Il 2024 della cybersecurity è tutta una questione di punti vista. Se si guarda indietro viene in mente la celebre frase dell’allenatore di football americano Vince Lombardi: “Vincere è un’abitudine. Sfortunatamente lo è anche perdere”. Se si guarda avanti, allora ci si deve convincere che aveva ragione Winston Churchill: “Il successo è l’abilità di passare da un fallimento all’altro senza perdere l’entusiasmo”.

Dico questo perché la sfida del 2024 è quella che ha caratterizzato gli ultimi 25 anni, ovvero creare la consapevolezza nelle persone in modo che quell’unica percentuale in tutte le statistiche degli incidenti di cybersecurity cambi. A quale mi riferisco? Nell’80 per cento dei casi il fattore umano è determinate nel successo di un attacco informatico. Se la riduzione di questa percentuale deve essere un obiettivo permanente, il 2024 propone due questioni rilevanti che però hanno in comune un unico elemento: la supply chain o, per dirlo in italiche lettere, la filiera dei fornitori.

Il primo tema è un prevedibile e significativo aumento degli attacchi che punteranno proprio a colpire questo specifico ambito e le ragioni sono molte. La prima è stata resa evidente dal recente incidente a WestPole, operatore cloud che, attraverso il sistema URBISmart di PA Digitale, garantiva una serie di servizi a oltre 1.300 pubbliche amministrazioni, tutte messe in ginocchio per una settimana. Per un’organizzazione criminale questo si traduce in: colpirne uno per, potenzialmente, ricattarne mille.

Un secondo motivo è la costante e crescente interconnessione di sistemi sempre più complessi e con una quantità sempre più grande di componenti software fornite da decine se non centinaia di produttori. In termini pratici significa che la superficie di attacco disponibile per un cyber criminale è sconfinata. Un esempio interessante è quanto accaduto il mese scorso quando dei ricercatori tedeschi sono stati in grado di raggiungere da remoto delle colonnine per la ricarica dei veicoli elettrici ovvero un potenziale punto di accesso a un sistema di pagamento e alla rete elettrica, senza calcolare che avrebbero potuto sabotarle con esiti imprevedibili per il malcapitato utente.

La terza ragione è legata alle gravi carenze in materia della stragrande maggioranza delle piccole e medie imprese che nella filiera dei fornitori di tutte le grandi aziende sono ben presenti, soprattutto in Italia.

Proprio quest’ultimo motivo ci porta alla seconda questione che caratterizzerà il 2024, in generale l’Europa, ma in particolare l’Italia. Tra la fine del prossimo anno e l’inizio del 2025 diventeranno applicabili due norme europee note come NIS 2, direttiva per elevare la sicurezza cyber delle infrastrutture critiche, e il regolamento DORA, indirizzato a garantire la resilienza cyber del settore finanziario. In entrambe queste norme vi è una particolare attenzione alla sicurezza di tutta la filiera dei fornitori, tale per cui i destinatari, praticamente la quasi totalità delle grandi aziende del Vecchio continente, saranno costretti a valutare il livello di sicurezza cyber dei propri partner. Non è difficile immaginare come tutte quelle aziende che non saranno in grado di soddisfare determinati requisiti si troveranno sempre più in basso nelle graduatorie. Considerando lo stato delle nostre PMI, questo si tradurrà in una certa e significativa perdita di competitività.

Se proprio vogliamo vedere il bicchiere mezzo pieno, magari questa è la volta buona in cui si inizierà a perdere una cattiva abitudine, fosse anche al prezzo del venir meno di un po’ di entusiasmo.

