Non ci può essere cybersecurity senza… collaborazione. È questo il leitmotiv emerso dall’Axis Cybersecurity Summit 2023, l’evento dedicato alla cybersecurity nei sistemi di sicurezza fisica, patrocinato dalle associazioni AIPSA e ANIE Sicurezza, andato in scena presso gli uffici di Microsoft Italia a Roma e Milano in parallelo in collegamento live streaming. L’iniziativa ha riunito i principali player nazionali e internazionali, per fare il punto sullo stato attuale della cybersecurity nei sistemi di sicurezza fisica pubblici e privati.
Preoccupazione crescente e definizione delle responsabilità
Il settore si trova attualmente di fronte a una svolta cruciale: secondo uno studio approfondito condotto da Axis Communications, azienda leader nel settore della videosorveglianza, coinvolgendo 1.200 organizzazioni mondiali operanti in 14 settori, stanno infatti emergendo una serie di sfide che, rafforzandosi a vicenda, renderanno il panorama della cybersecurity più rischioso e complesso da gestire. La cybersecurity è passata dall’essere un “semplice” problema informatico a rappresentare una sfida centrale per la gestione dei rischi e delle prestazioni aziendali, richiedendo di conseguenza la massima attenzione da parte del management aziendale.
Quali sono le macro-sfide individuate da Axis? Un ruolo cruciale è giocato da un incremento massivo dell’utilizzo del digitale, accelerato dalla pandemia, che ha portato con sé un maggiore impiego di forza lavoro da remoto e quindi un numero più elevato di dispositivi al di fuori del perimetro aziendale da dover tenere sotto controllo. In questo scenario, le organizzazioni devono anche fare i conti con lo scontro tra fisico e digitale, con gli asset fisici connessi digitalmente che espongono le infrastrutture strategiche ad un maggior rischio di attacchi. Anche l’emergere di nuove tecnologie, quali Al, loT, multi-cloud e 5G, contribuisce a creare ulteriori vulnerabilità informatiche, fornendo armi più avanzate al cybercrime. Gli hacker, inoltre, stanno “alzando il tiro”, diventando più smart e meglio organizzati. Anche le organizzazioni stanno diventando più complesse, con l’evolversi della platform economy, in ecosistemi costituiti da reti sempre più elaborate di partner e fornitori. Infine, le aziende devono fare i conti con la nuova ondata di volatilità portata dall’attuale scenario geopolitico e la crescente complessità normativa.
In questo scenario, si intuisce quindi facilmente che la sicurezza informatica non può che rappresentare una priorità per le aziende di ogni settore. Ma come si stanno muovendo le organizzazioni, per tutelarsi dagli attacchi informatici? Durante il suo intervento all’Axis Cybersecurity Summit, Roberto Setola, Professore Ordinario all’Università Campus Bio-Medico di Roma, ha provato a rispondere a questa domanda, analizzando in particolare i requisiti presenti nei capitolati di gara in tema di cybersecurity.
“Quello che appare premiante, nella scelta di un fornitore di sicurezza informatica, è la capacità da parte dello stesso di gestire in modo adeguato tutti gli aspetti di cybersecurity, grazie all’adozione di un adeguato modello organizzativo che preveda chiare responsabilità e procedure” ha dichiarato Setola.
Quadro normativo in continua evoluzione, tra passato e prospettive future
L’esplosione normativa è indubbiamente una delle più importanti macro-tendenze in materia di cybersecurity. Dal 2016 ad oggi, una serie di regolamentazioni hanno infatti cercato di fare ordine in merito su scala europea e, durante il summit Axis, il Presidente di Clusit Gabriele Faggioli, ne ha ricapitolato le principali:
- La Direttiva NIS I del 6 luglio 2016, che il 18 ottobre 2024 sarà abrogata e sostituita dalla Direttiva NIS II, definisce le misure necessarie per garantire in Europa un elevato livello di sicurezza delle reti e dei sistemi informativi dell’Unione e impone agli stati di dotarsi di una strategia in materia di cybersicurezza, lasciando ad ogni singolo Paese le modalità di attuazione;
- La Direttiva CER sulla resilienza dei soggetti critici, presentata nel 2022, definisce un quadro a livello UE volto a rafforzare la resilienza dei soggetti critici nel mercato interno a fronte di una serie di minacce (es. attacchi terroristici, emergenze sanitarie, rischi naturali) stabilendo norme minime armonizzate per assistere tali soggetti mediante misure di sostegno e di vigilanza coerenti e dedicate;
- Il Regolamento DORA, relativo alla resilienza operativa digitale per il settore finanziario, entrato in vigore il 17 gennaio 2023 e pienamente applicabile dal 17 gennaio 2025, nasce dall’esigenza di implementare in modo efficace sistemi di gestione dei rischi, con particolare focus sulle tecnologie dell’informazione e della comunicazione (identificate con il termine di TIC) introducendo obblighi di governance e di sicurezza cui le diverse entità̀ finanziarie vanno incontro.
Tra le proposte di regolamento ancora in discussione, spiccano il Cyber Resilience Act, relativo ai requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali, e il Cyber Solidarity Act, relativo alla creazione di misure per migliorare la preparazione, l’individuazione e la risposta alle minacce e agli incidenti di cybersicurezza in tutta l’Unione.
Lavorare insieme per ridurre i rischi
La sicurezza informatica è quindi stata e continuerà ad essere negli anni a venire una priorità condivisa. Date queste premesse, secondo Axis, la strada da seguire per la riduzione dei rischi legati alla cybersecurity non può che passare dalla collaborazione.
“L’evento italiano ha chiuso un ciclo di incontri organizzati in tutto il Sud Europa, che ha preso il via a Parigi lo scorso giugno: l’obiettivo è ragionare tra addetti ai lavori e fare sensibilizzazione su una tematica attuale, ma complessa, quale appunto la cybersecurity nei sistemi di sicurezza fisici. Quindi, ringrazio tutti i nostri ospiti per aver condiviso i loro punti di vista e il loro know-how” commenta Matteo Scomegna, Regional Director per il Sud Europa di Axis. “La sicurezza informatica è una responsabilità condivisa tra produttori, system integrator e utenti finali: richiede l’implementazione delle migliori pratiche e tecnologie, nonché una vigilanza e una manutenzione continua. Affidarsi a partner tecnologicamente avanzati e in grado di avere una visione a lungo termine delle nuove minacce farà la differenza in un settore in continua trasformazione come il nostro”.
