Andrea Chittaro, Direttore del Dipartimento Global Security di Snam e membro del Comitato Tecnico Scientifico dell'Agenzia per la Cybersicurezza Nazionale che cosa si intende per cybersicurezza?
«Il tema della cybersicurezza è un tema pervasivo e complesso: E' strettamente legato al processo di digitalizzazione che ha aperto decine di migliaia di porte sulle nostre vite e sulle nostre attività, 40 anni fa parlavamo solo di sicurezza fisica e le porte aperte erano 2 o 3. Uso spesso questa metafora per spiegare il nostro livello di esposizione al rischio, anche nella vita di tutti i giorni».
Che ruolo gioca l'ACN?
«L'Agenzia per la Cybersicurezza è un ente nazionale alle dirette dipendenze del Presidente del Consiglio dei Ministri che ha il compito di definire le regole generali cui le aziende, come Snam, si devono adeguare per definire la propria postura di cybersicurezza cioè l'insieme di azioni che riguardano lo stato della sicurezza di una rete aziendale, la capacità di organizzarne le difese e l'efficienza nel rispondere ad eventuali attacchi».
Ora la cybersecurity è entrata nelle strategie di guerra....
«Fino a qualche anno fa parlando di rischio cyber si pensava prevalentemente a attacchi hacker per motivi economici ovvero cripto i dati e poi chiedo il riscatto o rubo i dati e minaccio di pubblicarli e nessuno si può considerare immune da questi rischi. Oggi però il rischio è su scala globale: se prima gli attacchi erano giustificati da motivi di competitività economica, con la guerra in Ucraina è diventato un tema geostrategico: negli attacchi state sponsored la potenza di fuoco aumenta e i rischi diventano esponenziali».
Questo riguarda anche le singole aziende, magari con un mercato solo italiano?
«Nessuno è esente da rischi e a nessun livello geografico. Non possiamo pensare di risolvere il problema esclusivamente con soluzioni tecnologiche perchè, per esempio, gli stessi dipendenti possono diventare ponte per un eventuale attacco».
In che senso?
«Se a un dipendente vengono rubate le credenziali attraverso tecniche di ingegneria sociale o phishing è altamente probabile che dopo qualche mese gli hacker blocchino i sistemi informatici dell'azienda e chiedano un riscatto».
Ma le aziende sono sole in questa guerra?
«No, la cybersicurezza è un'azione globale che coinvolge le istituzioni, le aziende e il mercato in un modello virtuoso di collaborazione. Ogni azienda deve essere consapevole del problema e deve avere un'organizzazione interna per poter fare scelte coerenti con i propri obiettivi di business».
Come scegliere il modello da adottare?
«Dipende dalle dimensioni dell'azienda e dal mercato su cui insiste, dalle sfide competitive, dalla propensione al rischio e dalla capacità di gestirlo. Tutti questi elementi hanno portato le aziende a dotarsi al loro interno di una salda governance. In sostanza la cybersicurezza non è un accessorio di lusso, ma deve saper completare il business per creare valore».
C'è un tema di cultura e di consapevolezza che forse orienta la scelta di fare un certo investimento...
«Sicuramente in Italia sta crescendo una cultura, che ancora troppo spesso è di tipo reattivo: mi allerto quando succede qualcosa. Bisogna invece giocare d'anticipo proprio perchè in questo campo non esistono confini: la criminalità si è infiltrata in questo campo e gli attacchi possono arrivare al cuore del sistema. Si rischiano furti di dati, di interi progetti, di know how che a volte è il core business dell'azienda».
Cosa fare dunque?
«Anche i dipendenti devono diventare consapevoli del problema, come tutti i cittadini d'altronde, e l'Agenzia, le Associazioni come AIPSA e le Università lavorano per colmare questo gap culturale».
Come possono fare le piccole imprese che devono fare i conti con la sostenibilità economica per correre ai ripari?
«Sicuramente devono fare una fotografia dello stato dell'arte della propria sicurezza per poi sviluppare un modello di organizzazione interna che permetta di gestire eventuali attacchi. In base all'autodiagnosi faranno delle scelte perchè la sicurezza è una questione di scelte».
È necessario per un'azienda avere tutto il dipartimento della sicurezza interna?
«No, ma è fondamentale che abbiano delle competenze interne che permettano di gestire anche i contributi esterni».
- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.
