Roma – 07 ottobre 2022
Sede Unindustria Roma
Contesto ed introduzione
In occasione del Mese Europeo della Cybersecurity, Cyber 4.0 ha lanciato un’iniziativa per avvicinare il contesto delle PMI al mondo della Cybersecurity. Si tratta di un ciclo di eventi organizzati con il sistema dei DIH Confindustria – Sistemi Formativi Confindustria e LUISS Guido Carli finalizzati ad informare i rappresentanti della Piccole e Medie Imprese sul quadro delle minacce cyber alle quali le PMI sono potenzialmente soggette ed approfondire le priorità di difesa, le iniziative in corso e gli strumenti per difendersi, facendo leva sull’azione del Centro di Competenza Cyber 4.0.
La giornata programmata per il 7 ottobre è stata caratterizzata da:
- interventi di esperti del Centro di Competenza Nazionale Cybersecurity in merito agli attuali rischi cibernetici applicabili alle PMI e alla descrizione dei principali ed efficaci strumenti per la definizione e l’implementazione di strumenti per il governo della sicurezza informatica;
discussioni interattive con i partecipanti all’evento, rappresentanti di diverse PMI e consulenti di settore, per condividere ed approfondire aspetti specifici derivanti dai loro contesti ed esperienze; tale condivisione ha permesso di continuare a migliorare la comprensione dei problemi che le PMI si trovano ad affrontare quotidianamente in tale settore.
L’attuale percezione del tema cybersecurity nelle PMI
Durante la prima parte della giornata si è evinto che tra le PMI non è condiviso né diffuso un framework univoco e riconosciuto a livello nazionale in merito a contromisure e controlli afferenti alla cybersecurity, definiti considerando il contesto organizzativo e tecnologico specifico per le realtà di piccole o medie dimensioni.
Tale situazione si ricollega al fatto che attualmente, a livello nazionale e/o comunitario, non esiste un quadro legislativo vincolante, idoneo a definire requisiti, vincoli ed obblighi in ambito cybersecurity per le PMI.
Ne consegue una mancata percezione del rischio sanzionatorio, che quindi comporta una sottovalutazione dell’importanza attribuita a tale tema, risultante poi in un esiguo, quando non assente, investimento in ambito cybersecurity.
Paradossalmente, si rileva una forte attenzione agli investimenti in ambito digital innovation, a testimonianza dell’opportunità colta da parte del nostro tessuto produttivo verso la transizione digitale. Si rileva dunque un gap tra l’interesse e la spinta all’innovazione e la sensibilità da parte delle PMI verso i rischi di natura cibernetica, che potrebbero avere impatti rilevanti sul business con ripercussioni dirette sulla competitività della PMI nel proprio contesto di riferimento, come dimostrato anche dai #2 case study di attacchi informatici alle PMI riportati dagli esperti durante l’evento del 7 ottobre.
Gli attacchi informatici verso le PMI
L’Euro-barometro, uno dei principali sondaggi dell’opinione pubblica a livello europeo condotto regolarmente per conto della Commissione europea, segnala che nel 2021 il 28% delle PMI europee ha subito almeno un episodio legato al crimine informatico. In Italia questa cifra sale fino a toccare il 37%: in sintesi, più di una PMI su tre è stata vittima di un crimine informatico. All’interno dello stesso gruppo di imprese, il 32% ammette che i propri dipendenti hanno un livello informativo limitato rispetto ai rischi informatici e l’85% non ha fatto nulla in proposito nell’anno precedente. Questi dati ci restituiscono la fotografia di un numero molto ampio di imprese che non è pronta per fare fronte agli attacchi informatici.
I case study riportati dagli esperti di Cyber 4.0, ripresi da fatti reali opportunamente anonimizzati, sono esempi dell’attuale e principale modalità di attacco alle PMI e alle imprese, ossia la tecnica di social engineering (tecniche di attacco che si basano sul reperimento di informazioni su persone fisiche, attraverso lo studio di quanto disponibile su fonti aperte o entrando direttamente in contatto con il target designato, definendo i punti di debolezza e carpendo informazioni sensibili). Tra queste, la principale tecnica di social engineering è il phishing, tecnica che induce la vittima, mediante una falsa comunicazione in posta elettronica, a collegarsi verso un sito bersaglio simile all’originale (ad esempio, il sito di una banca) al fine di intercettare informazioni trasmesse, quali le credenziali di accesso, che saranno a loro volte sfruttate dall’attaccante per svolgere ulteriori attacchi target primari (es. grandi corporate, clienti della PMI).
Nel dettaglio, le PMI protagoniste dei case study illustrati durante l’evento, tramite attacchi phishing sono state colpite da uno dei più diffusi malware a livello globale, il ransomware malware, che induce limitazioni nell’uso di un dispositivo (ad esempio criptando i dati o impedendo l’accesso al dispositivo) potendo in tal modo bloccare pesantemente l’operatività aziendale.
Gli strumenti e le iniziative a supporto delle PMI
Il primo strumento di difesa contro gli attacchi informatici, con particolare riferimento agli attacchi di social engineering, è rappresentato dalla consapevolezza del rischio e dalla formazione in materia cybersecurity.
La sfida in ambito cybersecurity non va esclusivamente risolta solo tramite soluzioni e processi tecnologici avanzati, ma è prima di tutto un problema di competenze, e come tale va affrontato.
È vitale che tutti gli utenti dei sistemi informatici ricevano almeno una formazione di base in ambito cybersecurity in modo che utilizzino gli asset ICT aziendali in maniera consapevole ed attenta ai possibili segnali di infiltrazione nelle reti aziendali da parte di cyber criminali.
A tal proposito si ricorda che è disponibile per le PMI l’incentivo messo a disposizione dal Ministero delle Imprese e del Made in Italy del credito d’imposta per la Formazione 4.0. Tra le tematiche formative rientra anche, per l’appunto, la cybersecurity.
La misura è volta a sostenere le imprese nel processo di trasformazione tecnologica e digitale creando o consolidando le competenze nelle tecnologie abilitanti necessarie a realizzare il paradigma 4.0. Il credito è riconosciuto nei limiti dei seguenti parametri, a condizione che le attività formative siano erogate dai soggetti individuati dal Ministero, tra i quali rientrano i Centri di Competenza, e dunque Cyber 4.0:
- fino al 70% delle spese ammissibili nel limite massimo annuale di 300 mila euro per le piccole imprese
- fino al 50% delle spese ammissibili nel limite massimo annuale di 250 mila euro per le medie imprese,
- fino al 30% delle spese ammissibili per le grandi impresenel limite massimo annuale di 250 mila euro.
Per approfondire le opportunità di formazione messe a disposizione dal Centro di Competenza Cyber 4.0 è possibile contattare direttamente il Centro tramite i seguenti canali
cyber@cyber40.it
https://www.cyber40.it/contatti/
Altri temi emersi durante l’evento nel confronto avuto con le PMI:
- mancata identificazione di un’organizzazione aziendale che si occupi di tematiche cybersecurity e information security:
- nella maggior parte dei casi non viene identificato un responsabile cybersecurity, oppure, qualora venga identificato, molto spesso non risulta adeguatamente formato ed esperto. Tale scelta deriva sia da una mancanza di consapevolezza dell’importanza della sicurezza informatica come già accennato, sia dal fatto che non vi è l’obbligo da parte del legislatore di identificare una figura di riferimento nelle PMI dedicate a questa materia, al contrario di come avviene ad esempio in ambito safety o privacy;
- di conseguenza, nel migliore dei casi le PMI esternalizzano le attività afferenti alla cybersecurity a fornitori esterni, il che tende a far perdere all’alto management aziendale la percezione dell’importanza di un continuo coinvolgimento sulle misure di prevenzione contro gli attacchi cyber che deve necessariamente coinvolgere ogni singolo dipendente;
- tipica caratteristica delle PMI è quella di avere un alto turn over dei dipendenti qualificati in cybersecurity, dato anche dall’attuale gap tra le professionalità disponibili e l’alta richiesta del mercato.
Si ravvisa la necessità, dunque, di fornire all’imprenditore ed ai vertici delle PMI una cultura base in materia di cybersecurity che sia continuativa per garantirne l’aggiornamento.
A tal proposito, Cyber 4.0, nel corso del 2023, dedicherà attività ed iniziative specifiche alla formazione del top management nelle aziende micro, piccole e medie. Se non l’hai ancora fatto, per rimanere aggiornato sulle prossime iniziative ed eventi del Centro di Competenza, iscriviti qui alla nostra newsletter.
- Scarsa attenzione in merito alle tematiche di sicurezza relative all’Operation Technology: la diffusione dei dispositivi IoT è processo impetuoso ed inarrestabile. A fronte di indubbi vantaggi a livello di produttività e automazione, però, questa evoluzione porta con sé ovvi problemi di sicurezza cibernetica. Una focalizzazione sulla sicurezza IT che dimentichi quella OT è decisamente inefficace. A tal proposito si specifica che Cyber 4.0 eroga formazione apposita in ambito OT Security, dedicata a vari ruoli aziendali ed organizzerà nel corso del 2023, eventi dedicati a tale ambito;
- Attualmente, non sono presenti linee guida/requisiti normativi vincolanti applicabili direttamente al contesto delle PMI. Ad esempio, emerge il fatto che la normativa vincolante in ambito safety, comporta anche per le PMI l’obbligo di nominare in responsabile per la salute e sicurezza nei luoghi di lavoro e di svolgere periodicamente formazione in materia a seconda degli specifici ruoli. Una normativa e/o requisiti vincolanti per le PMI, aumenterebbe la possibilità di identificare un responsabile in materia, l’allocazione di budget idoneo, e la formazione in merito a rischi, processi, procedure del personale;
- È importante definire processi e strategie per la gestione operativa degli incidenti informatici, focalizzate sia sulla prevenzione che sulla reazione e risposta agli attacchi. Si sottolinea il ruolo dei back up dei dati, strumenti minimali ma decisivi nella gestione del ripristino della normalità nella fase successiva ad un attacco cyber.
Per utilizzare al meglio i back up, risulta importante:
- scegliere il supporto più adatto alle proprie esigenze: ad esempio, se si sceglie di eseguire il backup su un disco rigido esterno, bisogna considerare che questo può essere facilmente danneggiato o rubato. Se invece si sceglie di eseguire il backup su una piattaforma di cloud storage, è necessario verificare che il provider scelto offra un livello adeguato di sicurezza;
- eseguire backup periodici secondo intervalli e profondità temporali opportune agli obiettivi di business;
- testare regolarmente i backup;
- conservare i backup in luoghi fisicamente diversi rispetto alla localizzazione del hardware soggetto a backup;
- criptare i backup per renderli illeggibili da chiunque, anche nel caso in cui venissero rubati o smarriti accidentalmente.
- Tra i progetti di orientamento dedicati alle PMI in materia di cybersecurity messi a disposizione da parte Cyber 4.0, spicca la metodologia utilizzata dal Centro di Competenza affinché le PMI possano conoscere i propri punti deboli per difendersi: il Cybersecurity assesment.
La giornata si è conclusa con un arrivederci alla prossima tappa del Roadshow che si terrà in Umbria, a Foligno, il 25 novembre 2022.