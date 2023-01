Le misure di sicurezza informatica messe in atto dalle aziende sono influenzate da nuove leggi e regolamenti, oltre che da crisi geopolitiche ed economiche. La formazione continua rimane uno dei fattori chiave per avere successo in questo settore. TÜV SÜD identifica le tendenze della sicurezza informatica per il 2023.

L’attenzione che si pone verso la sicurezza informatica acquisisce anno dopo anno sempre più importanza. Questo avviene non a livello regionale ma bensì globale, in quanto i pericoli derivanti dagli innumerevoli attacchi perpetrati da gruppi hacker, che a volte sono anche sponsorizzati dagli Stati stessi, sono sempre più pericolosi e distruttivi e possono colpire organizzazioni di ogni tipologia, dimensione e settore presenti in località differenti.

In seguito a questa accresciuta importanza della cyber security tutti i Paesi mondiali si attivano, prevedendo ognuno di essi particolari metodi e soluzioni per contrastare l’ascesa dei criminali informatici. L’Italia sta maturando una consapevolezza sempre più forte nell’ambito della cyber security. Questa maturazione è iniziata a partire dal 2008, quando è stato costituito il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic). Il driver, partito dalla direttiva ECI (European Critical Infrastructure), che evidenziava la necessità di proteggere le infrastrutture critiche dal punto di vista fisico, ma anche informatico ha dato un esempio che si è esteso a tutti gli Stati membri, che hanno iniziato a implementare degli organismi dedicati alla cyber security nazionale. Dalla Direttiva NIS (Network and Information Security, passando per l’istituzione di un Perimetro di Sicurezza Nazionale Cibernetica e di un Centro di Valutazione e Certificazione Nazionale, l’obiettivo di elevare la security dei sistemi ICT per le pubbliche amministrazioni ed alcune imprese private è diventato una priorità.

Per la prima volta viene introdotto il concetto di screening tecnologico, che impone ai soggetti pubblici o privati, l’obbligo di comunicare alle autorità competenti iniziative di approvvigionamento relativa a tecnologie sensibili (servizi, hardware o software), attraverso un’attenta valutazione dei fornitori selezionati ed un’approfondita verifica sulle soluzioni scelte, così da limitare l’introduzione di vulnerabilità (accidentali o volute) all’interno dei propri sistemi.

“Le aspettative che provengono dall’esterno e le necessità degli stakeholders, sono essenziali per dare forma a un efficace sistema di gestione della sicurezza di ogni singola azienda. – afferma Antonio Bagiolini, Business Line Manager – ICT di TÜV Italia – Norme come la ISO IEC 27001 consentono di creare un sistema di gestione su misura che garantisca l’integrità, la riservatezza e la disponibilità di dati e informazioni. La nuova 27001:2022, ad esempio, è stata progettata per essere calata più facilmente nelle aziende di ogni settore che si trovano ad affrontare un ambiente mutevole e imprevedibile, sempre più ricco di rischi per le risorse informative e che cambia rapidamente a livello di tecnologia e infrastrutture, permettendo la nascita di nuove vulnerabilità e minacce, contrastabili attraverso un sistema organizzativo strutturato, che introduca controlli sempre più attuali e mirati.”

Soluzioni di sicurezza informatica convenienti

Il 2023 vedrà un aumento della domanda di soluzioni e servizi di sicurezza efficaci e a prezzi ragionevoli, come dimostrazione tangibile dell’incertezza derivante dalla situazione economica generale e dagli impatti negativi della pandemia di Covid-19 e della guerra in Ucraina. Le piccole e medie imprese (PMI) saranno particolarmente attente a fare un uso mirato del loro bilancio per la sicurezza informatica e a esaminarne attentamente l’efficacia in termini di costi. Per rafforzare la cybersecurity lungo la catena di approvvigionamento, i fornitori non dovrebbero più essere gravati da una serie di requisiti diversi in tema di sicurezza informatica. Al contrario, i requisiti di cybersecurity dovrebbero essere standardizzati e le norme adottate a livello globale, ove possibile.

Attuazione delle norme sulla cybersecurity

Alcune leggi e regolamenti nazionali e internazionali sulla sicurezza informatica sono già in vigore, ma si passerà ora alla fase di implementazione. Alcuni esempi: la direttiva UE sulla sicurezza delle reti e dei sistemi informativi (NIS) sarà sostituita dalla direttiva NIS 2, che imporrà misure di vigilanza e segnalazione più rigorose e adotterà sanzioni armonizzate in tutta l’UE. Il progetto di regolamento europeo sulla cyber-resilienza (CRA) è la prima legislazione a livello europeo a stabilire requisiti obbligatori di cybersecurity per apparecchiature e prodotti con elementi digitali. Il regolamento delegato dell’UE che integra la direttiva sulle apparecchiature radio (RED) si applicherà dall’agosto 2024 in poi, rendendo obbligatoria la cybersecurity per tutte le apparecchiature wireless come telefoni cellulari, tablet o orologi intelligenti. In USA si è visto un numero crescente di regolamenti per l’attuazione della sicurezza informatica, costringendo le autorità statunitensi, come la CISA, a lavorare sull’implementazione dei requisiti che si applicano a diversi settori. Tuttavia, un aspetto comune a tutte le normative è che le aziende devono verificare se queste rientrano nei loro ambiti di applicazione e capire come attuare i cambiamenti pertinenti nel modo più efficiente. In vista dell’attuazione internazionale, gli standard e la certificazione di terze parti svolgeranno nel 2023 un ruolo ancora più importante di quanto non abbiano fatto finora.

Maggiore attenzione alle infrastrutture critiche

Il numero di attacchi di phishing, malware e ransomware è in costante aumento, una tendenza destinata a continuare nel prossimo futuro. In considerazione della crescente professionalità degli aggressori informatici e della guerra virtuale, la protezione delle infrastrutture critiche continua a essere al centro dell’attenzione. Ciò vale soprattutto per settori altamente sensibili come quello dell’approvvigionamento energetico e dell’assistenza sanitaria.

Formazione orientata ai gruppi target

Il fattore umano continua ad essere l’anello debole della catena della sicurezza informatica, con i dipendenti che rappresentano la terza componente principale delle imprese, dopo la tecnologia e i processi. Finora, l’attenzione si è concentrata sulla formazione generale di sensibilizzazione per tutta la forza lavoro. In futuro, ci sarà una tendenza crescente verso misure di formazione per specifici destinatari, affrontando aree che includono requisiti di settori specifici come l’ingegneria automobilistica o l’industria medtech. Anche esperti e dirigenti richiedono una formazione costante sulle minacce informatiche e su come agire e comportarsi correttamente.

Fiducia nell’intelligenza artificiale attraverso la standardizzazione

Costruire la fiducia digitale nell’Intelligenza Artificiale è un fattore chiave importante. In considerazione di ciò, le norme e gli standard stanno diventando sempre più importanti. Per quanto riguarda i regolamenti, la Commissione europea ha presentato l’Artificial Intelligence Act nell’aprile 2021. Detto questo, le parti interessate devono ora iniziare a impegnarsi in discussioni sui certificati di intelligenza artificiale e sugli standard di certificazione che consentono loro di stabilire ambienti IT che offrano la massima sicurezza. Le organizzazioni di standardizzazione come l’ISO (International Standards Organisations) hanno già iniziato a lavorare su questo aspetto. Anche il settore industriale sta lavorando allo sviluppo di proposte e soluzioni per possibili etichette AI. Un esempio è la Charter of Trust, un’alleanza di sicurezza informatica formata da aziende globali che include TÜV SÜD tra i suoi membri. Garantire una crescente fiducia nelle tecnologie digitali è un aspetto chiave nello sviluppo e nell’utilizzo delle applicazioni di AI.