Spesso si tende a considerare il termine Cybersecurity come un sinonimo di sicurezza informatica, ma in realtà la prima è un sottoinsieme della seconda. La Cybersecurity, infatti, è l’ambito della sicurezza informatica che dipende esclusivamente dalla tecnologia e dalla sua capacità di fronteggiare eventuali attacchi volti a minarne il funzionamento. La sicurezza informatica è invece l’insieme dei mezzi, delle tecnologie e delle procedure volti a tutelare gli asset informatici. Con questo non si intende solo la protezione dei dati sensibili: la sicurezza informatica in larga parte riguarda i dati, ma nel senso generico del termine, in quanto un dato rilevante per un’azienda, un’organizzazione o uno Stato non necessariamente è un dato sensibile.

Cosa questo significhi è di facile intuizione: con disponibilità si intende la necessità di fare in modo che i dati e gli asset siano disponibili e raggiungibili; con confidenzialità si rimanda all’esigenza di assicurare che i dati, sensibili o non, possano rimanere privati; con integrità si intende infine che i dati non devono poter essere corrotti. Accanto a questi aspetti principali è possibile considerare anche autenticità, non ripudiabilità, responsabilità e affidabilità connesse ai dati.

In realtà non è così, in quanto devono essere considerate anche le minacce – volontarie e involontarie – che provengono dall’interno. Ad esempio, in ambito software la sicurezza informatica si occupa di definire delle linee guida legate alla robustezza del software stesso, facendo sì che esso sia strutturato in modo tale che un errore, anche involontario, compiuto da chi lo utilizza non ne comprometta irrimediabilmente il funzionamento. Pensando invece al più comune dolo proveniente dall’esterno, va considerato come non sempre gli attacchi informatici siano volti a rubare dati o a creare un danno economico: ad esempio nel caso degli attacchi DoS (Denial of Service) l’obiettivo è “semplicemente” quello di creare un disagio tramite l’interruzione di un servizio. Esistono poi anche tipi di attacco, come il ransomware, che sono volti a bloccare l’accesso ai dati di un dispositivo, per poi chiedere un riscatto per “liberarli”. Le tipologie di attacco doloso sono numerose e in continua evoluzione e possono avere come fine il furto di dati, il danno economico, il ricatto o l’interruzione di un servizio. Occorre poi considerare che il dolo può provenire anche dall’interno, sia da persone che lavorano per conto proprio sia da persone che collaborano con hacker esterni: per quanto spiacevole, è necessario che le organizzazioni considerino anche questa possibilità.

La sicurezza informatica è un tema di fondamentale importanza per le organizzazioni. basti pensare che, stando al Rapporto CDR 2022 del CyberEdge Group, nel corso dell’anno preso in esame l’85,7% delle organizzazioni italiane ha subito un attacco informatico riuscito.

Esiste ad esempio una famiglia di norme, la ISO/IEC 27000, che rappresenta un vero e proprio standard in materia di sicurezza informatica e raggruppa proprio un insieme di norme internazionali per la protezione delle informazioni che sono detenute ed elaborate dalle organizzazioni, tramite le quali le organizzazioni stesse possono sviluppare e implementare un proprio sistema per la gestione della sicurezza informatica dei dati. Tra queste norme, di basilare importanza è la ISO 27001, finalizzata alla standardizzazione delle modalità per la protezione di dati e informazioni da minacce di ogni tipo, al fine di assicurarne integrità, riservatezza e disponibilità.

Tra le linee guida di maggiore rilevanza in materia possiamo citare anche il Cybersecurity Framework del NIST (National Institute of Standards and Technology) che racchiude una serie di raccomandazioni costantemente aggiornate volte a mitigare i rischi di sicurezza informatica organizzativa. Le linee guida del NIST prevedono cinque macro-processi volti a prevenire un attacco o un incidente a livello di sicurezza informatica: identificare il rischio, proteggere il sistema, rilevare il pericolo, rispondervi e ripristinare il sistema.

Dal 2013 è poi operativo l’EC3 (European Cybercrime Centre), un corpo dell’Europol che coordina e supporta le attività delle forze dell’ordine dei vari Paesi membri in materia di lotta al crimine informatico. La creazione di organismi sovrannazionali come l’EC3 facilita anche la gestione della giurisprudenza dei crimini informatici, perché individuare il Pese in cui ricade la giurisdizione di un attacco informatico spesso può non essere semplice.

A livello nazionale, invece, nel 2021 è stata istituita l’ACN (Agenzia per la Cybersicurezza Nazionale) con l’obiettivo di implementare la strategia nazionale di sicurezza informatica, promuovere un quadro normativo coerente nel settore ed esercitare funzioni ispettive e sanzionatorie assicurando il coordinamento tra i soggetti pubblici coinvolti nella materia.

Anche il Garante per la Protezione dei Dati Personali dà ampio spazio al tema della sicurezza informatica, questa volta sotto l’aspetto di propria competenza della tutela dei dati sensibili, con lo scopo di trasmettere alcune informazioni di base e buone norme da adottare a tutti gli utenti di Internet.

Le norme, le linee guida e gli enti citati evidenziano come oggi il tema della sicurezza informatica sia sempre più rilevante e tenuto in considerazione, sia a livello di singolo utente, sia a livello aziendale, ma finanche a livello nazionale e internazionale, con l’obiettivo comune di diffondere cultura in materia.

Ma cosa può fare quindi il singolo utente o la singola organizzazione per tutelarsi?

Che si tratti di sviluppare un software, una rete o altro, identificare e gestire i rischi è sempre il primo passo. Ad esempio, per testare software o sistemi è possibile eseguire il cosiddetto Penetration Test, durante il quale un hacker bianco – ovvero un hacker esperto di programmazione, di sistemi e di sicurezza informatica in grado di introdursi in reti di computer al fine di evidenziare eventuali problemi di sicurezza – simula diversi tipi di attacchi per testare proprio la tenuta, le difese e le eventuali vulnerabilità del sistema. Quando si parla di software è infatti essenziale – ma anche particolarmente complesso – trovare il giusto equilibrio tra l’efficienza d’uso del programma e la sua capacità di far fronte ad attacchi esterni ed errori, affinché nessuno dei due aspetti tenda a prevalere a discapito dell’altro.

In alcuni casi non si tratta però di valutare i rischi solo a livello di software, ma anche a livello strutturale, con la necessità di prevedere veri e propri sistemi di sicurezza fisici, come ad esempio la possibilità di mettere fisicamente sotto chiave alcuni server.

Altro aspetto importante per la sicurezza aziendale è quello della compartimentazione delle reti. Sarebbe infatti buona norma compartimentare gli accessi alle reti e alle informazioni, permettendo l’accesso solo a coloro che ne hanno reale necessità ed evitando invece comunicazioni superflue tra le reti e con l’esterno, per contenere e ridurre l’impatto di un eventuale attacco.

Testare e proteggere i sistemi, i software e le strutture è infatti importante, ma è altrettanto fondamentale che gli utenti sviluppino una maggiore coscienza di cosa è un rischio informatico e di come proteggersi da esso. L’utente finale, in quanto persona fisica che può commettere degli errori, è infatti l’anello debole nel rapporto con le macchine ed è ormai evidente come una grandissima parte degli incidenti di sicurezza abbia origine proprio da un errore umano.

È quindi essenziale che sia le persone private sia le aziende e le persone che ne fanno parte siano in grado di adottare norme di comportamento e di buon senso per la riduzione del rischio informatico.

Le aziende stesse stanno incrementando la formazione in materia di sicurezza informatica erogata ai propri collaboratori, proprio perché la sensibilità in materia sta crescendo. Si sta infatti comprendendo come spesso per evitare un attacco possano bastare alcune precauzioni di semplice adozione, come un utilizzo corretto delle password, la capacità di identificare messaggi di phishing e l’abitudine ad effettuare un backup dei dati.

È importante quindi che, a livello personale e aziendale, le persone sappiano come tutelarsi e difendersi, dall’adozione di “banali” comportamenti di buon senso fino al rispetto delle più complesse norme in materia.

Preservare la sicurezza informatica è un obiettivo che non può mai essere definitivamente raggiunto, perché si tratta di adeguare costantemente i propri sistemi (e i propri comportamenti) alle minacce esistenti: basti pensare al costante aggiornamento dei programmi antivirus, ma anche alle nuove release di software e sistemi operativi volte a migliorare gli aspetti legati alla sicurezza. La ricerca di vulnerabilità e rischi è sì, come detto prima, il primo passo da compiere, ma anche un’azione da svolgere periodicamente per identificare nuovi pericoli. Nel caso di alcuni software, specialmente quelli open-source, possono essere anche gli utenti stessi a segnalare eventuali falle di sicurezza identificate, in un processo di miglioramento che è quindi costante e non mosso solamente dall’interno.

Può essere considerato del tutto sicuro solo un dispositivo senza collegamento a Internet e a cui nessun’altro può fisicamente accedere: una situazione molto rara nella quotidianità. L’adozione da parte degli utenti di comportamenti attenti e buone norme, il rispetto di linee guida e normative in materia da parte di sviluppatori e aziende, e in generale il crescere dell’interesse e della consapevolezza in materia di sicurezza informatica sono tutti elementi fondamentali per la riduzione dei rischi, ma è al contempo importante essere consapevoli che una loro totale eliminazione non è mai (o quasi mai) possibile.