Pagine

Visualizzazioni totali

domenica 7 aprile 2013

Le tenaglie di Efesto: stato della sicurezza informatica in Italia


Ultimo in Europa per investimenti e applicazione dell'ICT Security, il nostro Paese è drammaticamente indietro su tutto il fronte "digitale". Mancano gli organismi istituzionali e, soprattutto, manca la cultura della sicurezza. Questo si traduce in mezzo punto di PIL perso ogni anno.  Efesto, figlio di Zeus e di Hera, il fabbro che costruiva le splendide armi degli dei dell'Olimpo, dio greco del fuoco, della tecnologia, dell'ingegneria, della scultura e della metallurgia... I suoi simboli sono il martello da fabbro, l'incudine e le tenaglie.Questo articolo vuole essere un richiamo alla realtà, un grido di dolore, una non politicamente corretta provocazione (intesa in senso costruttivo) sullo stato della Sicurezza informatica in Italia.Il problema è che il nostro Paese sta accumulando un ritardo patologico, drammatico ed estremamente dannoso per quanto riguarda l'uso efficace e sicuro delle nuove tecnologie digitali. Siamo a livelli di guardia. Le tenaglie di Efesto, dio greco della tecnologia notoriamente vendicativo e dal cattivo carattere, si stanno stringendo su di noi, ogni giorno che passa, e minacciano di sfracellarci. L'Italia è praticamente ultima in classifica in ambito europeo sia per investimenti sia per applicazione dell'ICT Security, pur essendo un Paese per certi aspetti tecnologicamente molto avanzato. Per esempio, abbiamo una discreta diffusione della banda larga fino a 2Mbit (nonostante alcune zone siano servite pessimamente) superiore per esempio a quella di Francia o UK (chi l'avrebbe mai detto). Ma nonostante questo, il valore aggiunto dato all'economia italiana dalla penetrazione di Internet a banda larga è il più basso d'Europa (forse perché mediamente mastichiamo poco e male le lingue straniere). Abbiamo anche il più alto numero di smartphone pro-capite (oggi sono nelle tasche del 50% di chi possiede un cellulare, ma arriveremo al 90% in due-tre anni, cioè a 50 milioni di apparecchi). Questo, ci dicono le ricerche di mercato, perché sono uno status symbol. Perché così possiamo stare collegati a Facebook anche quando siamo fuori casa, da scuola o dall'ufficio.

Il problema è culturale

Il problema quindi non è che siamo particolarmente arretrati. È che usiamo "malissimo" le tecnologie digitali. L'Italia non sta al passo "culturalmente" e quindi perde terreno su tutti i fronti. Oltre a far fuggire all'estero migliaia dei suoi figli migliori (dopo averli allevati e formati a caro prezzo), il nostro Paese complessivamente investe in ICT una percentuale del PIL che è la metà di quella della Germania e in R&D cifre pericolosamente basse, oltre che decrescenti. La Sicurezza Informatica in particolare è tuttora considerata una sorta di ancella povera , scorbutica e iettatrice dell'ICT, invece che un tema strategico, di interesse nazionale, dotato di una propria dignità e imprescindibile come la sicurezza stradale o sul lavoro. Così l'Italia investe in formazione sul tema specifico dell'ICT Security (consapevolezza generale e formazione tecnica) cifre prossime allo zero.  Il risultato è che solo il 2% degli utenti italiani di smartphone si pone il problema di proteggerli con qualche sistema antimalware, il che significa che abbiamo oggi 20-25 milioni di smartphone non protetti in circolazione nel nostro Paese, una minaccia potenzialmente molto grave di cui nessuno vuole parlare. L'80% di questi device non è nemmeno protetto da password.  D'altra parte i nostri migliori giovani "hacker", quelli buoni intendo, tutti rigorosamente autodidatti per mancanza di scuole adatte, vivono ancora con la mamma, oppure lavorano all'estero e "per" l'estero. Quei pochi che resistono passano da un contratto a progetto all'altro, trattati come carne da cannone, finché non trovano un'occasione fuori dall'Italia, dove gli offrono cinque volte tanto quello che gli elemosiniamo qui. E non ritornano.

Spread e ICT Security

È ragionevole pensare quindi che una quota significativa del famigerato "spread" tra Buoni del Tesoro italiani e tedeschi derivi in realtà da questa crescente discrepanza tra i livelli medi di cultura informatica e di ICT Security degli altri Paesi e quello dell'Italia. Facciamo qualche esempio.  L' Italia non si è ancora dotata di un CERT unico (Computer Emergency Response Team). Abbiamo diversi team che si occupano con competenza di incident response, ma non siamo ancora riusciti a costituirne uno a livello nazionale, il che significa che siamo ciechi di fronte alle minacce informatiche di natura sistemica che oggi gravano su qualsiasi nazione avanzata. Andiamo alle conferenze internazionali e ci chiedono: "dov'è il rappresentante del vostro CERT"? Noi a denti stretti rispondiamo "non ce l'abbiamo". Un altro esempio: quando si parla di minore produttività dell'Italia rispetto ad altri paesi, si deve anche ricordare che da noi il ripristino dopo un incidente informatico importante richiede, in media, il doppio del tempo e il triplo dei costi rispetto ai paesi realmente avanzati. Il fatto è che da noi i concetti-chiave di risk assessment, disaster recovery e crisis management in ambito ICT sono ancora considerati problematici, oscuri, e quando si affrontano se ne parla a bassa voce, facendo le corna sotto il tavolo per scaramanzia. Inoltre quasi nessuno testa mai veramente le proprie infrastrutture, i propri backup, le proprie procedure di emergenza prima che avvenga un incidente. Si fanno interventi cosmetici in ossequio alle normative, si producono carte, confidando nella buona sorte. Ammettiamolo. Purtroppo lo "Stellone" nulla può in un mondo globalizzato, nel quale le minacce cyber arrivano in tempo reale da ogni angolo del pianeta, 24 ore su 24, feste comandate incluse.  Ci stanno rubando anche le mutande, e non solo metaforicamente: il bersaglio principale sono le nostre PMI ad alto valore aggiunto, che stanno subendo un'emorragia di proprietà intellettuale, senza nemmeno accorgersene,  sottratta da parte di cyber-vampiri di ogni nazionalità. Così il nostro know-how, il nostro design, i nostri brevetti finiscono nelle mani dei competitor, con danni incalcolabili (e che nessuno calcola). Le aziende chiudono anche per questo, al giorno d'oggi.

Disarmati digitali

Altro fatto singolare: l'Italia, ottava economia del mondo (era la quinta 20 anni fa) non ha una dottrina ufficiale in merito alla Cyber Warfare. Ci stiamo lavorando da anni, è vero, ma di fatto siamo l'unico Paese avanzato a non averla ancora pubblicata. Di conseguenza siamo drammaticamente indietro in un contesto che si evolve alla velocità della luce. A una recente riunione dei Ministeri della Difesa dei paesi del Sud-Est Europa, alla quale sono stato invitato per tenere un seminario sulle connessioni tra cyber crime e proliferazione incontrollata delle armi digitali, abbiamo percepito un livello di competenza, di attenzione e di fattive realizzazioni in questo campo che da noi sono sconosciuti. Per fare un esempio, se oggi la Croazia (Paese amico, fortunatamente) decidesse di attaccare l'Italia nel cyberspazio, ci farebbe a pezzi. Per non parlare di una grande potenza. Facciamo altri esempi. Nelle scuole, la sicurezza informatica semplicemente non esiste (tranne lodevoli eccezioni, faticosamente realizzate da volontari). I nostri giovani, i famigerati "nativi digitali", non sanno nulla di ICT Security, pur essendo tutti rigorosamente dotati di smartphone di ordinanza, sempre connessi sui Social Network e quindi esposti a ogni genere di minaccia. Gli adulti, in quanto a scarsa consapevolezza, non sono da meno. Negli approvvigionamenti, né la PA né le aziende private tengono conto degli aspetti di Information Security, sia per quanto riguarda i contratti sia per quanto riguarda il contenuto di quello che acquistano. Di conseguenza finiscono per comprare prodotti e servizi intrinsecamente insicuri, oppure per implementarli e configurarli in modo insicuro, senza alcuna garanzia né tutela in caso di incidenti.

Forse per questo in due giorni qualsiasi del gennaio 2013 sono stati "defacciati" da script kids di ogni parte del mondo (turchi, filippini, pakistani, brasiliani…) i siti di 70 comuni italiani. Oppure, come emerge da una recente ricerca, è per questo motivo che il 44% dei pc italiani se attaccati da un malware vengono infettati, contro il 20% di quelli danesi. A parità di sistema operativo e di minacce informatiche, che sono uguali per tutti, che cosa causa il raddoppio del tasso di compromissione dei PC italiani rispetto alle loro controparti del nord Europa? Da un lato la mancanza di policy di sicurezza (o il loro sistematico aggiramento) e di sistemi tecnologici per la loro imposizione e, dall'altro, la mancanza di cultura degli utenti. Così, mentre i reati informatici aumentano in modo esponenziale, le nostre forze dell'ordine cercano di fare il possibile, sopportando stoicamente una carenza cronica di uomini e mezzi che non è degna di un Paese tecnologicamente avanzato.
Come abbiamo scritto già sul primo Rapporto Clusit sulla Sicurezza ICT in Italia, tutto questo ha un costo importante e del tutto sottovalutato. Nel frattempo, nonostante il varo della tanto sospirata Agenda Digitale Italiana, che sulla carta include una serie di importanti "Linee di Azione sulla Cyber Security", negli ultimi 12 mesi dal punto di vista della sicurezza informatica applicata in Italia non è cambiato nulla. Il che significa che abbiamo perso molto terreno, dato che nel 2012 il numero degli attacchi informatici nel mondo è più che raddoppiato ogni semestre. Anche l'annunciato comitato per la sicurezza informatica sembra essere rimasto nelle intenzioni.

Mezzo punto di Pil perso


Per quanto nel nostro Paese non esistano statistiche ufficiali in merito ai danni diretti e indiretti derivanti da incidenti informatici, per analogia con economie simili per le quali i dati sono disponibili (per esempio quella inglese) dobbiamo presumere che i danni complessivi in Italia siano ammontati nel 2012 a 2-3 decine di miliardi di euro (escluso il valore della proprietà intellettuale che ci viene silenziosamente sottratta). Una cifra enorme, nel silenzio più assordante della politica, dei media mainstream e di tutti gli stakeholders, pubblici e privati, che dovrebbero occuparsene. Se riducessimo queste perdite a livelli fisiologici e conseguissimo i vantaggi che un utilizzo più maturo, sicuro ed efficace delle tecnologie ci potrebbe dare (stimati da Confidustria in 50 miliardi all'anno), potremmo avvicinarci a recuperare mezzo punto di PIL. Considerata la fase storica di grave crisi economica che stiamo vivendo, la nostra scarsa attenzione per la sicurezza informatica si mostra per quello che è, una "distrazione" incomprensibile, masochista e sempre più costosa.  Una distrazione che ci espone oltre tutto a rischi straordinari, perché determina una particolare fragilità delle nostre infrastrutture critiche e di tutti i sistemi informatici (utilizzati da banche, telco, trasporti, media, logistica, sanità, etc) che ormai sono diventati l'ossatura della nostra economia e della nostra società civile.

Emergenza security

Questa crescente arretratezza dell'Italia in tema di ICT Security va ridotta al più presto, non possiamo permetterci nemmeno un altro anno di inerzia come quello appena trascorso. Per questo nel Rapporto Clusit 2013, che è stato presentato ufficialmente a marzo nell'ambito del Security Summit di Milano, abbiamo lanciato nuovamente il nostro grido di allarme, dati alla mano, nella speranza di essere ascoltati e che qualcosa inizi a muoversi. La pressione delle tenaglie di Efesto sull'Italia rischia di schiacciarci come i proverbiali vasi di coccio tra i vasi di ferro: non solo questo è insostenibile già nel breve-medio termine, ma è, realisticamente, del tutto inaccettabile. Abbiamo le competenze, le capacità e perfino le risorse economiche, volendo, per sanare questa situazione. Ma dobbiamo agire adesso,a prescindere dalle vicende politiche e dal periodo di ristrettezze finanziarie. L'alternativa è consegnare il nostro Paese (le sue imprese, le sue istituzioni e i suoi cittadini) nelle mani di cyber criminali, spie e potenze ostili, lasciando che diventi un Far West digitale, condizione dalla quale sarebbe poi difficilissimo uscire e che avrebbe un impatto tremendo sull'economia interna, sugli investimenti stranieri e sulla qualità della vita dei nostri cittadini. Al ritmo attuale di allargamento della forbice in materia di Information Security tra il nostro e gli altri paesi avanzati, e del contestuale incremento delle minacce informatiche, si rischia di relegare l'Italia tra i paesi del terzo mondo, sancendo la sua totale irrilevanza nel Cyberspazio. E questo, spero siamo tutti d'accordo, non deve succedere. Non ce lo possiamo permettere.

Fonte: Tom’s Hardware – Autore: Alessandro Zapparoli Manzoni
(Andrea Zapparoli Manzoni, Presidente de iDialoghi, Direttore Generale di Security Brokers, membro del Consiglio Direttivo di Clusit e di Assintel, membro dell'Osservatorio per la Sicurezza Nazionale)