Chi ha esigenze evolute di cybersecurity vuole sempre più tecnologie adattabili e aperte all'integrazione, in un modello di sviluppo in cui è l'utente a dettare le regole
Autore: f.p.
Volendo scegliere un segnale forte tra i tanti che il Cybertech 2024 edizione romana ha mandato, è certamente quello che sottolinea la necessità, oggi, di alzare l'asticella della cybersecurity se si vogliono contrastare efficacemente le minacce attuate dai threat actor più pericolosi. "L'Europa deve ampliare le sue tradizionali strategie di sicurezza" - ha spiegato tra l'altro Roberto Cingolani, CEO e General Manager di Leonardo - e in questo scenario "la cybersecurity ha un ruolo chiave nel garantire una sicurezza globale".
L'idea espressa da molti esperti e osservatori che hanno calcato il palco del Cybertech è, in estrema sintesi, che da oggi in poi serva una cybersecurity diversa rispetto al passato. Quella che si aggiunge "ex post" a prodotti, servizi e infrastrutture non basta più: serve una sicurezza pervasiva, intrinseca. Quella sicurezza "by design" di cui molti parlano da anni ma che pochi hanno davvero implementato. Perché richiede tempo e investimenti e, soprattutto, perché sinora c'erano pochi "incentivi" di mercato ad adottarla.
Oggi la situazione è diversa, anche per come è cambiato in questi anni lo scenario geopolitico mondiale. Si collabora con i tradizionali alleati ma, onestamente, ci si fida in generale meno di chiunque. Con altre nazioni il confronto è invece netto e continuo, anche se rimane - fortunatamente - nella parte cyber. Mentre i conflitti esplicitamente guerreggiati lo sono nel fisico e nel digitale.
In un nuovo mondo meno sicuro sotto tutti i punti di vista, a chi fa cybersecurity viene sostanzialmente chiesta una assunzione di responsabilità. I suoi tool non servono più solo a difendere le imprese da criminali che puntano magari all'estorsione: in molti settori il "nemico" è più pericoloso e abile. E le conseguenze dei suoi attacchi sono molto più gravi. E attenzione: anche alle aziende utenti viene chiesto un salto qualità simile, nel difendersi.
Inevitabilmente le normative avranno un ruolo chiave nel portare vendor e utenti - per forza o per amore - a nuovi comportamenti. Per una volta, le normative che l'Europa sta emanando per vari aspetti di un "rischio digitale" che va inteso in senso necessariamente lato - dalla NIS2 all'AI Act - colgono nel segno, con un approccio è sempre quello della gestione del rischio introdotto dalle nuove tecnologie nei processi e nelle infrastrutture.
"Non abbiamo la velleità di inseguire a tutti i costi l'evoluzione tecnologica, vogliamo fornire strumenti di carattere generale e al passo con i tempi per governare questi processi", spiega in questo senso Alfredo Mantovano, Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri. Anche perché per raggiungere un migliore livello generale di cybersecurity serve la collaborazione di tutti. Nelle parole di Bruno Frattasi, Direttore Generale dell'ACN: "Rafforzare la resilienza è un compito che richiede che sia alimentata costantemente la capacità di reazione del Paese e delle organizzazioni". O, come ricorda più sinteticamente Mantovano: "non esiste sicurezza che non sia partecipata".
Non tutte le aziende vivranno direttamente e subito questa "accelerazione" della cybersecurity. È chiaro che la questione interessa in primo luogo chi opera nell'ambito delle infrastrutture critiche e i loro fornitori di tecnologie. Ma per gli altri è solo una questione di tempo, perché il digitale conquista man mano tutti i settori della nostra vita e vi assume ruoli sempre più importanti. E la digitalizzazione richiede cybersecurity.
Per questo "la cybsecurity - ha sottolineato Teodoro Lio, CEO di Accenture Italy - da disciplina verticale sta diventando un fattore strategico nella Trasformazione Digitale dell'intera società e va integrata nativamente nel ciclo di vita dei prodotti e dei servizi". In particolare quelli futuri: pensiamo all'importanza e all'impatto di servizi come il voto elettronico, l'identità digitale europea o l'Euro digitale.
Fornire tecnologie e soluzioni efficaci per rendere il digitale affidabile resta sempre il compito dei vendor di cybersecurity. Che oggi però devono essere consci che la soluzione standard va bene solo per esigenze altrettanto standard. Le grandi imprese dei settori più sensibili alla questione cybersecurity hanno esigenze specifiche e si stanno attrezzando per risolverle direttamente. D'altronde, per mettere in sicurezza "oggetti" complessi e ad alto rischio come treni, aerei, elicotteri, impianti petroliferi (e via elencando) serve un insieme di competenze ed esperienze che ha solo chi quegli oggetti - oggi sempre più digitalizzati e iperconnessi - li realizza.
Anche la cybersecurity sta andando quindi decisamente - seppure, va ribadito, prima in ambiti molto specifici - verso un modello di co-sviluppo e co-innovazione in cui a guidare non saranno necessariamente i vendor ma piuttosto gli utenti. E in cui le tecnologie di sicurezza e protezione potranno essere scomposte, spezzettate, personalizzate, incapsulate secondo le necessità di chi le usa. Non tutti i nomi che oggi sono sul mercato sapranno adeguarsi a questa evoluzione, ma anche questo è un segno che la cybersecurity sta diventando "adulta".