Gli attacchi cyber mettono a nudo le interconnessioni tra i soggetti della società moderna. Prevenirli e governarli richiede la collaborazione di pubblico e privato, ma ci sono ancora temi da sciogliere per una partnership efficace.

Un tema sempre più cruciale

Nelle ultime settimane abbiamo assistito ad attacchi cyber sofisticati che minacciano sia il settore pubblico (si pensi all’attacco ransomeware che ha obbligato il fermo del sistema informatico della sanità irlandese e ne sta ancora influenzando il regolare funzionamento) sia quello privato (è il caso dell’attacco ai sistemi informatici dell’oleodotto di Colonial pipeline negli Usa) e, di conseguenza, gli individui e la società.  

Il numero di attacchi cyber è cresciuto in modo significativo negli ultimi anni in termini di volumi e di dati sensibili resi pubblici, come mostra la figura 1 relativa agli  Stati Uniti.

Il tema è al centro del dibattito pubblico e ha richiamato l’attenzione dei principali attori istituzionali. Basti pensare che l’Europa ha adottato a fine 2020 una nuova strategia di cybersicurezza e sta rivedendo la direttiva in materia (Nis Directive on security of network and information systems). Negli Stati Uniti, invece, il Presidente Biden nelle scorse settimane ha emesso un ordine esecutivo per migliorare la sicurezza informatica, proprio in seguito agli attacchi a Colonial pipeline. E in Italia è in corso l’attuazione del Perimetro di sicurezza nazionale cybernetica che definisce il quadro normativo per permettere al Paese di governare le minacce cyber e assicurare una continua gestione del rischio.

L’impatto degli attacchi

L’impatto degli attacchi cyber non si limita ad effetti sui sistemi informatici, alla business continuity dei network informatici attaccati o alla disponibilità ed integrità dei dati in essi contenuti, ma ha conseguenze ben più rilevanti soprattutto se ad essere attaccati sono settori industriali e di servizi considerati essenziali per il benessere di un paese.

Molti servizi essenziali per gli individui e le aziende si basano su infrastrutture gestite da diversi attori che governano attività e processi in un contesto fisico e virtuale. Le infrastrutture critiche, come quella dei trasporti, del settore energetico, della sanità o delle telecomunicazioni, sono rappresentate da ecosistemi fondati su elementi fisici connessi e governati da una pluralità di sistemi informatici. Il loro funzionamento, dunque, dipende dalla disponibilità reciproca di tutte le componenti.

Leggi anche:  Non tutti i territori sono uguali, neanche nelle aree competitive

A puro titolo esemplificativo, un attacco cyber che mette fuori uso i sensori di controllo dello scambio dei binari ferroviari, potrebbe paralizzare il funzionamento del sistema di trasporto e bloccare la mobilità di un territorio, con molteplici conseguenze di natura economica (dalla perdita dell’incasso per il gestore del servizio ai ritardi nella consegna delle merci, con le ricadute economiche collegate) e di natura sociale (per esempio l’impossibilità a raggiungere il posto di lavoro per un soggetto pagato a ore e costretto a ricorrere al pendolarismo). Attacchi di questo tipo, almeno per ora, non sono frequenti ma ciò non significa che non siano possibili; il che impone la necessità di definire una strategia di cybersicurezza e dotarsi di strumenti e competenze per prevenire e governare siffatte minacce (Enisa 2020, Railway Cybersecurity).

Nel contesto europeo e italiano, infrastrutture e servizi essenziali sono operati e gestiti da una combinazione di istituzioni pubbliche e private con ruoli ed interessi differenti. La frammentazione istituzionale che ne deriva può influire sull’affidabilità complessiva di questi ecosistemi e sulla capacità di governare eventuali rischi in modo coordinato. La compresenza di attori pubblici e privati richiede la definizione di una governance che tenga conto delle interdipendenze tra attori e l’implementazione di strumenti operativi adeguati. 

Il coordinamento pubblico-privato

Il ruolo del settore pubblico è sicuramente quello di “orchestratore”, anche se non sempre dispone dell’autorità, delle risorse e delle competenze per svolgerlo in modo efficace. In molti casi, la gestione di componenti essenziali è in capo ad attori privati (come ad esempio l’oleodotto di Colonial pipeline negli Usa) e le competenze necessarie per valutare vulnerabilità e rischi non sono adeguatamente diffuse in tutte le pubbliche amministrazioni coinvolte. 

Governare e proteggere le infrastrutture critiche richiede una strategia che si basa sulla cooperazione, non solo preziosa ma inevitabile, tra il settore pubblico e il settore privato. I loro sforzi di collaborazione possono ridurre la duplicazione delle risorse, migliorare la comunicazione, aumentare l’efficienza e infine raggiungere gli obiettivi di protezione meglio del governo o del settore privato se agiscono in modo indipendente e non “coordinato”. Se da un lato le partnership pubblico privato sono auspicate, la loro realizzazione richiede attenzione su alcuni aspetti chiave per essere efficace.

Il coordinamento intersettoriale può essere minacciato dal fatto che talvolta i due  settori sono immobili nel proprio ruolo a causa della mancanza di obiettivi convergenti e della distanza tra le culture. Inoltre, la consapevolezza dei rischi informatici deve essere innalzata al più alto livello gerarchico, elevando la responsabilità della cybersicurezza ai consigli di amministrazione e alle direzioni delle amministrazioni pubbliche, anche identificando i giusti sistemi di incentivi e sanzioni per evitare investimenti non adeguati (per esempio perché condizionati da politiche di contenimento dei costi) che alla lunga possono risultare anche dal punto di vista economico per nulla premianti.

Leggi anche:  Autonomia differenziata: né sogno né incubo

Infine, vanno superate le barriere nella condivisione delle conoscenze e delle informazioni che sono alla base di economie di scala e investimenti più produttivi per migliorare alcune situazioni vulnerabili e mitigare i rischi. La voluntary disclosure è essenziale per tutte quelle realtà che non hanno l’obbligo di denunciare di avere subito un attacco, ovvero tutte le organizzazioni che non sono considerate parte del perimetro di sicurezza in quanto non offrono servizi considerati essenziali. Nell’attuale mondo interconnesso, un attacco informatico non è un problema di un’azienda, ma di tutti: il caso SolarWinds negli Stati Uniti è un chiaro esempio di un fenomeno con effetti a cascata.

La prevenzione e la gestione degli incidenti sono processi di apprendimento che richiedono una routine di metodi e cultura adeguati. Poiché gli attacchi informatici prendono di mira la componente più debole, è necessario diffondere una cultura dell’igiene informatica. Così come la pandemia ci ha insegnato una nuova routine che include il lavaggio accurato delle mani e l’uso di una mascherina, tutti devono sapere di non aprire determinate e-mail o fare clic su collegamenti sospetti nei messaggi di testo.  La cybersicurezza richiede il contributo di tutti, con azioni flessibili per proteggere e garantire i diritti digitali degli individui e promuovere obiettivi collettivi come lo sviluppo economico e sociale.

Lavoce è di tutti: sostienila!

Lavoce.info non ospita pubblicità e, a differenza di molti altri siti di informazione, l’accesso ai nostri articoli è completamente gratuito. L’impegno dei redattori è volontario, ma le donazioni sono fondamentali per sostenere i costi del nostro sito. Il tuo contributo rafforzerebbe la nostra indipendenza e ci aiuterebbe a migliorare la nostra offerta di informazione libera, professionale e gratuita. Grazie del tuo aiuto!

Leggi anche:  Carriere nella pubblica amministrazione: tanta anzianità, poco merito*