Il 2024 è stato un anno importante per la cybersecurity, con l’entrata in vigore della normativa UE denominata Network and Information Security Directive 2 o NIS2. Non è certo la prima misura che mira a regolare la sicurezza informatica in Italia o in Europa, ma NIS2 amplia talmente il raggio di azione del provvedimento in termini di soggetti coinvolti, ambiti, processi, requisiti, responsabilità e sanzioni, da costituire di fatto una molla verso il cambiamento radicale nella sicurezza cibernetica. Si pensi che, solo in Italia, il bacino di aziende coinvolte passa da circa 500 a circa 16.000, includendo per la prima volta anche la Pubblica Amministrazione.

Per Netalia questo approccio è il consolidamento di un percorso naturale, che affonda le radici nella nostra missione: erogare servizi di public cloud all'interno di un perimetro normativo certo e definito. NIS2 non ha innalzato la soglia di attenzione di Netalia alla compliance normativa, né all’approccio nella gestione del rischio, entrambi incorporati by design nell’infrastruttura e nei servizi. Semplicemente, ha generato una intrinseca coincidenza tra i requisiti di legge e gli ambiti di mercato sui quali lavoriamo.

Per il 2025 (e oltre) prevediamo che sia quindi il nuovo assetto regolatorio a guidare i trend di mercato e a definire le priorità di intervento, come spesso succede con le grandi trasformazioni, prima che entrino nella cultura di base (l’esempio più recente è forse il GDPR per gli aspetti di privacy).

Gli obiettivi e le aree di attenzione che vediamo evolversi in materia di cybersecurity sono legati ad alcuni concetti chiave e per Netalia ad altrettanti ambiti di sviluppo e offerta:

• Continuità operativa

Di particolare rilievo per le sue implicazioni è l'articolo 21 della NIS2. Questo stabilisce che le organizzazioni pubbliche e private gestiscano il rischio attuando politiche a copertura di un'ampia gamma di misure in materia di cybersicurezza. Si parla ad esempio di sicurezza della supply chain, di formazione, di gestione e segnalazione degli incidenti. Tra le indicazioni spicca quella relativa alla continuità operativa, attraverso strumenti di backup e di disaster recovery.

La continuità operativa è un obiettivo ormai trasversale e non più legato alle sale server: è un fattore di competitività di business, e come tale vanno trattati gli elementi che la compongono. In termini di backup, sarà sempre più importante preservare in modo certo l’immutabilità del dato. Un attacco ransomware può essere mirato alla replica prima ancora che ai dati originali, rendendo di fatto la copia inutilizzabile. Gli apparati WORM (Write Once, Read Many) che adotta Netalia, per esempio, sono un tipo di storage non modificabile, che garantisce la conservazione del dato contro qualunque minaccia conosciuta. Il Disaster Recovery è molto legato alla geolocalizzazione delle region. Il Cloud Provider a cui l’azienda si affida deve saper gestire il trade off tra la distanza dei Data Center, quindi la latenza, e la garanzia di zona differenziata rispetto ai fattori di rischio, tra cui l’errore umano (oltre il 70% dei casi). Delle tre region attuali in capo a Netalia (Milano, Genova e Palermo), per esempio, le due del nord sono allineate e a bassissima latenza, ma ubicate in due diverse aree sismiche.

• Crittografia

NIS2 interviene anche sul tema dell’encryption, promuovendo pratiche di igiene informatica di base e formazione, politiche di controllo degli accessi e gestione degli asset, logiche di accesso Zero Trust. L’Italia è tra i primi 8 paesi al mondo per attacchi malevoli di varia natura, dal cyber crime propriamente detto al cosiddetto hactivism. Con lo sviluppo dell’AI, sta crescendo anche da noi l’uso ostile di deep fake: mail, audio, video apparentemente indistinguibili dall’originale costruiti ad arte per truffare.

In questo contesto, crediamo che i soli strumenti software, ad oggi, non possano offrire una garanzia totale per la sicurezza degli accessi. Per questo, Netalia si è dotata di apparati fisici HSM (Hardware Security Module) di ultima generazione e prodotti da Thales, leader globale del settore. La funzionalità HSM-a-a-S è pensata per settori verticali (ad esempio i pagamenti digitali), ma in generale per qualunque applicazione legata alle VM e ai database dei clienti stessi.

Alla crittografia e agli attacchi deep fake è direttamente legata la necessità di autenticazione degli accessi, altro obiettivo prioritario per le aziende, al proprio interno e dall’esterno. Nives (Netalia Identity Verification Service) è la piattaforma di MFA (Multi-Factor Authentication) che verifica la titolarità dell’accesso: ogni token generato è univocamente associato a un solo nome utente e una sola OTP.

• Observability

La sicurezza non è un apparato plug & play che si installa e si dimentica. Il monitoraggio costante, pervasivo e oggi predittivo, grazie all’AI, è un fattore chiave di successo e un’area impalpabile dove però occorre comprendere quanto sia importante investire. Le PMI in particolare, che per mancanza di scala non possono dedicare risorse e competenze su base permanente a questi aspetti, trovano nel proprio Cloud Provider il partner di riferimento che può garantire il monitoraggio del perimetro esterno, degli ambienti cloud, degli accessi, dell’utilizzo dei dati.