Cyber sicurezza: l’Italia spende troppo poco

Forse in molti non lo sanno oppure non immaginano che un paese come l’Italia sia vittima di cybercrime, ma secondo il Rapporto Italia 2017, stilato dall’Istituto di studi politici, economici e sociali (EURISPES), il cybercrime costa alle aziende italiane 9 miliardi di euro l’anno. I settori più colpiti sono il mondo dell’informazione e quello del gioco: le piattaforme di blogging e gaming nel 2015 hanno visto gli attacchi aumentare del 79% rispetto all’anno precedente. Seguono poi gli attacchi alle automobili dotate di sistemi di connessione, + 67% e il settore ricerca e innovazione che fa registrare un aumento del 50%.

In cima alla classifica dei crimini più commessi il furto dei dati personali (20%), la reputazione aziendale (17%), furti di denaro (11,5%), furto d’identità (7,5%) e di dati dei dipendenti (6,5%). Attacchi che vengono spesso scoperti in ritardo, causando non pochi problemi a privati e aziende. Nonostante questo però solo il 19% delle aziende ha attivato dei piani sicurezza. Nel 2015 sono stati spesi circa 300 milioni di euro in tecnologia e software per fronteggiare questi attacchi. Una spesa molto esigua che secondo i calcoli dovrebbe aumentare solo del 2% da qui al 2018.

Molte le aziende che preferiscono non investire in sicurezza rischiando un danno economico di gran lunga più caro di quello di un eventuale spesa. Nel 2015 le aziende italiane hanno subito, a causa di attacchi informatici, un danno medio di trentacinque mila euro. Le aziende italiane, secondo un rapporto di Accenture, spendono in media, in cyber sicurezza, solo l’8,4% del loro budget. Il 60% delle aziende nostrane riserva questa spesa esclusivamente a progetti che secondo i piani aziendali hanno priorità, un comportamento in controtendenza con il resto del mondo che spende il proprio budget, nel 62% dei casi, per il comparto sicurezza in generale e il 44% al supporto di nuove iniziative di business.

Cloud, il 2017 sarà l’anno della grande migrazione

Il 2017 potrebbe essere l’anno che farà segnare il passaggio definitivo al cloud computing da parte delle aziende. In altre parole, l’anno appena iniziato potrebbe realizzare quella grande migrazione verso la nuvola da parte di aziende di ogni dimensione e dei più diversi settori, facendo registrare un’impennata nel ricorso all’utilizzo dei servizi cloud. Si tratta di una previsione supportata dai dati contenuti all’interno dell’ultimo rapporto stilato da un grande player globale come Cisco. Secondo il report, infatti, l’83% del traffico dati nei prossimi tre anni sarà basato sul cloud computing.

I vantaggi della nuvola

I benefici sono del tutto evidenti: le aziende che ricorrono alla “nuvola” hanno la possibilità di essere sempre collegate a una rete globale a costi contenuti e con l’ulteriore vantaggio di ottenere l’aggiornamento automatico dei dati archiviati. Tuttavia, i vantaggi sono molti di più: la sicurezza dell’infrastruttura e dei dati, il supporto multi – device, l’affidabilità, la flessibilità. Per questo motivo, sempre più aziende puntano a inglobare il cloud computing nel loro modello di business. Una tendenza che si consoliderà ulteriormente nel 2017.

La risposta del settore web

Anche il mondo del web marketing si sta adeguando a questo trend, esplorando le possibilità offerte dalle molte potenzialità del cloud. Le aziende e i professionisti che operano prevalentemente sul web toccano con mano gli effetti che il cloud computing sta generando nel rapporto con utenti e consumatori, in particolare per quanto concerne la distribuzione e l’archiviazione dei dati. Nel 2011, un utente medio utilizzava 464 gigabyte di spazio di archiviazione. Un dato che invece oggi fa salire la soglia fino a 3,3 terabyte. L’effetto causato da questo aumento nei volumi di dati utilizzati sarà quello di rivolgersi sempre più al cloud, non potendo contare su dispositivi con una memoria interna così ampia. Secondo i dati, dai 40 miliardi di spesa per la “nuvola” registrati nel 2011, si passerà a più di 240 miliardi nel 2010.

Localizzazione dati, in arrivo le linee guida Ue

Arriverà a gennaio 2017 la linea Ue sui liberi flussi di dati, con una comunicazione dei principi generali, mentre è in calendario per giugno la proposta legislativa vera e propria, per mettere ordine nella selva crescente di legislazioni nazionali dei 28 una diversa dall’altra. Lo ha annunciato il vicepresidente della Commissione Ue al mercato unico digitale Andrus Ansip in un incontro con alcuni media tra cui l’ANSA.

Tutelare le pmi digitali

“È più complicato di quanto pensassi intervenire nel settore”, ha affermato Ansip, “già oggi possiamo vedere come diversi stati in Europa e nel mondo stanno introducendo la loro legislazione”. Nella sola Ue ci sono già una cinquantina di norme differenti in 21 Paesi sulla localizzazione dei dati. La situazione di “mancanza di certezza legale per le imprese e la gente”, quindi, “non è così buona”, ma in arrivo non ci sarà qualcosa di troppo rigido, anche per quanto riguarda il cloud, altrimenti il rischio sarebbe di “uccidere le imprese” nascenti che se ne stanno occupando. Allo stesso tempo, ha ammesso Ansip, “proporre qualcosa di realmente ambizioso che non sarà accettato né dal Parlamento europeo né dagli stati membri non ha senso”.

Cybersecurity, la Legge di Stabilità stanzia 150 milioni

La Legge di Stabilità prevede uno stanziamento di 150 milioni complessivi per la cybersecurity. Di questi, 135 saranno destinati “in parte ad attività di tipo convenzionale per il potenziamento degli interventi rivolti alla prevenzione e al contrasto delle minacce alla sicurezza informatica nazionale. La parte prioritaria, invece, verrà destinata ad attività di carattere informatico per la protezione dello spazio cibernetico del Paese, di diretta competenza appunto degli Organismi di informazione e sicurezza”.

Dis: “Attività coperte da riservatezza”

A dirlo è stato il sottosegretario del ministero dell’Interno Gianpiero Bocci. Il Viminale fa sapere che il Dipartimento informazioni per la sicurezza (Dis) ha chiarito che “le informazioni relative ad entrambi i tipi di interventi sono coperte da riservatezza”. Per lo stanziamento dei 135 milioni il 20 ottobre scorso con decreto del ministro dell’Economia e finanze si è provveduto ad effettuare le necessarie variazioni di bilancio.

Si rafforza il servizio di polizia postale

“Già la Stabilità 2016 – ha spiegato Bocci – ha previsto che un decimo dei 150 milioni stanziati fosse destinato al rafforzamento del servizio della polizia postale.” In proposito, il sottosegretario ha spiegato che “il 2 febbraio scorso è stato istituito presso il Dipartimento della pubblica sicurezza un apposito gruppo di lavoro con il compito di effettuare una ricognizione preliminare dello stato delle infrastrutture e di redigere uno studio di fattibilità per la sua revisione alla luce delle somme stanziate con la legge di Stabilità”.

Sicurezza, lavoro in cloud pone nuove sfide contro i cyber attacchi

Le grandi aziende, ma anche le pmi innovative, hanno la necessità di trasformare i propri spazi di lavoro, permettendo ai dipendenti di lavorare entro ambiti sempre più mobili. Le aziende che non sono in grado di offrire un ambiente lavorativo flessibile, autonomo e creativo corrono il rischio di perdere i talenti di prossima generazione. Tuttavia, la maggior parte degli ambienti lavorativi non è pronto per reagire alle minacce informatiche future.

Gli spazi di lavoro del futuro

A renderlo noto sono i vertici di Dimension Data, attraverso il white paper dal titolo “Security Workspaces for Tomorrow”, nel quale si evidenzia la crescente richiesta da parte dei dipendenti di molti paesi del mondo di uno spazio lavorativo più mobile e flessibile per poter lavorare in qualsiasi luogo e da qualsiasi dispositivo, aumentando la produttività e migliorando l’equilibrio tra lavoro e vita privata. “Tuttavia,” avverte Matthew Gyde, Group Executive – Security, di Dimension Data “proprio perché gli utenti mobile accedono a Internet in movimento, sono più vulnerabili agli attacchi in quanto potrebbero non avere lo stesso livello di sicurezza offerto all’interno del perimetro aziendale.” Il documento, diffuso da Business Wire, è consultabile online.

Arrivano i millennials

Oggi, l’utente medio utilizza quattro dispositivi al giorno. Un dato destinato ad aumentare fino a 5 dispositivi connessi nei prossimi quattro anni. Entro il 2020, fino a 1,55 miliardi di persone saranno responsabili del lavoro svolto non più solo presso la propria scrivania in ufficio. Inoltre, è previsto che entro il 2015 per una forza lavoro mondiale di 3,85 miliardi di persone, il 50% dei dipendenti sarà costituito da millennials esperti tecnologici per i quali l’equilibrio lavoro-vita è il principale elemento nella valutazione delle opportunità lavorative.

Nuove esigenze in tema di sicurezza e protezione dei dati

Sempre più aziende aspirano a creare efficaci spazi di lavoro del futuro in chiave di mobilità ed economia digitale, e sfruttano i benefici di una forza lavoro mobile basata su piattaforme cloud, c’è più che mai bisogno di implementare adeguate misure per proteggere i dati, le infrastrutture, le applicazioni e gli utenti, ovunque essi si trovino. I dispositivi, l’ambiente, le applicazioni, le tecnologie emergenti, tutti connessi a Internet, potenzialmente costituiscono nuove opportunità di attacchi ai moderni ambienti lavorativi a opera dei cyber criminali.

Cloud, un codice di autoregolamentazione dei principali fornitori europei

Un codice di condotta finalizzato a conservare i dati cloud nell’Unione Europea, senza doverli per forza trasferire in altri continenti, dove non c’è lo stesso livello di tutela della privacy. È il progetto promosso da circa venti fornitori di servizi di cloud computing europei che, in questo modo, si adeguano in anticipo alla normativa in materia definita dall’Ue. Il Cispe (Cloud Infrastructure Services Providers in Europe), di cui fa parte l’azienda italiana Aruba, è il soggetto promotore del documento che garantisce i clienti sulla possibilità di stoccare i dati all’interno del territorio europeo, senza dover correre il pericolo che i dati possano essere utilizzati per altri fini, come ad esempio il marketing.

Divieto di vendita dei dati a terzi

Il codice prevede il divieto di data mining e di profiling, nonché di rivendita dei dati a soggetti terzi. Il beneficio dell’iniziativa è evidente: le stesse regole varranno per tutti i paesi dell’Unione Europea, senza rischiose difformità in materia. Armonizzando le regole, varranno per tutti i fornitori gli stessi principi, tutelando aziende e consumatori.

Nel 2018 entrerà in vigore il nuovo Regolamento Ue

Il Codice stilato dal Cispe anticipa l’entrata in vigore del rigoroso Regolamento Generale europeo per la protezione dei dati, prevista per maggio 2018. Il documento è basato su standard di sicurezza riconosciuti a livello internazionali destinati a migliorare la sicurezza del trattamento dei dati per i clienti che fanno ricorso ai servizi di cloud computing. Il Codice del Cispe è stato elaborato in modo da risultare in linea con il Regolamento Ue che entrerà in vigore nel 2018.

Cybersecurity, mancano esperti per difesa da attacchi digitali

Nel mondo manca personale qualificato ed esperto in cybersecurity. La sicurezza di dati e informazioni da mettere al riparo da attacchi di hacker sta diventando sempre più importante nelle economie di istituzioni e imprese. A rivelarlo è un report commissionato da Intel Security e CSIS, il Center for Strategic and International Studies e condotto da Vanson Bourne. L’indagine ha coinvolto complessivamente 775 responsabili delle decisioni IT operanti in organizzazioni con almeno 500 dipendenti, nei settori pubblico e privato. Anche grazie ai quattro i parametri presi in considerazione, (capacità di spesa in cybersecurity, istruzione e formazione, dinamiche aziendali e risposte fornite dal pubblico), ad emergere è l’incremento della spesa in strumenti e servizi per garantire la sicurezza informatica.

A caccia di expertise contro gli hacker

Tuttavia, a fronte di ciò, l’82% degli intervistati ammette una carenza di competenze in sicurezza informatica cui va ascritta, secondo un ulteriore 71%, la responsabilità di danni concreti e misurabili alle imprese, come perdita di dati riservati e proprietà intellettuale, che per la mancanza di talenti diventano bersagli più appetibili per gli hacker. Cloud, mobile computing, Internet of Things, così come attacchi mirati avanzati e cyber-terrorismo impongono la necessità di personale formato con solide competenze in sicurezza informatica a fronte della quale, però, gli intervistati nello studio di Intel Security e CSIS prevedono, in media, che tra oggi e il 2020 il 15% delle posizioni di sicurezza informatica nelle loro aziende rimarrà scoperto.

Via a nuovi modelli formativi nel settore IT

Emerge quindi la necessità di far fronte a questa crisi promuovendo nuovi modelli di apprendimento, accelerando la disponibilità di opportunità di formazione e fornendo soluzioni sempre più automatizzate affinché i talenti possano essere impiegati al meglio. Oltre allo stipendio, inoltre, altri incentivi sono importanti sia nel reclutamento sia quando si tratta di trattenere i talenti migliori, tra cui la formazione, le opportunità di crescita e la reputazione del dipartimento IT del datore di lavoro. Non a caso, quasi la metà degli intervistati cita la mancanza di formazione, o di programmi di qualificazione professionale, tra le ragioni più diffuse per la fuoriuscita dei talenti. 

Ue, in arrivo le nuove norme contro il cyberterrorismo

I fornitori di servizi digitali, come i motori di ricerca e i servizi di cloud computing, insieme con le compagnie fornitrici di servizi essenziali (sanità, trasporti, energia, banche etc.), dovranno migliorare le lor difese contro gli attacchi informatici. È quanto stabilito dalle prime norme UE in materia di sicurezza informatica, approvate in via definitiva dal Parlamento europeo. Secondo gli eurodeputati, la definizione di standard comuni di sicurezza informatica e il rafforzamento della cooperazione tra i paesi dell’UE aiuterà le imprese a proteggere se stesse e a prevenire gli attacchi alle infrastrutture dei paesi dell’Unione Europea.

Schwab: “Sicurezza informatica per tutelare i paesi membri”

“Gli incidenti in ambito di sicurezza informatica presentano molto spesso una caratteristica transfrontaliera e, quindi, riguardano più di uno Stato membro dell’Unione Europea. Una protezione informatica frammentata rende tutti noi vulnerabili e rappresenta un grande rischio per la sicurezza dell’Europa intera. Questa direttiva stabilirà un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione e rafforzerà la cooperazione tra gli Stati membri, aiutando a prevenire futuri attacchi informatici a importanti infrastrutture interconnesse in Europa”, ha detto il relatore Andreas Schwab (PPE, DE). La direttiva sulla sicurezza delle reti e dei sistemi informativi nell’UE è “anche uno dei primi quadri legislativi che si applica alle piattaforme. In linea con la strategia del mercato unico digitale, stabilisce i requisiti per le piattaforme online e assicura che possano rispettare tali norme ovunque esse operino nell’UE”, ha aggiunto il relatore. 

Le novità per i fornitori di servizi digitali e cloud computing

Per quanto riguarda in particolare i fornitori di servizi digitali – mercati online, motori di ricerca e servizi di cloud computing – dovranno, oltre ad adottare misure per garantire la sicurezza delle loro infrastrutture, notificare gli incidenti più rilevanti alle autorità nazionali competenti. Le micro e le piccole imprese digitali sono esentate da tali requisiti. Le nuove norme prevedono un “gruppo di cooperazione” per scambiare informazioni fra le autorità nazionali e fornire loro assistenza. Ogni Stato dell’UE dovrà adottare una strategia nazionale sulla sicurezza della rete e dei sistemi informativi. Gli Stati membri dovranno inoltre designare gruppi d’intervento per la sicurezza informatica in caso d’incidenti (CSIRT), che si occupino di trattare incidenti e rischi, discutere sulle problematiche di sicurezza transfrontaliera e identificare risposte coordinate. La direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS) sarà presto pubblicata sulla Gazzetta ufficiale dell’UE ed entrerà in vigore il ventesimo giorno successivo alla sua pubblicazione. Gli Stati membri avranno poi 21 mesi di tempo per recepire la direttiva negli ordinamenti nazionali e sei mesi supplementari per identificare gli operatori dei servizi essenziali.