“In Italia siamo molto bravi a fronteggiare le emergenze, un po’ meno a prevenirle” dice Gerardo Costabile, CEO di DeepCyber e Docente di Sicurezza Aziendale presso Università San Raffaele di Roma. Il tema, la Cybersecurity, è di grande attualità: basti pensare che secondo l’Agenzia europea per la sicurezza delle reti e dell’informazione (Enisa) nei primi sei mesi del 2020 le violazioni informatiche sono aumentate del 54% rispetto allo stesso periodo del 2019, con il 71% delle violazioni di dati che ha implicato una richiesta di denaro.

Professor Costabile ci spiega in parole semplici cos’è la Cybersecurity?

È l’insieme di tecnologie, ma anche processi e procedure, oltre che persone che hanno lo scopo di proteggere gli asset dalle minacce informatiche sia interne sia esterne. Non si tratta solo di acquistare una tecnologia, è importante che tutti questi aspetti vengano proceduralizzati. Nel digitale l’errore è meno visibile e quindi più subdolo, spesso non ci si accorge dei rischi.

Lo smart working porta nuove sfide?

Sì, per vari motivi. In questo periodo storico molte persone stanno lavorando da casa, il perimetro della cybersecurity non è più solo limitato alla tradizionale rete aziendale, in quanto la stessa si è allargata entrando – di fatto - nelle case dei dipendenti. Le ultimissime statistiche, anche dell’Fbi, ci avvertono che sono aumentati gli attacchi che sfruttano questo periodo storico: si è isolati, la rete di casa è mediamente meno sicura e anche l’utente nella propria abitazione ha una percezione di sicurezza che lo porta ad abbassare il livello di guardia rispetto all’ufficio. In aumento ci sono anche i malware che infettano i computer per chiedere un riscatto. Qualcuno erroneamente paga, alimentando questo mercato. Da una e-mail il malware poi si può diffondere in tutta l’azienda, passando dai pc tradizionali alla tecnologia industriale o domotica, con lo scopo di bloccare macchinari, porte, ascensori.

Quali sono i rischi nel settore dell’ospitalità?

L’ospitalità investe poco in sicurezza perché il tema è ritenuto secondario, ma in realtà possiede una grande quantità di dati del cliente, ad esempio le carte di credito per i pagamenti. L’hotellerie è particolarmente colpita dalle frodi, ma anche da data breach. Dobbiamo ricordare che il settore detiene diverse informazioni sui gusti o anche su dati sensibili come le intolleranze alimentari dei clienti.

I macchinari Iot come possono essere protetti?

Per l’Industrial IoT il grande problema è un’architettura a monte che talvolta è progettata male. Il piano nazionale industria 4.0 ha spinto alla digitalizzazione del settore e molti ne hanno approfittato. Mi passi l’esempio: non esiste un antivirus per il forno o l’abbattitore, in attesa di un maggiore investimento in sicurezza di chi produce software smart per questi macchinari, vanno poste delle barriere informatiche nella rete fin dall’inizio, in fase di progettazione. Spesso invece si pensa a installare e far funzionare il dispositivo senza pensare alla sicurezza.

Che rischi corre un ristorante digitalizzato (ordini, prenotazioni, delivery)?

In un ristorante in fondo devo proteggere poche cose: contabilità, ordini, informazioni dei clienti, e devo tutelare la continuità del servizio, non posso permettermi di avere discontinuità negli ordini online. Quanto al delivery, se si utilizza il cloud di società internazionali il rischio è più limitato, salvo un furto di identità, in quanto i sistemi sono tutto sommato testati e mediamente sicuri. Vedo più rischi nel momento in cui si decide di fare le cose “in casa”, con i dati che risiedono nel proprio sistema. È indispensabile in questo caso farsi fare test di sicurezza sul sistema da soggetti terzi rispetto a chi lo ha progettato e, consapevolmente, fare scelte in ottica di investimento in sicurezza.

Quanto costa la cybersecurity?

Dall’1 al 10-12% dei costi di informatica, a seconda del settore. Nell’ospitalità possiamo stimare i costi a regime intorno al 2-3%. Altra cosa è però la progettazione iniziale: il primo passaggio è valutare lo stato di salute del sistema, per poi pensare a come intervenire, basandosi sul proprio budget incrociato con i rischi misurati in termini di probabilità e conseguenze.