AIDR. Resilienza informatica: chi ben comincia….

146

AIDR. Resilienza informatica: chi ben comincia….

La trasformazione digitale e la sicurezza informatica dell’Europa è ormai una priorità per le istituzioni comunitarie, quali saranno i cambiamenti che ne deriveranno?

Esamina il tema Davide Maniscalco, Coordinatore regionale Aidr per la Sicilia,  Privacy Officer e Capo delle relazioni istituzionali Swascan – Tinexta  Group.

“Come previsto nel Work Programme 2022 della Commissione europea, la  tecnologia e la sostenibilità rappresentano le priorità dell’agenda  europea che, invero, ribadisce la convinta visione di un’Europa verde  e digitale. – scrive Maniscalco – E’ noto che il decennio per realizzare il percorso di trasformazione  digitale dell’UE avrà un orizzonte al 2030 e si caratterizzerà, tra  l’altro, per lo sviluppo di:

– un’economia innovativa basata su una tecnologia umano-centrica,  affidabile e sicura;
– una connettività ad internet sicura e resiliente;
– un sistema di comunicazione sicuro globale basato sullo spazio;
– un’identità digitale europea;
– sistemi di Intelligenza Artificiale affidabili, con sempre maggiori  standard di calcolo computazionale.

Tuttavia, già adesso e, purtroppo con una preoccupante frequenza,  frodi, attacchi di phishing e ransomware rappresentano una minaccia  sistemica concreta per intere economie e governi.

A fronte di questo fenomeno, che nel tempo ha assunto anche  connotazioni geo-politiche, talora con finalità di destabilizzazione e  sabotaggio o, più spesso, di spionaggio industriale e  scientifico-tecnologico, le risorse aziendali, laddove consistenti in  budget concreti, restano ancora prevalentemente allocate sulla  sicurezza informatica difensiva, principalmente focalizzata sulla  protezione della riservatezza e dell’integrità dei dati e meno spesso  sulla continuità operativa dei processi primari di business e dei  sistemi informatici ed informativi.
E’ evidente che questa impostazione si sta rivelando insufficiente di  fronte ad attacchi che diventano ogni giorno più pervasivi e  richiedono non soltanto una risposta più strutturata di tipo  preventivo ed anche predittivo, ma anche di un capitale umano più  diversificato ed inclusivo.
In tale scenario, la collaborazione multilayers rimane un imperativo  sempre più imprescindibile.
Ed infatti, la sicurezza informatica ha bisogno tanto dell’esperto  sviluppatore quanto del sistemista e dell’End user, perché sono tutti  imprescindibilmente players di una mission comune: la resilienza  informatica.
Non ci sono altre strategie, tutti devono essere coinvolti all’interno  della cybersecurity per rafforzarne l’intera filiera.
In tale direzione, il preannunciato European Cyber Resilience Act, il  cui lancio è stimato per il terzo trimestre del 2022, proporrà in  parte nuove regole per i dispositivi connessi al fine di affrontare  potenziali vulnerabilità del software e stabilire standard comuni di  sicurezza informatica per i dispositivi connessi.

Inoltre, linea con le priorità della Commissione europea, anche la  proposta di Regolamento sulla resilienza operativa digitale (“DORA”)  per i servizi finanziari dello scorso settembre 2020, che fornirà un  quadro europeo di norme armonizzate diretto ad affrontare le esigenze  di resilienza operativa digitale di tutti i soggetti finanziari  regolamentati, stabilendo anche un quadro di supervisione per i  fornitori ICT terzi critici.
Ma è chiaro che l’approccio normativo, pur necessario, non possa bastare.
Si tratta infatti di approcciare la sicurezza informatica con la  consapevolezza di dover creare, con risorse e focus esecutivi  adeguati, resilienza in ogni parte del business, dalla mappatura dei  processi aziendali alla disponibilità dei servizi di ingegneria alla  dipendenza spesso critica dai fornitori.
Tutto ciò richiede ed include inevitabilmente la correzione costante  delle vulnerabilità, il rilevamento e la mitigazione delle minacce e  la formazione continua del capitale umano.
Inoltre, gli sviluppatori dovrebbero comprendere quanto la sicurezza  dei codici che scrivono e la loro distribuzione, per tutto il ciclo di  vita delle applicazioni, siano funzionali ad un incremento del valore  dei software, che devono tuttavia rimanere sensibili alla velocità del  business.
Per questo il Regolatore europeo sta puntando sulla leadership  tecnologica e digitale, perché solo attraverso regole europee certe ed  armonizzate si creerà una virtuosa interazione tra chi progetta, chi  sviluppa e chi  gestisce i sistemi, determinando così le fondamenta  per un nuovo paradigma della cybersecurity.
L’obiettivo della sovranità digitale europea sarà una logica  conseguenza e passerà per la creazione di un sistema basato su regole  che consentano una maggiore proprietà di risorse tecnologiche vitali,  a livello locale, nazionale e regionale e, in ultimo, di avere un  concreto controllo sul proprio destino digitale, ossia i dati,  l’hardware e il software che si creano e su cui si fa affidamento”.