Dagli autori del Rapporto Clusit 2025, tre spunti di riflessione su cybersecurity e persone, il “doppio uso” dell’AI e governance della sicurezza e dei processi.
Cybersecurity e persone
Resta fondamentale, nel nostro Paese, mantenere una forte attenzione sul tema della consapevolezza delle persone: la crescita dell’87% degli attacchi di phishing ed ingegneria sociale testimonia che quanto fatto fino ad oggi non è ancora sufficiente. Ci sono i termini per lanciare un allarme, anche guardando ai dati di altri contributi contenuti nel Rapporto Clusit, come, ad esempio, il contributo della Polizia Postale e delle Comunicazioni, che ricomprendono anche tutti quegli eventi che interessano i singoli cittadini e le PMI. Il fenomeno sta infatti assumendo un grado di estensione che diventa sempre più preoccupante.
È pertanto imprescindibile che la Scuola, l’Università, i soggetti pubblici e privati lavorino in sinergia per sviluppare una cultura della sicurezza che sia parte del patrimonio di conoscenze di tutti i cittadini, a partire dalle nuove generazioni. Insieme alla consapevolezza, rimane anche aperto il tema delle competenze più specifiche, il cui gap rispetto alle esigenze del mercato continua ad aumentare. Deve quindi essere ancora al centro dell’attenzione il tema del “Reskill and upskill” con riguardo alle competenze STEM.
Il “doppio uso” dell’intelligenza artificiale
In ottica strategica, particolare attenzione dovrà essere posta verso le opportunità e ai rischi dell’adozione dell’AI nell’ambito dei processi di business delle imprese. L’AI è uno degli ambiti di innovazione in cui lo stesso concetto di dual use diventa obsoleto: ne parliamo tanto in relazione alle tecnologie di protezione e di detection degli attacchi informatici, quanto nell’ambito delle tecniche stesse di attacco, ma soprattutto come strumento che in modo pervasivo accompagnerà sempre più – talvolta sostituendo, talvolta potenziando – l’attività operativa delle persone; soprattutto, sarà il mezzo tramite il quale nasceranno nuovi servizi fino ad oggi inimmaginati/bili.
Nel cercare di comprendere quali saranno i nuovi rischi, le organizzazioni non dovranno sottovalutare l’impatto in termini di dipendenza dalla tecnologia che questo strumento avrà nel pervadere ogni ambito delle attività umane e automatizzate; ciò si sostanzierà in un incremento del livello di impatto che i rischi tradizionali sulla sicurezza, che ancora oggi fatichiamo a mitigare, potranno avere dal momento che si concretizzeranno in incidenti informatici.
Governance della sicurezza e dei processi
Emerge sempre più – anche dai dati del Rapporto Clusit 2025 – come sia necessario rafforzare la governance della sicurezza e la capacità di identificare, analizzare, valutare e gestire i rischi, sia con misure preventive che di mitigazione, ma anche nella prospettiva di gestire il trasferimento del rischio verso terzi, sia in ottica di coperture assicurative, ma anche trasferendo l’onere dell’implementazione delle misure di mitigazione mediante il ricorso ad un outsourcing di qualità, per esempio nell’ambito di percorsi di Cloud Journey. La capacità di determinare, anticipare e gestire le evoluzioni legate alle minacce esogene, oltre che al contesto interno dell’organizzazione, è ormai fondamentale nel quadro che il Rapporto ci permette di delineare.
Resta poi imprescindibile rafforzare la governance dei processi di patch & vulnerability management. Tanto si è fatto in Italia, come si riscontra dalla riduzione degli incidenti a Severity massima, ma il preoccupante dato globale di crescita del 76% degli attacchi basati su vulnerabilità note e 0-day deve essere di stimolo a mantenere alta l’attenzione.
È necessario ragionare in ottica di processi di reale presidio continuo della sicurezza di prodotti e servizi lungo l’intero ciclo di vita (SSDLC – Secure Software Development LifeCycle), sia in ambienti waterfall che agili (SecDevOps), adottando soluzioni che affrontino efficacemente l’ambito della sicurezza delle applicazioni su ogni elemento (servizi esposti, front end, middleware, applicazioni mobili, IoT) e non solo in fase di scrittura del codice.
In particolare, le logiche di security by design devono diventare parte dei processi di sviluppo di prodotti e servizi a partire da quando i servizi vengono concepiti, dall’on-premise al cloud, con una sempre più stringente gestione dei processi di sourcing e delle terze parti, non solo in ottica di compliance, ma anche in ottica di tutela aziendale. Il fenomeno degli impatti derivanti dalla sicurezza della catena di fornitura è forse uno di quelli che si dimostra più difficile da intercettare dai dati del nostro Rapporto, ma è certamente un fenomeno importante, sul quale si sta concentrando anche lo sforzo legislativo europeo e nazionale.
Tale tema diventa particolarmente rilevante nel mondo manufatturiero, o comunque ovunque siano presenti sistemi OT/IoT, spesso bersagli semplici per attacchi come i DDoS o che sfruttano le connessioni utilizzate dai manutentori.
Il Rapporto Clusit 2025 sarà presentato al pubblico il prossimo 11 marzo, in apertura di Security Summit, la tre giorni dedicata alla cybersecurity organizzata a Milano da Clusit con Astrea, Agenzia di Comunicazione ed Eventi specializzata nel settore della Sicurezza Informatica.
