figure formate e competenti, oggi scarsamente disponibili: ecco che la necessità di cybersicurezza si trasforma in una grande opportunità capace di creare nuovi e numerosi posti di lavoro.

Intanto da una collaborazione pubblico-privato (CERT Nazionale, Garante della Privacy, Presidenza del Consiglio dei Ministri e alcune aziende nazionali strategiche come ENEL e ENI) è nato il Framework Nazionale per la cybersecurity, un manuale orientato alle aziende per la corretta gestione del rischio cyber che sarà quest'anno accompagnato dai Controlli Essenziali per la Cybersecurity, una versione più semplificata pensata appositamente per le piccole, piccolissime e medie imprese.

L'attenzione è ovviamente rivolta ad aziende e imprese, ma non v'è da dimenticare - e positiva è la presa di coscienza in tal senso che è emersa dal Business Summit organizzato da Samsung - che lo sviluppo di un efficace meccanismo multidimensionale di cybersicurezza prende il via anche e soprattutto da un cambio di paradigma culturale da parte del cittadino, che deve imparare a diventare più consapevole dei rischi e delle minacce che può correre anche dal punto di vista squisitamente privato.

La cybersecurity per il cittadino si consuma nella difesa del dato personale che, quando sottratto, compromesso e mal utilizzato può avere conseguenze estremamente gravi (furti di identità, truffe, ricatti con esiti nefasti e via discorrendo). Consapevolezza significa prefigurare rischi e minacce che si possono correre. Esattamente come avvicinandoci ad un incrocio guardiamo a sinistra e a destra prima di attraversare poiché abbiamo una chiara aspettativa dei rischi cui potremmo incorrere se non prestassimo attenzione al sopraggiungere delle auto: è la consapevolezza del rischio che ci porta a mettere in atto misure proattive per gestire e ridurre il rischio stesso. In ambito cyber dovrebbe diventare lo stesso: sapere che una email può essere un messaggio di phishing, che un allegato può contenere un malware, che un link su Facebook ci può condurre ad una pagina compromessa. Un cittadino consapevole è un cittadino (e, per estensione, un attore del mondo del lavoro) meno vulnerabile.

E a margine dell'evento Samsung prepara 10 consigli per rafforzare la sicurezza dei nostri dispositivi mobili personali. Eccoli:

1) Mantenere il dispositivo mobile sempre aggiornato - Bisogna ricordarsi sempre di aggiornare il sistema operativo e gli altri software che si utilizzano: gli aggiornamenti spesso includono patch contro vulnerabilità e minacce alla sicurezza che potrebbero essere utilizzate e sfruttate contro l’utente. 2) Attivare l'antivirus - Prevenire è meglio che curare… Utilizzare una soluzione di sicurezza (antivirus) che protegga i dati ai quali si tiene di più. 3) Impostare una tipologia di blocco dello schermo - Questo semplice gesto rappresenta la prima linea di difesa contro l'accesso ai nostri dati personali in caso di tentativo da parte di terzi di accedere al dispositivo, ad esempio in caso di smarrimento o furto. L’impostazione base prevede l’impostazione di una password alfanumerica o di un PIN. 4) Attivare il PIN di blocco della SIM - Molto spesso ci si preoccupa di proteggere il proprio smartphone ma ci si dimentica di impostare un blocco a livello di scheda SIM. E’ consigliabile attivare anche il blocco SIM, per garantire anche la massima protezione della scheda stessa e dei dati che contiene. 5) Installare la applicazioni solo dagli Store ufficiali - E’ consigliabile installare software proveniente solo da fonti attendibili. Gli store ufficiali quali Google Play Store, Apple App Store e Samsung Galaxy Apps sono la scelta più sicura ed offrono maggior protezione rispetto ad applicazioni provenienti da sorgenti non ufficiali. Inoltre, è buona norma impostare il proprio dispositivo affinché, nel menu Impostazioni, l'installazione da sorgenti sconosciute sia disabilitata. E’ buona cosa verificare anche che l’applicazione che si sta installando sia quella che effettivamente l’utente desidera usare, evitando di installare quelle che hanno semplicemente nomi o logo simili, spesso creati appositamente per trarre in inganno. 6) Verificare le autorizzazioni concesse alle applicazioni - Quando si installa o si utilizza una nuova applicazione, bisogna prestare attenzione alle informazioni alle quali l’applicazione vuole accedere. E’ bene prestare attenzione ai messaggi in cui viene richiesto di autorizzare l’app ad accedere a contenuti del dispositivo; leggerli con cura è un buon modo per verificare che l’applicazione che si sta installando non acceda in maniera inopportuna, e per altri fini, ai propri dati personali. 7) Prestare attenzione quando si forniscono informazioni personali - Il phishing è un tipo di truffa attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, codici di accesso, dati della carta di credito o del conto corrente, fingendosi un ente affidabile in una comunicazione digitale. Normalmente il phishing ha l’aspetto di una email che invita l’utente a cliccare un link e ad inserire i propri dati. E’ fortemente consigliato cancellare tutte le email sospette che si ricevono, specialmente se includono link o allegati. Se si pensa che il messaggio provenga veramente dal mittente indicato, è utile verificare direttamente con il mittente, o con l’azienda per la quale lavora, nel caso in cui l’email provenga da un mittente aziendale 8) Abilitare la cifratura dei dati - I terminali più recenti abilitano la crittografia dei dati di default; inoltre consentono di proteggere ulteriormente i propri dati in caso di furto o smarrimento attraverso una password che viene richiesta solo all’accensione. 9) Abilitare il controllo remoto del proprio dispositivo in caso di smarrimento o furto - Avere la possibilità di geolocalizzare oppure bloccare il proprio telefono a distanza è importante per proteggere i dati personali in caso di smarrimento o furto. 10) Ripristinare il dispositivo prima di rivenderlo - Se si ha l’intenzione di acquistare un nuovo dispositivo mobile e rivendere l'attuale come usato, bisogna assicurarsi di ripristinarlo alle condizioni di fabbrica. Il consiglio è quello di verificare che la cifratura sia attiva prima di eseguire la cancellazione dei dati, cosi che non rimangano informazioni e contenuti personali al suo interno.

Certo, ognuna di queste azioni richiede un poco di tempo in più per essere attivata e usata correttamente, ma è lo stesso tempo in più che ci prendiamo per la nostra sicurezza in altri contesti del vivere quotidiano: per rifarci all'esempio posto più sopra, attraverseremmo la strada senza verificare il sopraggiungere di automobili, solo per fare prima? Non chiuderemmo a chiave la porta di casa, solo per risparmiare qualche secondo? Il punto chiave è proprio questo: iniziare a considerare la cybersicurezza come parte integrante delle precauzioni che già normalmente prendiamo ogni giorno per la nostra sicurezza personale.