Cyber security, Nomisma mette in luce le nuove sfide da affrontare, i punti di forza e di debolezza del sistema Italia. Le linee guida dell'Ocse.

Non bisogna più chiedersi se in futuro subiremo (privati, società, istituzioni) un attacco informatico dalle conseguenze più o meno dannose, ma solo “quando” lo subiremo e quindi quali saranno gli effetti. Comincia da qui, da questo cambiamento di scenario, l’ultima ricerca di Nomisma, condotta per Itway e volta a diffondere la cultura della cyber security attraverso un’analisi delle necessità, delle soluzioni possibili e del sistema industriale che a livello globale, europeo e italiano offre servizi per la sicurezza cibernetica. Ed è un inizio inquietante, perché questo cambiamento di scenario mette in discussione tre decenni di progettazione e di gestione dell’ICT, inclusi i più recenti sviluppi in materia di Cloud, Mobile, Social Media e Internet of Things, e ha a cascata quattro conseguenze di non poco rilievo: fa diventare improvvisamente obsolete molte delle prassi consolidate; crea il rischio che saltino tutte le previsioni di spesa per la sicurezza; coglie in contropiede sia la società nel suo complesso, sia le istituzioni; trova impreparata la maggior parte dei venditori di tecnologie e degli addetti ai lavori. I dati lo dimostrano: in uno studio condotto nel corso del 2014 da FireEye (“Maginot Revisited: More Real World Results from Real World Tests”) sono state monitorate su scala globale 1.600 aziende appartenenti a 20 diversi settori merceologici. In media, la percentuale di organizzazioni compromesse è stata superiore al 95%, con alcuni particolari settori (Legal, Healthcare e Pharma, Retail) che hanno avuto un tasso di compromissione del 100%.

Il problema dunque è come prepararsi all’attacco. E la parola d’ordine è “Cyber Resilience”, cioè (spiegazione del World Economic Forum), la capacità dei sistemi e delle organizzazioni di resistere a eventi critici informatici, misurata dalla combinazione di tempo medio di crisi e il tempo medio di recupero. Gli Stati Uniti ne hanno fatto uno dei pilastri della loro strategia già dal 2013. Il Dipartimento per la Sicurezza nazionale americano definisce il termine “resilience" come la capacità di adattarsi ai cambiamenti e di resistere e recuperare rapidamente da eventi distruttivi che generano situazioni di emergenza. Che si tratti di atti di terrorismo, attacchi informatici, pandemie o catastrofi naturali, la preparazione nazionale è ritenuta responsabilità comune di tutti i livelli di governo, del settore privato e senza scopo di lucro e dei singoli cittadini. L’Unione Europea sta lavorando su questo obiettivo dal 2009 con il progetto dell’ENISA “European Public-Private Partnership for Resilience“. L’Italia ha compreso il tema della sicurezza nel suo Quadro Strategico Nazionale.

Anche per questo il mercato della sicurezza informatica a livello mondiale continua a crescere e a svilupparsi. Le stime vanno da 75 miliardi di dollari nel 2015 a 170 miliardi entro il 2020, con un tasso di crescita annuo composto (CAGR) del 9,8% 2015-2020. Il Nord America e l’Europa sono i principali contributori al reddito del settore della sicurezza informatica. L’Asia-Pacifico sta rapidamente emergendo come mercato potenziale per i fornitori di soluzioni di sicurezza informatica, guidati da economie emergenti come Cina, India e paesi dell'Asia del Sud-Est. Basti pensare che, secondo i Lloyd di Londra, la criminalità informatica sta costando alle aziende fino a 400 miliardi di dollari l'anno. Alcune previsioni parlano di 500 miliardi di dollari. Non a caso nel 2014 il settore assicurativo ha generato circa 2,5 miliardi di dollari in premi sulle politiche per proteggere le aziende da perdite a seguito di attacchi informatici.

Il mercato Europeo è destinato a crescere a 35,53 miliardi di dollari entro il 2019, del 7,2% nel periodo 2013-2019. Quanto all’Italia, l’edizione 2015 del Rapporto Assinform ha reso noto che il mercato nazionale della sicurezza nel 2014 ha registrato un’espansione del 2% per un valore pari a 772 milioni di euro (750 nel 2012, 757 nel 2013).

Ma a testimoniare ritardi e sottovalutazioni si può dire che sia davvero poco conosciuto il mondo delle imprese che offrono tecnologie e servizi avanzati nel campo della sicurezza informatica. Secondo la ricerca di Nomisma, in Italia il settore Ict conta più di 75.400 imprese e 456 mila addetti, concentrati nelle pmi, la maggior parte operanti nell’ambito dei servizi (all’incirca 70%), a fronte, sempre all’incirca, del 23% nel software, del 5% nelle telecomunicazioni e dell’1,5% nella produzione di hardware. La crisi ha colpito duro anche in questo comparto, ovviamente. Nel complesso, dal 2010 al 2013, il settore ha subito la perdita di più di 7 mila imprese attive. Con conseguente perdita anche di occupazione. E come nel resto dell’Europa permangono problemi di competenza (da qui anche le numerose partnership delle imprese con Atenei ed enti di formazione superiore): l’indagine Cepis e-Competence Benchmark ha messo in luce che in Europa la carenza di professionisti qualificati nel settore ICT frena la capacità di rilanciare la crescita economica e la competitività. Nel 2020 in Europa vi saranno 900 mila posti vacanti nell’ICT.

In sostanza, le prospettive e i dati di base fanno ben sperare. I punti di forza ci sono: un sistema industriale dedicato alla sicurezza cibernetica che – pur avendo sofferto durante la crisi - ha le capacità e le risorse per riorganizzarsi e continuare a crescere; un produttore di conoscenza (l’accademia) che ha compreso da tempo la rilevanza del tema e su questo ha investito; un settore pubblico sensibile al tema e sul punto di avviare una nuova stagione di investimenti importanti con i Fondi europei 2014-2020. Il successo dipenderà, però, dalla capacità di dare risposte rapide ed efficaci al nuovo contesto. E vi sono anche punti di debolezza da non sottovalutare in Italia: una domanda scarsamente consapevole, soprattutto se espressa da imprese ed enti di piccole dimensioni, molto contenuta rispetto al rischio effettivo, come emerge con evidenza dalla ricerca realizzata da Nomisma per il Dipartimento delle Informazioni per la Sicurezza lo scorso anno (“Percezione della minaccia cibernetica nelle imprese italiane”); una declinazione ancora poco chiara circa il ruolo le imprese della sicurezza cyber possono giocare all’interno della partnership pubblico-privato più volte auspicata nei documenti strategici del Governo; i vincoli stringenti (patto di stabilità, spending review) che limitano la capacità di spesa della PA (locale, in particolare).

Molto dipenderà dunque dall’efficacia dell’Agenda Digitale italiana, che, anche con il supporto delle risorse comunitarie della nuova programmazione, può rappresentare il contesto attraverso cui avviare una positiva collaborazione pubblico-privato.

L'Ocse, l'organizzazione dei paesi più industrializzati, ha adottato sul tema della sicurezza digitale alcune linee guida da seguire e raccomandazioni per governi e manager di impresa. Anche l'Ocse, infatti, ribadisce che il rischio per la sicurezza digitale dovrebbe essere considerato un problema di ordine economico e non solo tecnologico, e dovrebbe essere integrato nei processi decisionali di ogni organizzazione. Un ambiente digitale globale, interconnesso, aperto e dinamico genera notevoli opportunità economiche, ancora più promettenti - sostiene l'Ocse - se si pensa alla crescente diffusione dell'Internet delle cose e dei Big Data. Tuttavia, Paesi e aziende sono esposti a minacce sempre piu' sofisticate e crescenti che possono mettere in pericolo la sicurezza delle informazioni e compromettere la prosperita' economica e sociale. La Raccomandazione dell'OCSE sulla Digital Security, adottata nei giorni scorsi, chiede a governi e vertici aziendali di assumersi la specifica responsabilita' della gestione del rischio della sicurezza digitale integrandola nella pianificazione generale.