Negli ultimi mesi, l’Italia ha visto un aumento preoccupante delle minacce legate alla cybersecurity, con un focus particolare sui dossieraggi. Per capire al meglio questi eventi, abbiamo avuto il piacere di intervistare l’Ing. Marco Bavazzano, amministratore delegato di Axitea Spa e vicepresidente di ASSIV.
Ing. Bavazzano, lei è amministratore delegato di Axitea, istituto di vigilanza privato specializzato in cybersecurity e cybercrime. Cosa ne pensa di quanto sta emergendo in questi giorni a proposito di cybersicurezza nel nostro paese?
Occorre innanzitutto fare una precisazione. Per affrontare seriamente il tema dello stato attuale della cybersicurezza, è innanzi tutto fondamentale comprendere meglio l’ampiezza delle minacce a cui si deve far fronte nel cosiddetto mondo digitale e per questo motivo è importante utilizzare il linguaggio corretto.
Dall’esplosione del caso “dossieraggio” a Milano, con ramificazioni che toccano anche Roma, si è parlato impropriamente di “hackeraggio”. In questa vicenda, invece, non si tratta di hackeraggio in senso stretto, e cioè non si è verificata alcuna intrusione da parte di hacker esterni: siamo invece di fronte a un classico esempio di operazione interna compiuta da personale infedele, cosiddetti “insider”, che peraltro non hanno avuto bisogno di effettuare alcuna penetrazione sui sistemi interessati perché, in virtù delle attività a loro assegnate, disponevano delle credenziali necessarie per essere autorizzati ad accedere agli stessi. È importante fare chiarezza su questo scenario per sottolineare come le minacce per la compromissione dei nostri dati e sistemi informativi possono provenire oltre che dal dominio digitale anche da quello fisico, e la situazione diventa ancora più critica nel contesto di una gestione inadeguata dalla catena dei fornitori.
Ciò premesso ed al di là di questi avvenimenti recenti, non posso che esprimere una sincera preoccupazione sullo stato della cybersicurezza nel nostro Paese avendo la possibilità di misurare direttamente ogni giorno, dal privilegiato punto di osservazione della mia azienda, quale sia la situazione della “cyber readiness” delle nostre PMI e grandi imprese, ossia la loro capacità di affrontare adeguatamente le minacce informatiche.
Infatti siamo molto in ritardo nella diffusione alle imprese, ed ai cittadini che in quelle imprese conducono la propria attività lavorativa, della necessaria consapevolezza sui rischi e minacce che dobbiamo affrontare nel mondo digitale. Per non parlare delle azioni da porre in atto in ottica di assicurare una adeguata prevenzione. È evidente infatti che in considerazione della costante e crescente molteplicità di vulnerabilità e minacce a cui sono esposti i nostri sistemi, sarebbe necessario un approccio olistico alla protezione di dati.
Da questo punto di vista la strada da percorrere è ancora molto lunga, anche se le linee guida e requisiti introdotti con le recenti normative (es. NIS2) vanno nella giusta direzione, ed inoltre è palese che il sistema complessivo di governo della cybersicurezza è del tutto carente dal punto di vista del monitoraggio e controllo.
Si parla di oltre 52mila accessi illeciti negli archivi del Viminale con decine di migliaia di personaggi noti e meno noti oggetto di compravendita di dati. Eppure la politica ha deciso di tenere un profilo basso. La stessa opposizione di governo ha rilasciato dichiarazioni dovute, senza chiedere con forza le dimissioni di nessun alto vertice dello Stato, il che lascia intendere che la politica di entrambi gli schieramenti si sente responsabile per quanto accaduto. Se così fosse verrebbe allora meno la narrazione dei dipendenti infedeli di società terze. Qual è la verità secondo lei?
La questione degli accessi illeciti agli archivi del Viminale è complessa e delicata. La politica ha mantenuto un profilo basso, forse per evitare ulteriori scandali o per non compromettere la fiducia nelle istituzioni. Tuttavia, se da un lato questo atteggiamento potrebbe essere interpretato come una forma di responsabilità condivisa tra i vari schieramenti politici, io mi auguro che sia invece il segnale che si è raggiunta la consapevolezza trasversale che è urgente e di fondamentale importanza strategica affrontare con maggiore impegno il tema della cybersicurezza.
Non voglio nemmeno pensare alla veridicità di quanto affermato da alcuni e cioè a responsabilità più ampie e sistemiche all’interno delle istituzioni stesse.
Molti si sarebbero aspettati le dimissioni del prefetto Bruno Frattasi dal ruolo di direttore di ACN. Alcuni analisti pensano invece che è meglio attendere l’esito delle elezioni americane prima di mosse che possono destabilizzare ulteriormente la nostra sicurezza cyber. Pensa sia corretta questa analisi?
Non ho idea se questa analisi sia corretta o meno. Comunque io credo che soprattutto in questo momento dobbiamo sostenere lo sviluppo della nostra Agenzia dí Cybersicurezza Nazionale per permetterle di svolgere in modo sempre più efficace il ruolo strategico che le è stato assegnato. A tal proposito, ricollegandomi ad una mia risposta precedente, sono convinto che una linea strategica di sviluppo da perseguire immediatamente sarebbe quella che riguarda il rafforzamento della capacità di monitoraggio e controllo dell’agenzia sullo stato di maturità della cybersicurezza di enti e aziende.
Il correttivo al codice dei contratti pubblici approvato in esame preliminare dal Consiglio dei Ministri nei giorni scorsi può essere uno strumento per innalzare i livelli di controllo sui fornitori?
Certo, migliorare la trasparenza, l’equità e la gestione dei contratti può apportare significativi benefici anche ai controlli di qualità sui fornitori, evitando che la scelta ricada troppo spesso su soggetti il cui principale merito è l’abilità di sfruttare con grande maestria le leve della corruzione, come emerso nuovamente in diversi eventi recenti.
