Le frodi attraverso la carta di credito fornita dal cliente per un pagamento o il furto di identità per i dati carpiti a seguito della registrazione a un sito di e-commerce sono sempre più frequenti e minano quotidianamente la fiducia dei clienti e la reputazione dell’azienda ritenuta non sicura. In un periodo di veloce trasformazione digitale come quello che stiamo attraversando, il successo di un cyberattacco perpetrato a un ristorante, a un supermercato o a un rivenditore si ripercuote a cascata sul consumatore finale.
Il rischio cresce esponenzialmente quando si ha a che fare con realtà più complesse come la pubblica amministrazione, con la quale si è spesso obbligati a interloquire in remoto per l’impossibilità di accedere fisicamente agli uffici. L’Agenzia dell'Unione Europea per la sicurezza informatica (ENISA) segnala che, tra l'aprile 2020 e il luglio 2021, i cinque settori più colpiti in base alle denunce ricevute dall’autorità sono stati proprio i siti della PA (198 incidenti segnalati), seguiti dai fornitori di servizi digitali (152 incidenti), dagli operatori della sanità (143 incidenti) e dalle aziende del settore finanziario/bancario (97 incidenti).
I sistemi di sicurezza vulnerabili sono una vera miniera per chi perpetra il cybercrime. Nella sola Gran Bretagna, ad esempio, le segnalazioni di attacchi ransomware sono aumentate di oltre il 3000%, passando dalle 171.000 del biennio 2019/20 ai 5,5 milioni nel 2020/21 (fonte: ActionFraud).
Il rapporto della Polizia Postale italiana sulle frodi informatiche aggiornato al 2022 segna un aumento del 98% degli arresti rispetto al 2020 e del 17% per il numero di persone denunciate, ma con attentati nell’ordine dei milioni ogni giorno, non c’è da star tranquilli.
Gli attacchi informatici non mirati come il phishing e il ransomware sono all’origine della crescita dilagante delle infrazioni mentre le opportunità che si propongono ai criminali informatici sono ogni giorno di più. Sono a rischio i dati personali degli utenti individuali, ma anche i complessi sistemi delle grandi aziende, con le notizie eclatanti dei brand famosi che in tempi recenti hanno visto violata la propria sicurezza.
Queste premesse ci dimostrano che nessuno è al sicuro e che sono necessarie una serie di iniziative di difesa comuni con un’autorità centralizzata che ponga standard precisi.
L’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) dimostra l’impegno volto a recuperare il tempo perduto dall’Italia in passato, e contribuisce a fornire un quadro legislativo chiaro nel settore della cyber security.
Il quadro legislativo nazionale vigente è in fase di completamento mediante la pubblicazione del quarto decreto di accredito dei laboratori, strutture basate in Italia e dotate di strumentazione e metodologie di test che, garantendo autorevolezza nei risultati, assicurando in sostanza una cosiddetta sovranità digitale nel nostro paese.
Strumenti e procedure standardizzate che rispettano il Time-To-Market sono anche un passo concreto verso il coordinamento con le discussioni sui tavoli europei per un approcio “European Common Criteria” (CC) alle certificazioni di cyber security. Ma queste azioni ci possono fare stare tranquilli?
«Solo una metodologia di test standardizzata e riconosciuta – dichiara Luca Piccinelli, Cybersecurity and Privacy Officer di Huawei Italia - riuscirà a consentire, nell’ambito della cyber security, sicurezza e qualità alle imprese e agli utenti finali, come lo è stato, ad esempio, nel settore delle telecomunicazioni la standardizzazione a livello internazionale delle tecnologie GSM, UMTS, LTE e 5G che ha permesso da oltre 20 anni lo sviluppo dei sistemi cellulari e l’utilizzo capillare degli smartphone da parte di tutti gli utenti. Ora il nuovo passo da compiere è rendere più sicure le comunicazioni e le reti. La standardizzazione rimane quindi centrale nell’ambito di tale processo, a garanzia finale dell’industria e del consumatore.»
I tavoli di lavoro in Europa
L’approccio standard dei Common Criteria è già consolidato a livello europeo e globale, con diversi livelli di certificazione rispondenti a complessità diverse ma omogenee al contesto in cui l’apparato si trova. Nel rispetto della sovranità nazionale in ambito di controllo, nel panorama europeo e in una logica di competitività sarebbe auspicabile che i test sugli stessi prodotti non debbano essere ripetuti, e che i certificati emessi in Italia siano riconosciuti in Europa e viceversa. È lecito domandarsi semmai se, in questo modo, si abbassi l’asticella del livello di sicurezza.
«Per ogni contesto va definito un cosiddetto ‘security target’ – continua Piccinelli - cui corrispondono profili di sicurezza diversi. L’attuale discussione in sede europea sui diversi tavoli di lavoro, anche con il contributo di nostri partner e clienti, sta portando al consolidarsi dei cosiddetti European Common Criteria, che rappresentano una metodologia di test riconosciuta a livello europeo. Probabilmente non sarà possibile completare i lavori in tempi brevi ma auspichiamo che, non appena conclusa l’attività, le metodologie di certificazione del Centro Italiano di Certificazione e Valutazione Nazionale (CVCN) presso l’Agenzia per la Cybersicurezza Nazionale possa raccordarsi con lo schema europeo. Dal nostro canto, possiamo dire che Huawei già sta investendo mediante certificazioni volontarie Common Criteria presso l’ACN, portando alcune delle certificazioni, in passato effettuate in altri laboratori a livello europeo e globale, qui in Italia.»
Nell’ambito di un tessuto produttivo come quello italiano, fondato sulla PMI e sul rapporto di fiducia tra questa e milioni di clienti, sorge il dubbio che il rispetto degli European Common Criteria possa pesare su un quadro normativo già complesso che per il piccolo imprenditore rappresenti una ulteriore fonte di preoccupazione in merito ai possibili ritardi sul Time-To-Market.
«Nei vari Paesi europei, e nello specifico anche in Italia – precisa Luca Piccinelli in merito - sono in discussione sui tavoli di lavoro degli stakeholder di cyber security, istituzionali e non, possibili approcci semplificati di Common Criteria. Sono procedure ridotte che consentirebbero, soprattutto per le piccole aziende, tempi e costi di certificazione contenuti. Questo approccio andrebbe a vantaggio del Time-To-Market, ma comporterebbe il rischio di una localizzazione della metodologia di test potenzialmente in conflitto con la standardizzazione delle procedure e il riutilizzo delle certificazioni in più Paesi europei.»
È in questo ambito che il coinvolgimento italiano ai tavoli di lavoro della Comunità rappresenta un contributo determinante nel proporre una metodologia di impronta Common Criteria semplificata ma efficace, capace di rispondere contemporaneamente ai requisiti industriali di velocità e resilienza. Le soluzioni in quest’ambito non mancano, come suggerisce lo stesso Piccinelli: «un’analisi preliminare dei certificati Common Criteria, già in portafoglio dei prodotti delle aziende ICT, potrebbe evitare inutili ripetizioni di test e verifiche, già effettuate su stesse versioni software e/o similari, intervenendo magari “ad hoc” sulle sole differenze. Potrebbe infine essere utile la composizione di una “White List” puntuale dei prodotti certificati CC e/o EU CC in futuro e strutturare verifiche puntuali solo nell’ecosistema di rete “live” del progetto in cui il prodotto viene inserito.»
/https%3A//www.repstatic.it/content/contenthub/img/2022/07/27/143305534-8e955f55-f941-4c8c-a636-e4f27c994101.jpg)
/https%3A//www.repstatic.it/content/contenthub/img/2023/05/25/124911132-cca9574d-115d-4fa0-9a00-cf43f9767e07.jpg)
/https%3A//www.repstatic.it/content/contenthub/img/2023/05/17/105631916-57cdc5cb-40ce-4ac2-9c5d-57843dc87a46.jpg)