Restare competitivi riducendo la superficie di attacco informatico e implementando la compliance al GDPR

di Giovanni Finetto & Paola Finetto

Le imprese italiane sono propense a investire in innovazione digitale?
È ormai più di un anno che il nostro Paese si confronta con le difficoltà imposte dall’emergenza sanitaria. Le imprese, ma anche la Pubblica Amministrazione, hanno dovuto riorganizzare la gestione concreta dell’attività lavorativa, attivando modalità di lavoro a distanza. Questa inevitabile scelta ha, tuttavia, ampliato la superficie di attacco dei cyber criminali. Sul luogo di lavoro si è protetti dalla rete aziendale, mentre lavorare da remoto impone di prestare una maggiore attenzione agli strumenti utilizzati: dai device alla connettività, alla navigazione in internet, alla condivisione degli strumenti di lavoro.
Questi ultimi mesi hanno messo a dura prova gli imprenditori: è stato loro chiesto di rimodulare – in alcuni casi, addirittura, di rivoluzionare – l’attività lavorativa, implementando la funzionalità e la protezione della struttura informatica aziendale. I veri protagonisti di questi adattamenti nell’operatività aziendale – tanto necessari, quanto inevitabili per non soccombere alle limitazioni di spostamento e di contatto che, almeno nei primi difficili mesi, l’emergenza sanitaria ha comportato – sono stati i responsabili della funzione IT (Information Technology) o ICT (Information Communication Technology), al pari dei compliance manager. Effettivamente, la capacità delle nostre imprese di superare i mesi più duri del periodo emergenziale è dipesa principalmente dalla prontezza dei responsabili IT/ICT nella riorganizzazione delle reti e dei sistemi informatici aziendali e, al contempo, dalla competenza dei responsabili della funzione compliance, chiamati a rivalutare i rischi aziendali e a formare il personale sull’uso corretto degli strumenti informatici, anche al di fuori della sede aziendale.
Ciò premesso, la domanda posta all’inizio di questo articolo può essere riformulata come segue: quanto le imprese italiane sono propense a investire, oggi, in innovazione digitale?  È infatti innegabile che le imprese italiane hanno iniziato già da tempo a investire in innovazione digitale. La vera sfida, in questo momento storico, è dirigere gli investimenti verso nuove priorità.
Fino al 2018 le somme spese dalle imprese per l’innovazione digitale si sono concentrate principalmente su software gestionali (ERP – enterprise resource planning) e per la gestione di contatti (CRM – customer relationship management), sistemi per la digitalizzazione e la dematerializzazione, strumenti di e-commerce e di mobile business, servizi di digital marketing.
Già nel corso del 2018 il trend ha iniziato a cambiare e, nel 2019 ma ancor più nel corso del 2020, sono invece aumentati gli investimenti per la gestione dello smart working, oltre che nel settore information security e risk management, nonché nei servizi di cloud computing. L’aumento del lavoro a distanza e la maggiore esposizione ai rischi della rete hanno accresciuto negli imprenditori la consapevolezza della gravità dei rischi, ai quali è esposta la struttura informatica aziendale. La cyber security è ora considerata come un rischio d’impresa sempre più importante e, di conseguenza, le imprese sono più pronte ad attivarsi per reperire strumenti di protezione della rete aziendale e per assicurare la business continuity in caso di attacchi da parte di hacker malevoli.
Questo andamento negli investimenti in innovazione digitale è stato studiato e presentato, in particolare, dagli Osservatori Digital Innovation della School of Management del Politecnico di Milano. Di seguito si propone un grafico elaborato da tali Osservatori con riferimento all’anno 2019, ma, nel sito degli Osservatori precitati¹, è disponibile la raccolta di grafici che presenta, con logiche interattive, l’andamento dei budget ICT nelle imprese italiane negli ultimi anni, illustrandone anche il rapporto rispetto al fatturato, nonché evidenziando le principali aree di investimento in innovazione digitale e le sfide organizzative che le imprese si trovano ad affrontare.

L’aumento, già dal 2019, degli investimenti nel settore information security e risk management testimonia quanto sia oggi diffusa la percezione del rischio cyber di fronte al fenomeno, sempre più penetrante, del cyber crime, che attualmente costituisce una delle minacce più insidiose a livello globale, con un incremento su base annua sempre maggiore: è un rischio che colpisce sia le grandi che le medie e piccole imprese e che, per questo, coinvolge il sistema economico di tutto il Paese.
Una recentissima ricerca presentata dal Corriere della Sera² ci racconta che nel 2020 in Italia si è verificato un vero e proprio boom di attacchi informatici, + 246 % rispetto al 2019. Le organizzazioni criminali digitali si impossessano di milioni di dati di imprese ed enti, criptano i dati e successivamente chiedono il riscatto, normalmente in cryptovaluta, pena la pubblicazione degli stessi online, esponendo le vittime a danni reputazionali e a sanzioni da parte del Garante della Privacy.
Ma come possiamo tutelarci da questo rischio emergente che sarà presente e ci accompagnerà nelle nostre vite aziendali, professionali e personali? La sicurezza informatica è sicuramente il tema dei prossimi decenni, poiché rappresenta la sommatoria degli asset tecnologici, che hanno il fine di proteggere le strutture telematiche in termini di disponibilità, confidenzialità e integrità. In questo perimetro sono ricompresi apprestamenti sia tecnici che procedurali e legali, nonché comportamenti appartenenti agli esseri umani. Se vogliamo analizzare lo stato di security di una organizzazione, è necessario mappare i rischi, valutare la superficie di attacco e ricercare eventuali minacce ai sistemi informativi, al fine di creare un perimetro di sicurezza che li protegga da attacchi sia esterni che interni, che potrebbero provocare impatti importanti all’organizzazione o ad organizzazioni terze (si pensi, ad esempio, al rischio residuo economico, sociale, di brand reputation). Cyber Security è la definizione anglosassone, spesso usata in alternativa a “sicurezza informatica”, che focalizza l’ambito nel settore specificatamente tecnologico: a questo termine si associano spesso i concetti di robustezza, capacità di reazione, resilienza, che un sistema tecnologico-informativo deve possedere by design per affrontare attacchi criminali targeted (attacchi cyber mirati).
Proseguendo con l’analisi terminologica che afferisce al perimetro della sicurezza informatica, è possibile definire i concetti di spazio cibernetico o cyberspazio: si tratta di “un dominio caratterizzato dall’uso dell’elettronica e dello spettro elettromagnetico per conservare, modificare e scambiare dati attraverso sistemi di rete ed infrastrutture fisiche associate”³. Esso convoglia, attraverso le reti di comunicazione dei dispositivi fissi e mobili connessi a internet, la massa di informazioni e i dati più sensibili della vita dei singoli individui, così come quelli relativi alle attività politiche, economiche e sociali di un Paese. Da esso dipende anche il funzionamento di settori strategici per la produzione economica, industriale e finanziaria nazionale. Per il cyberspace non esiste una definizione unica, esiste piuttosto una serie di termini che ne identificano il perimetro. La definizione di cyberspace che presenta la ISO/IEC 27000:2014 è una delle più interessanti:
“Il Cyberspace è il complesso ecosistema risultante dall’interazione di persone, software e servizi su internet per mezzo di tecnologie, dispositivi e reti ad esso connesse” (ISO/IEC, 2014)⁴.
La dimensione materiale del cyberspace è, pertanto, costituita da tutti gli asset tecnologici connessi in rete, che abbiamo a disposizione nella vita personale e lavorativa, e dalle informazioni che gli utenti creano per utilizzare tali strumenti: uno spazio che comprende tutto ciò che può essere collegato a internet e che consente di mettere in comunicazione le persone, ma comprende anche le cose (Internet of Things – IoT), macchine, programmi e dati ad essi correlati. Il significato duplice di questa parola ingenera inevitabilmente complessità e non aiuta nella comprensione della dimensione di questa entità. La grandezza in termini dimensionali del cyberspazio ricomprende la sfera dell’Information Communication Technology e lo spazio influenzabile che può essere interessato dalle operazioni svolte sul cyberspace.
Questo ecosistema è in continua evoluzione ed espansione; ogni giorno nascono nuove tecnologie e nuovi strumenti, che a loro volta abilitano nuovi servizi e modelli di business, pensiamo all’Artificial Intelligence e alla Blockchain. Il filo conduttore di questa espansione è la connessione, in quanto i dispositivi in nostro possesso sono uniti fra loro da un intreccio materiale e immateriale che avvolge l’intero globo. Internet, il cui termine deriva da Interconnected Networks è un ambiente che consente il collegamento tra gli utenti ovvero la rete mondiale creata sulla base di una serie di protocolli di gestione e canalizzazione dei dati (TCP/IP), che uniscono le reti eterogenee composte dai computer di tutto il mondo che vi sono connessi, anche attraverso il web.
La struttura che sorregge il moderno web è stata sviluppata secondo linee guida e standard di design, che hanno fatto sì che oggi ciascuno di noi possa effettuare operazioni sul web in ogni momento con estrema semplicità e naturalezza. Le tecniche di progettazione dell’interazione uomo-macchina (HCI – Human Computer Interaction) si sono diffuse tra gli anni ‘70 e ‘80, periodo in cui è stato introdotto il concetto di “user friendly”, ovvero facile da utilizzare grazie alla semplicità e intuitività dell’interfaccia. Questo aspetto è stato considerato particolarmente importante quando internet è stato messo a disposizione del pubblico con la nascita del World Wide Web. Pertanto, affinché le potenzialità della rete potessero essere sfruttate appieno anche da chi non era un tecnico, si ritenne opportuno sviluppare uno strumento che possedesse elevata Usabilità, definita come: “Il grado in cui un prodotto può essere usato da particolari utenti per raggiungere certi obiettivi con efficacia, efficienza, soddisfazione in uno specifico contesto d’uso” (ISO, 2010)⁵. In altri termini, gli sforzi degli sviluppatori dei sistemi si sono concentrati nel rendere le modalità di navigazione più “user-friendly”, con interfacce estremamente intuitive e semplici da gestire e dotando il web di immediatezza nella risposta. In questo modo i contenuti della navigazione sono divenuti facilmente reperibili e fruibili e si è resa decisamente più piacevole l’esperienza dell’utente.
Tutto questo ha fatto in modo che la struttura del web divenisse estremamente libera e priva di confini. Sebbene questo possa essere considerato come un pregio, un modello così strutturato risulta molto vulnerabile e difficile da controllare, poiché nasce per interconnettere e collegare quante più entità possibile con la massima velocità possibile e la massima interoperabilità, a scapito della sicurezza. Fra i principi e gli standard utilizzati nello sviluppo della rete, quello della sicurezza non è mai stato considerato come un aspetto prioritario, anzi il contrario. Internet, infatti, non è esente da falle di sicurezza by design ed esse sono da imputare proprio alla filosofia secondo la quale è stato pensato e realizzato il web.
Il concetto di vulnerabilità o superficie esposta agli attacchi può essere esteso anche agli altri dispositivi e tecnologie appartenenti al cyberspace in termini sia di hardware che di firmware e software: anche in questo caso, i principi progettuali di questi strumenti si sono concentrati sui concetti di efficacia ed efficienza, ma non certo su quello della sicurezza. La necessità era di costruire velocemente sistemi per risolvere efficacemente problemi e colmare bisogni, ma la velocità è da sempre nemica della sicurezza.
La Cyber Security è il tentativo, il compromesso dei soggetti coinvolti nel cyberspace di muoversi in questa direzione, andando a ridurre le vulnerabilità di sistema e cercando di trasformare il cyberspazio in un ambiente più sicuro, senza dover rinunciare alle opportunità che questo mette a disposizione.
I protagonisti della Cyber Security sono diversi: sistemisti, programmatori, amministratori, hacker, ma anche utenti finali della rete e cittadini comuni. Alcuni di questi svolgono un ruolo attivo, potendo influenzare tecnicamente il cyberspazio attraverso le proprie operazioni, altri invece ne risultano condizionati e subiscono passivamente le conseguenze delle azioni tecnologiche. Alcuni soggetti coinvolti hanno lo scopo di sfruttare le potenzialità del mondo cyber per finalizzare i propri scopi: un’organizzazione potrebbe voler utilizzare il proprio sistema informativo per gestire i rapporti commerciali con i propri clienti, così come un cittadino potrebbe voler monitorare il proprio saldo bancario attraverso il proprio smartphone. Tuttavia, esistono soggetti interessati a sfruttare le vulnerabilità intrinseche del cyberspace a scopo illegale per sottrarre, per esempio, la lista clienti di un ente o di una impresa, per rubare i dati bancari del cittadino, per ottenere denaro a fronte di un ricatto (estorsione). Tra queste due categorie di “entità coinvolte” nel mondo cyber, se ne colloca una terza, che ha la caratteristica di essere un “regolatore” del settore: organizzazioni, autorità statali o altri enti che hanno il compito di gestire e normare, direttamente o indirettamente, il contesto del cyberspace, al fine di regolare, appunto, i rapporti tra gli altri due gruppi di soggetti coinvolti e gestire le operazioni all’interno dell’ambiente cyber. A causa del continuo incremento del secondo gruppo, malevolo e criminale, negli ultimi anni si tende ad associare maggiormente il concetto di cyberspace a quello di minaccia e rischio, piuttosto che a quello di opportunità. Infatti, è possibile affermare che esiste un fenomeno di crescita delle strategie di Cyber Security a supporto delle organizzazioni di tutto il mondo: un ecosistema volto a rendere più sicuro il cyberspace che, come si è scritto in precedenza, è caratterizzato da una dimensione globale e da una quasi totale assenza di confini.
Si assiste, a livello internazionale, alla continua crescita di modelli di implementazione della Cyber Resilience e della Cyber Security, nati da una collaborazione tra il settore pubblico e quello privato. La Cyber Resilience indica la capacità di un’azienda o di una organizzazione di gestire e di reagire ad un attacco informatico, mettendo in atto misure preventive e riuscendo, in caso di attacco andato a buon fine, a ripristinare la normale operatività in modo tempestivo.
Si assiste, inoltre, ad una crescita nella sinergia tra Stato e impresa privata specializzata, volta a creare strati compenetranti di prevenzione e protezione del Sistema Paese e di condivisione delle informazioni inerenti alla cyber minaccia.
Gli attacchi cyber hanno obiettivi trasversali al settore pubblico e a quello privato e sono ben descritti in uno dei rapporti più autorevoli in Italia, quello CLUSIT (CLUSIT, 2020), un’associazione senza fini di lucro composta da esperti provenienti da diversi ambiti che, dal 2012, realizza un report annuale sullo stato della sicurezza IT. Come di consueto, anche il Rapporto CLUSIT 2020⁶, analizza i più gravi cyber attacchi noti avvenuti a livello globale (Italia inclusa) negli ultimi 12 semestri e li confronta con l’analisi degli attacchi noti degli ultimi 12 mesi. Da quando nel lontano 2011 CLUSIT ha iniziato a svolgere questa raccolta di “incidenti notevoli” di dominio pubblico, sono stati individuati, classificati e valutati oltre 10.000 attacchi avvenuti tra il gennaio 2011 e il dicembre 2019 (dei quali 1.670 analizzati nel 2019). Va sottolineato, da un lato, che le analisi e i relativi commenti si riferiscono ad attacchi reali, che hanno superato tutte le difese in essere e hanno provocato danni ingenti (e non all’analisi di attacchi tentati e/o bloccati), e, dall’altro, che il campione è necessariamente parziale, per quanto ormai statisticamente piuttosto significativo, rispetto al numero degli attacchi gravi effettivamente avvenuti nel periodo in esame. Questo accade sia perché un buon numero di aggressioni non diventano mai di dominio pubblico, oppure, quando i casi sono molto sofisticati e difficili da investigare, lo diventano ad anni di distanza, sia perché spesso le vittime non ritengono opportuno incidere negativamente sulla propria brand/personal reputation a meno di una cogenza legale.
In merito a quest’ultima fonte di disclosure obbligatoria, CLUSIT rileva che, nonostante la piena efficacia e applicazione del Regolamento GDPR⁷ e della Direttiva NIS⁸, non è invero stato rilevato un aumento di attacchi gravi di pubblico dominio verso bersagli europei, il che, alla luce dell’aumento degli attacchi gravi registrati a livello globale nel 2018 (+37,7% rispetto al 2017) e nel 2019 (+7% rispetto al 2018), appare statisticamente improbabile, portando a concludere che una quota significativa di questi attacchi non sia ancora emersa, nonostante gli obblighi di notifica vigenti. La natura delle fonti aperte OSINT (Open Source Intelligence) utilizzate da CLUSIT per realizzare lo studio (notizie ricavate da testate specializzate e agenzie di stampa online, blog, post su social media etc.) individua un trend nel campione, all’interno del quale sono certamente meglio rappresentati gli attacchi più visibili, cioè solitamente quelli realizzati per finalità cyber criminali (o di hacktivism), rispetto a quelli derivanti da attività di cyber espionage e di information warfare, che emergono più difficilmente.
Con il passare del tempo anche i soggetti appartenenti al secondo gruppo di natura malevola sono mutati nelle finalità delle azioni perpetrate e nelle capacità di svolgerle. Normalmente questi individui sono descritti utilizzando il termine “hacker” ma in realtà, nonostante venga interpretata da molte persone con accezione esclusivamente negativa, questa parola in origine possedeva un significato ben anche positivo. Essa venne utilizzata, infatti, per la prima volta da studenti del MIT attorno al 1960 per identificare soggetti particolarmente abili e creativi nella programmazione e modifica di sistemi elettrici e informatici. Soltanto negli anni ‘80, con lo sviluppo dei primi modelli di internet evoluti, alcuni componenti della comunità degli hacker hanno intrapreso alcune iniziative ostili, che hanno fatto sì che il termine venisse associato ad un contesto criminale. Oggi la parola hacker identifica un esperto di sistemi informatici, capace di introdursi in reti protette superando le barriere di sicurezza e, in generale, di acquisire una conoscenza approfondita del sistema su cui interviene, per poi eventualmente accedervi senza autorizzazione. Molti dei moderni hacker sono persone virtuose e positive, mosse dall’etica e dalla volontà di migliorare l’ambiente del cyberspace, cercando di testare la sicurezza e l’affidabilità del sistema.
Il web nasconde la maggior parte dei suoi contenuti ai normali motori di ricerca: attraverso una ricerca su Google è possibile accedere ad una piccolissima parte dei contenuti di internet, all’incirca il 4%. Il restante 96% rientra nella parte sommersa dell’iceberg che prende il nome di deep web. Quest’area occultata della rete non costituisce necessariamente una minaccia ma, all’interno del deep web, si nasconde un pericoloso sottoinsieme, il dark web. Spesso i due concetti vengono confusi ma il secondo è decisamente più pericoloso del primo. Per accedervi, infatti, non è possibile sfruttare i normali canali di connessione ma si deve ricorrere a particolari reti sovrapposte, chiamate Darknet, che garantiscono il totale anonimato al soggetto che vi si vuole connettere. Il dark web è diventato il recipiente di un enorme insieme di attività criminali protette rispetto alla rete “visibile”.  
Si può quindi dedurre che il web è stato il motore e il moltiplicatore di questa evoluzione del rischio.  Il basso tasso di rilevabilità determina un evidente vantaggio per i soggetti che commettono crimini nel web: fra gli esperti di Cyber Security spesso si usa dire che “esistono due diversi tipi di aziende: quelle che sono state violate e quelle che ancora non sanno di esserlo”. Infatti, in molti casi reali di furto di informazioni, l’acquisizione della consapevolezza di avere subito un attacco hacker avviene con molto ritardo rispetto alla data dell’evento e, spesso, le prove dell’intrusione non provengono dalla vittima, ma da terzi.
Il report pubblicato dal Ponemon Institute, “2016 Cost of Data Breach Study: Global Analysis” (Ponemon Institute, 2016)⁹, attraverso l’analisi di un campione di 383 aziende colpite in 12 Paesi, stima che il tempo mediamente impiegato da un’organizzazione per scoprire di avere subito un data breach è di 201 giorni, con un range di tempo che va dai 20 ai 569 giorni e, spesso, molti enti non lo scoprono mai. Attraverso l’analisi di casi reali affrontati dal team tecnico di CyberTrust (Cybertrust.it), si è potuto verificare che, durante le intrusioni, le informazioni non vengono tanto sottratte, quanto piuttosto copiate. Attuando questa metodologia, gli hacker, oltre ad acquisire le informazioni che saranno poi rivendute nel dark web, ritardano notevolmente il tempo di reazione del soggetto violato. Purtroppo, le attrezzature necessarie ad un hacker per effettuare un attacco sono sufficientemente economiche e semplici da reperire; di contro, il guadagno che si può ottenere dalla vendita o dallo sfruttamento dei dati illecitamente appropriati, è veramente impressionante. Inoltre, l’hacker, grazie alla rete internet, può sferrare contemporaneamente, da un unico luogo geografico, molteplici attacchi in tutto il mondo.
I data breach sono per lo più causati da azioni accidentali di dipendenti o collaboratori interni alla realtà aziendale o professionale; questi incidenti di sicurezza sono comunque in costante aumento e possono avere conseguenze ben più gravi rispetto a quelle causate da attacchi esterni intenzionali. Non c’è una soluzione unica, che possa neutralizzare o minimizzare le minacce interne. Piuttosto, è necessario adottare un approccio organico e multidisciplinare nella gestione del rischio. Si definisce dunque un nuovo concetto: la sicurezza è patrimonio e responsabilità di tutti, non solo degli specialisti.
Il titolare del trattamento (sia esso un imprenditore o un professionista) ha raggiunto un punto critico: ignorare gli investimenti in nuove tecnologie, come ad esempio il cloud, non è più possibile (purtroppo, non sono rari i casi di dipendenti di aziende italiane ed europee che, specificamente interpellati, hanno dichiarato di avere acquistato un servizio cloud esterno e di utilizzarlo in azienda per archiviare sia i propri dati, che quelli aziendali, in modo non autorizzato). I responsabili del settore Information Technology (IT) dovranno saper fornire la flessibilità che i dipendenti si aspettano e, al tempo stesso, dovranno gestire tutti i processi in modo sicuro grazie ad un presidio, ormai inevitabile e continuo, delle procedure sulla sicurezza informatica interne all’azienda.
La gestione del rischio informatico richiede una visione omnicomprensiva della sicurezza, che permetta di spostare l’attenzione da un problema contingente ad una visione complessiva, nella quale devono essere presi in considerazione e valutati costantemente molteplici fattori. La società è diventata sempre più social e per questo il ventaglio delle informazioni disponibili sulla rete è diventato più complesso e variabile. È importante proteggere ogni elemento indebitamente appropriato che possa potenzialmente determinare una perdita economica, di immagine o conoscenza per il legittimo possessore, ovvero ogni elemento ricompreso nel perimetro digitale diffuso aziendale. È importante evidenziare che il volume degli elementi che la Cyber Security cerca di proteggere si è notevolmente ingrandito rispetto al passato, il che è dovuto essenzialmente alla comparsa di alcuni fenomeni: la Quarta Rivoluzione Industriale ovvero la “Industry 4.0”, talora definita anche come “Digital Transformation” (o “Digitalization”), caratterizzata dalla digitalizzazione end-to-end di tutti gli asset e dall’integrazione dell’ambiente industriale con il cyberspace.
La digitalizzazione (Digital Transformation) costituisce per le imprese un’autentica opportunità di sviluppo e, soprattutto, di crescita nella sicurezza: la trasformazione digitale consente di riorganizzare e ridisegnare i processi di business sfruttando prodotti e servizi tecnologici digitali. Questa evoluzione tecnologica tende ovviamente, in maniera direttamente proporzionale, ad accumulare un’enorme mole di dati, che costringe a realizzare infrastrutture telematiche di supporto ed enormi datacenter distribuiti in tutto il mondo: questo “bottino” non fa altro che aumentare l’appetito dei criminali informatici.
I sistemi e le reti, che sono utilizzati nella operatività aziendale quotidiana, sono naturalmente esposti a molte e diverse vulnerabilità, l’analisi delle quali costituisce una criticità nel processo di valutazione e mitigazione dei rischi. In effetti, a fronte della sempre maggiore diffusione di tecnologie e modelli di business basati sulla rete, dove vengono possedute e scambiate informazioni sensibili, l’adozione di efficienti ed efficaci strumenti di vulnerability management assume rilevanza cruciale, in quanto da essa possono dipendere le sorti stesse dell’impresa. Il 25 maggio 2018 è divenuto pienamente efficace il Regolamento UE 2016/679 – General Data Protection Regulation, che è direttamente applicabile a ​tutti gli enti che gestiscono i dati personali di residenti europei​. Lo scopo del nuovo regolamento GDPR è la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali delle persone fisiche all’interno dell’Unione europea, introducendo importanti novità e definendo il concetto di Accountability, che attribuisce al titolare del trattamento una responsabilità globale al fine di facilitare le operazioni delle aziende in un mercato unico digitale.
L’art. 32 del GDPR impone al titolare del trattamento di dotarsi di misure tecnico-organizzative, che garantiscano la sicurezza dei trattamenti effettuati e, conseguentemente, degli stessi dati trattati. L’imprenditore dovrà dunque dotarsi di strumenti tecnologici, applicativi, software che soddisfino i requisiti di cui al precitato art. 32. Uno di questi strumenti è senz’altro il processo di Vulnerability Assessment. La verifica di sicurezza di tipo Vulnerability Assessment costituisce il primo livello dei servizi di sicurezza proattiva. Il processo di Vulnerability Assessment, basato sull’utilizzo di potenti software di analisi della sicurezza e di penetration testing, permette di analizzare nel dettaglio e mappare l’intera rete aziendale. Questo “inventario” informatico della rete aziendale consente di trovare e segnalare eventuali falle, che possono mettere a rischio i dati trattati nella operatività aziendale quotidiana, contenuti nei file e nelle cartelle di server e computer. La valutazione o, meglio, l’autovalutazione del rischio informatico completa le informazioni già acquisite nella fase di analisi e permette, dunque, di disporre di un quadro completo della situazione dal punto di vista della normativa GDPR. I sistemi di Vulnerability Assessment sviluppano l’analisi delle reti e dei sistemi attraverso l’esecuzione di scansioni automatizzate e semi-automatizzate non invasive, condotte utilizzando strumenti e tecnologie accuratamente selezionati, con l’obiettivo di rilevare la presenza di vulnerabilità note all’interno della infrastruttura informatica oggetto di valutazione. Tali scansioni possono essere successivamente integrate con verifiche manuali eseguite da personale altamente qualificato, volte ad eliminare i falsi positivi e negativi, eventualmente introdotti dagli strumenti di analisi automatica. Considerato l’elevato numero di nuove vulnerabilità scoperte ogni giorno, è consigliabile (anzi, si ritiene fondamentale) svolgere un Vulnerability Assessment con opportuna periodicità, così da assicurare che le configurazioni dei sistemi siano corrette e le opportune patch di sicurezza applicate.
È fondamentale, inoltre, essere preparati a gestire l’attacco informatico e l’eventuale data breach: l’articolo 33 del GDPR, infatti, stabilisce l’obbligo per l’organizzazione di comunicare, all’autorità di controllo competente, l’avvenuta violazione di dati personali entro un termine di 72 ore dalla sua scoperta, qualora si sia concretizzato un danno o una minaccia alle libertà o ai diritti delle persone titolari dei dati. L’articolo 34 prevede, inoltre, l’obbligo di comunicazione agli interessati, dando notizia del data breach che si è concretizzato, anche qui, solamente nel caso esista un rischio elevato per i diritti e le libertà degli interessati. Nonostante il GDPR non prescriva espressamente di creare un CSIRT (Computer Incident Response Team), è evidente che, per garantire la conformità all’articolo 33 del Regolamento, un’organizzazione non può farne a meno: ogni azienda, secondo quanto previsto dal GDPR, deve dotarsi di un piano di gestione degli incidenti informatici che permetta di attivare, automaticamente, alcuni meccanismi tecnologici e precise procedure tecnico-legali finalizzate alla minimizzazione del danno e alla continuità operativa.
L’incident response plan è, dunque, un insieme di procedure, sistemi e risorse (avvocati o consulenti legali specializzati, nonché periti informatici) impiegati per reagire ad incidenti informatici. Questa gestione si suddivide essenzialmente in tre fasi:

• risposta iniziale all’incidente;
• investigazione;
• ripristino dei sistemi compromessi, laddove possibile.

Nella fase di risposta iniziale, il team che interviene determina il tipo di incidente e il suo potenziale impatto, interloquendo con chi ha rilevato l’incidente, revisionando i relativi log di rete o di sistema, mantenendo copia documentale di tutte le informazioni raccolte. È, questa, una fase delicata: si approccia, infatti, un’organizzazione che ha subito un incidente informatico e i cui dati, quindi, sono stati in qualche modo violati, compromessi. Il titolare del trattamento ha, in questo momento, una duplice esigenza: da un lato promuovere ogni iniziativa utile e necessaria per verificare l’occorso; dall’altro ripristinare quanto prima la business continuity.
Nella fase successiva, quella investigativa, una volta cristallizzata la “scena del crimine informatico”, si accerta quanto presente, al fine di ricostruire le cause e la dinamica dell’incidente.
In questa fase si applicano le metodologie che fanno capo alla digital forensics, l’analisi forense dei campioni rappresentativi rispetto all’incidente informatico verificatosi con una metodologia ben nota denominata “copia bit a bit”. In questa fase è molto importante – anzi, determinante – procedere con attenzione e competenza in ogni singolo step dell’iter di verifica e accertamento, in quanto gli esiti di queste indagini potrebbero essere utili per il titolare del trattamento per individuare responsabilità (o, come più frequentemente accade, corresponsabilità) nella generazione dell’incidente occorso.
L’ultima fase si concentra sul ripristino dei dati e della rete, possibilmente riportandoli al momento precedente all’attacco informatico, solo dopo avere “bonificato” e “disinfettato” i device da ogni codice malevolo presente all’interno.
Il team per lo svolgimento delle attività di Incident Response è composto, in relazione alle necessità e in considerazione anche della concreta organizzazione e operatività della struttura attaccata, da una o più figure di ​Senior Security Consultant​. La risorsa deve possedere le necessarie competenze per definire con i vertici dell’ente l’approccio metodologico più efficace e adeguato ad affrontare e risolvere le problematiche emerse. Inoltre, del team fa solitamente parte anche un legale specializzato nella gestione dei data breach, il quale si occuperà degli aspetti giuridici dell’incidente e delle eventuali comunicazioni alle autorità competenti, così come nei confronti degli altri soggetti coinvolti. L’approccio del team di Incident Response sarà necessariamente multidisciplinare e organico: le competenze che il team deve possedere sono, infatti, sia tecniche, che giuridiche, dovendosi verificare, tra l’altro, se il titolare del trattamento abbia approntato ed efficacemente attuato procedure interne per la corretta gestione della protezione dei dati personali, e dovendo il team altresì interloquire anche con il Responsabile della Protezione dei Dati (RPD – DPO), se nominato dal titolare del trattamento ai sensi dell’art 37 e seguenti del Regolamento UE 2016/679.
Anche dal punto di vista della compliance strettamente giuridica, i termini della questione non cambiano. A un incremento di investimenti nella sicurezza delle reti e dei sistemi aziendali, oltre che nella informazione e formazione del personale, corrisponde pur sempre una maggiore competitività dell’impresa. In effetti, l’investimento nell’innovazione digitale, per tale intendendosi anche i presidi strettamente giuridico-documentali che accompagnano una compliance prettamente tecnica, aumenta la resilienza della infrastruttura informatica di fronte ai tentativi di hackeraggio o, comunque, di penetrazione e alterazione o danneggiamento della infrastruttura medesima, siano essi dipendenti da fattori esterni o interni all’impresa. A sua volta, questa minore vulnerabilità dei sistemi informatici incrementa l’operatività in sicurezza e, di conseguenza, la redditività dell’impresa stessa.
L’esposizione della struttura informatica aziendale al rischio cyber e la non adeguata valutazione di un tale rischio possono esporre i dati e gli asset aziendali a pericoli gravi e, inoltre, generare una responsabilità, in ambito sia civile che penale, nei rapporti tra l’imprenditore e i terzi, a cui si riferiscono i dati compromessi. 
L’imprenditore è, dunque, tenuto, anzitutto, a valutare in concreto i rischi connessi con l’operatività delle reti e dei sistemi informatici, oltre che con l’utilizzo quotidiano dei vari device aziendali: anche per l’individuazione delle vulnerabilità delle reti e dei sistemi informatici, l’attività di risk assessment e di gap analysis è la prima importante attività da svolgere. Successivamente l’imprenditore, avuta contezza dello stato della struttura informatica aziendale, potrà (e dovrà) assumere le misure tecnico-organizzative utili e necessarie per garantire la sicurezza delle reti, dei sistemi e dei dati aziendali. I parametri di riferimento in questo articolato processo di valutazione dei rischi e di implementazione della sicurezza informatica aziendale possono essere molteplici, in particolare rilevando:

• il Framework Nazionale per la Cybersecurity e la Data Protection, il quale, ispirato al Cybersecurity Framework ideato dal NIST – National Institute of Standards and Technology, fornisce uno strumento operativo per organizzare i processi di cybersecurity adatto alle organizzazioni pubbliche e private, di qualsiasi dimensione;
• la ISO 27001, standard internazionale che descrive le best practice e i requisiti per un sistema di gestione della sicurezza delle informazioni;
• i report e la documentazione elaborata dall’ENISA, l’Agenzia dell’Unione Europea per la cybersicurezza.

Altro riferimento normativo rilevante è l’art. 32 del GDPR, il cui primo comma impone all’imprenditore (titolare del trattamento) di valutare ed efficacemente attuare misure tecnico-organizzative idonee a garantire un livello di sicurezza dei dati e dei sistemi adeguato al rischio concreto, tenuto conto dei trattamenti effettuati in azienda e dei dati personali trattati nel contesto di tali trattamenti, previa valutazione dei rischi a cui l’attività aziendale potrebbe esporre i dati medesimi. Ciò impone all’imprenditore, con specifico riferimento alla protezione dei dati personali, di definire, nell’ambito della sua organizzazione:

• i dati personali trattati, nonché le modalità di trattamento e le relative finalità del trattamento; l’imprenditore dovrà, pertanto, predisporre e aggiornare il registro delle attività di trattamento ai sensi dell’art. 30 del GDPR, indicando nel dettaglio le attività di trattamento effettuate, i dati in concreto trattati e le relative finalità di trattamento, nonché le misure tecniche ed organizzative predisposte al fine di garantire che il trattamento venga effettuato conformemente alla normativa vigente in materia di protezione dei dati;
• le responsabilità e le modalità con cui gestire la protezione dei dati personali secondo i principi della data protection by design and by default (art. 25 GDPR), della responsabilizzazione (art. 5, comma 2, GDPR), oltre che sulla base dei principi di liceità correttezza e trasparenza (art. 5, comma 1.a, GDPR), limitazione della finalità (art. 5, comma 1.b, GDPR), minimizzazione dei dati (art. 5, comma 1.c, GDPR), esattezza (art. 5, comma 1.d, GDPR), limitazione della conservazione (art. 5, comma 1.e, GDPR), integrità e riservatezza (art. 5, comma 1.f, GDPR);
• le procedure tecnico-organizzative e relative modalità di gestione, al fine di garantire un livello di sicurezza per i dati personali in formato elettronico e cartaceo o con altri mezzi di trattamento adeguato ai rischi.

Inoltre, l’imprenditore sarà tenuto a fornire per iscritto ai propri collaboratori istruzioni operative specifiche in merito al trattamento dei dati e alle misure di sicurezza alle quali attenersi, così da assicurare un trattamento lecito, legittimo e sicuro dei dati medesimi. L’imprenditore dovrà, infine, formare dipendenti e collaboratori, organizzando periodicamente sessioni informative e formative, al fine di accrescere la consapevolezza in merito ai rischi che anche l’operatività aziendale può comportare per i dati trattati e i trattamenti effettuati. Dovrà trattarsi di una formazione tecnica e teorica, arricchita da esempi concreti e richiami alla operatività aziendale, idonea dunque a rendere i lavoratori edotti dei rischi che incombono sui dati trattati, delle misure disponibili per prevenire eventi dannosi, degli aspetti della disciplina sulla protezione dei dati personali più rilevanti in rapporto all’attività lavorativa svolta, delle responsabilità che ne derivano.
Gli enti, le organizzazioni, le aziende e le persone devono rendersi conto di far parte di un sistema sempre più interconnesso e interdipendente, dove le conseguenze di una non opportuna e superficiale azione dell’uomo può sviluppare effetti a catena e dalle conseguenze imprevedibili. È opportuno, dunque, diffondere la consapevolezza dei rischi e delle minacce e aggiornare continuamente le metodologie di difesa, per predisporre un sistema di tutela stratificato, articolato e pragmatico basato sui paradigmi della business continuity, della resilienza, del risk management e della Cyber Security, attuando un cambiamento culturale interno volto alla prevenzione dei rischi e alla pianificazione.
È necessario affrontare questa dimensione utilizzando un approccio olistico che, da una parte, tenga in considerazione la sicurezza delle piattaforme e dei sistemi utilizzati per lavorare e comunicare, dall’altra adotti un corpus di procedure sempre aggiornato, accompagnato da un’adeguata e costante formazione del personale.
Infine, è importante non dimenticare che l’identificazione puntuale delle minacce e della loro evoluzione e la condivisione delle informazioni sono alla base di un sistema di prevenzione, che permetta da un lato di “leggere dentro” (intus legere) il vero obiettivo degli attacchi e la loro provenienza, dall’altro di preparare e potenziare gli strumenti tecnologici per individuare per tempo l’emergere anche improvviso di questi rischi.
L’elemento distintivo nelle attività di cyber intelligence è, dunque, l’information sharing: occorre promuovere uno scambio informativo allargato pubblico-privato, per accrescere il grado di conoscenza collettiva della minaccia e per aumentare la capacità sistemica di prevenzione e contrasto.

1. https://www.osservatori.net/it/prodotti/formato/grafici-interattivi/le-priorita-di-investimento-in-innovazione-di ↩︎
2. Corriere della Sera 15.02.2021 “Cyberattacchi: + 246%, un’azienda su 4 paga” di Milena Gabanelli e Mario Gerevini. ↩︎
3. Department of Defense, Leadership and Management, Strategic Leadership Primer, U.S. Army War College, 2010. ↩︎
4. https://www.iso.org/iso/catalogue_detail?csnumber=63411 ↩︎
5. https://www.iso.org/iso/catalogue_detail.htm?csnumber=52075 ↩︎
6. https://clusit.it/rapporto-clusit/ ↩︎
7. https://it.wikipedia.org/wiki/Regolamento_generale_sulla_protezione_dei_dati ↩︎
8. https://clusit.it/wp-content/uploads/2017/02/direttiva_nis.pdf ↩︎
9. http://www-03.ibm.com/security/data-breach ↩︎