Entro il 31 dicembre 2022 dovrebbe essere approvata la nuova Legge di Bilancio che prevede, tra le altre misure, la costituzione di due nuovi fondi contro i cyber attacchi.
Il Corriere della Sera ha pubblicato un articolo nel quale viene spiegato a cosa servono questi due fondi:
Le novità riguardano la strategia nazionale di cybersicurezza, con l’istituzione di due fondi. Il primo è destinato agli interventi per l’autonomia tecnologica e il potenziamento del livelli di cybersicurezza dei sistemi informativi, con 70 milioni nel 2023 e ulteriori 90 milioni nel 2024. Il secondo fondo riguarda la gestione della cybersecurity e prevede 10 milioni per il 2023, e altri 120 milioni nel biennio successivo.
Corriere della Sera (Link all’articolo)
L’argomento è interessante perché raramente si discute di quanto sia costoso il mantenimento della cybersecurity ma molte pubbliche amministrazioni e aziende private s’imbattono nel problema quasi fisiologicamente.
Il problema dei costi
Il problema non è da cercare tanto nella parte di cybersecurity ma nella gestione dei sistemi informativi. A molti non sarà sfuggita una lettera che la Direzione di GSE (oggetto di data breach nell’agosto 2022) ha inviato al quotidiano La Verità (che trovate qui) e che viene riportata nelle sue parti ritenute salienti.
In relazione all’articolo “Gse, affidamenti diretti per fatture anziché blindare la Cybersecurity” pubblicato lo scorso 30 ottobre, è opportuna qualche precisazione. L’attuale sistema IT, stratificato in molti anni, è oneroso da mantenere, lento da aggiornare e inefficiente da gestire: la migrazione verso un sistema integrato si è resa pertanto necessaria per migliorare efficienza e controlli interni. Il sistema SAP, la cui licenza d’uso pesa per oltre la metà della cifra citata nell’articolo, è stato scelto a inizio anno a esito di una procedura pubblica. Tra l’altro, questo sistema comporterà il passaggio da server fisici ad attività in cloud, in cui la sicurezza è notoriamente maggiore perché affidata ai continui investimenti fatti dal fornitore stesso.
La Verità
Il problema economico nel processo di consolidamento dei CED è noto: anni di investimenti compiuti per l’acquisizione di licenze, server, reti, ora si traducono nella necessità fisiologica di doverle mantenere a standard di sicurezza che, seppur non elevati, rappresentano un costo sempre più ingente.
Dov’è il problema?
Non c’è stato un singolo problema ma una contingenza di fattori: il primo è stato la mancata strategia di evoluzione dei sistemi che porta strutture pubbliche e private a fare uso di server ormai obsoleti e insicuri. Un secondo problema ha riguardato la competenza con cui sono state condotte le progettazioni dei sistemi informativi ed i relativi acquisti di apparati e componenti: spesso, osservando da vicino le storie degli utenti, le decisioni sono state acquisite dalle aziende fornitrici su base di convenienza più che su base di reale necessità/possibilità di manutenzione. Infine c’è stato un generico ritardo nell’acquisire le corrette competenze su cloud, virtualizzazione e argomenti affini che, indubbiamente, avrebbero potuto sviluppare tecnologie più sicure e meno costose.
Kaspersky ha pubblicato un interessante studio dal titolo “Cybersecurity per l’azienda: calcolare i costi, trovare il valore” (link al documento) nel quale si stimano costi annuali per oltre 50.000 dollari. Si tratta chiaramente di costi stimati sulla base di ricerche compiute dalla Kaspersky ma è interessante esaminare come tale spesa annuale venga contrapposta ai costi di violazione.
Una violazione rilevata quasi immediatamente costa alla PMI in media $ 28.000, arrivando fino a $ 105.000 se passa inosservata per più di una settimana.
Kaspersky Lab “Cybersecurity per l’azienda: calcolare i costi, trovare il valore”
Ma ancora più interessante è l’affermazione legata alla mancanza di competenza interna destinata al rilevamento delle minacce.
Nonostante più della metà (il 54%) delle piccole e medie imprese creda che a un certo punto la loro sicurezza IT sarà compromessa, e comprenda il ruolo fondamentale della preparazione la prevenzione e l’individuazione delle minacce, il 40% afferma di non disporre di intelligence o informazioni dettagliate sufficienti sulle minacce che si trovano a dover affrontare.
Kaspersky Lab “Cybersecurity per l’azienda: calcolare i costi, trovare il valore”
ll problema dei costi è quindi relativo: andrebbe messo in relazione alla composizione del sistema informativo, agli strumenti adottati, alla loro reale efficacia e al loro aggiornamento.
Conclusioni
La Legge di Bilancio è indubbiamente un primo passo verso il cambiamento di mentalità ma non può essere lo “strumento definitivo”: questo perchè il denaro utilizzato per la cybersecurity non dovrebbe essere inteso come “costo” bensì come “investimento“, aspetto assolutamente trascurato al momento. Ci si dovrebbe basare su una logica di prevenzione e non di riparazione: sia per abbreviare i tempi conseguenti ad un incidente, sia per garantire risposte più efficaci.