Cybersecurity, la lista segreta delle aziende obbligate alle nuove regole

12/12/2018


Sono stati classificati come documenti critici per la sicurezza nazionale. E perciò sono stati secretati. Sono gli elenchi delle aziende italiane, pubbliche e private, che forniscono servizi essenziali per i cittadini – come energia, trasporti, acqua, banche – e che devono adeguarsi alle nuove regole europee della cybersecurity. Quelle stabilite dalla direttiva Nis (sulla sicurezza delle reti e dei servizi informativi), in vigore in Italia dalla fine di giugno.
 
Entro il 9 novembre il governo era tenuto a indicare quali società rientrano nella categoria operatori dei servizi essenziali (ose). Sono le attività che garantiscono i servizi indispensabili per la vita quotidiana di cittadini e imprese. Vi rientrano le banche, le società del trasporto pubblico, dai treni agli aerei, quelle energetiche, di telecomunicazioni, i servizi idrici, gli ospedali. Questi operatori sono tenuti ad adottare alti standard di cybersecurity, per prevenire attacchi informatici, e, in caso finissero nel mirino, a dichiarare la violazione dei sistemi.
 
Nel 2017 il virus Wannacry era riuscito, per esempio, a infiltrarsi nelle reti di ospedali, compagnie telefoniche e stazioni dei treni.
Ciascun ministero era incaricato di individuare i suoi ose, da inserire nell’elenco generale, con informazioni relative al numero di utenti serviti o alla sua importanza sul piano nazionale. Trascorsa la scadenza del 9, tuttavia, Palazzo Chigi non ha diffuso alcuna informazione a riguardo. Perché? Semplice: perché gli elenchi sono stati reputati troppo sensibili per essere diffusi.
 
Di conseguenza, sono stati secretati. Lo conferma a Wired Arturo Di Corinto, responsabile comunicazione del laboratorio di cybersecurity del Cini, che a sua volta era interessato all’esito del lavoro sulla direttiva Nis.

L’obiettivo principale della clausola di segretezza è tutelare le aziende più piccole dalle mire di attacchi informatici. Si può immaginare che nelle liste rientrino grandi aziende italiane come Intesa Sanpaolo o Unicredit sul versante bancario, Ferrovie o Alitalia per i trasporti, Enel, A2a, Hera o Iren in campo energetico.
Ma a queste si aggiungono decine di piccole aziende, ex municipalizzate per esempio, meno attrezzate sul fronte della cybersecurity. La soluzione del governo è di oscurarle dai radar dei criminali informatici sotterrando il nome. Tuttavia basta navigare in internet per risalire a questi operatori. Conseguenza di questa scelta è anche una comunicazione opaca ai cittadini, che sono tenuti a essere informati sugli obblighi che fornitori di energia, gas, trasporto o sanità sono tenuti rispettare. Non solo per la sicurezza dei loro dati, ma anche per garantire il servizio. In questo modo, invece, cittadini e imprenditori resteranno all’oscuro.

Oltre agli ose la Nis identifica anche i fornitori di servizi digitali (fsd), a cui spettano i medesimi obblighi. Tra questi rientrano i colossi della rete, come Google, o le piattaforme di ecommerce, come Amazon o eBay. Anche queste aziende sono tenute a denunciare gli attacchi subiti. Le autorità da informare subito sono due. Il primo è il futuro Csirt (Computer security incident response team), un ufficio alle dirette dipendenze della presidenza del Consiglio, che dovrà assorbire le funzioni di altri uffici già attivi. I secondi sono i ministeri responsabili. Per esempio, lo Sviluppo economico per le telecomunicazioni o la Salute in caso la vittima sia un ospedale.

Gli attacchi informatici, d’altro canto, sono in crescita. Nei soli primi sei mesi dell’anno se ne registrano 730 di grave natura, il 31% in più rispetto al 2017. I dati sono dell’Associazione italiana per la sicurezza informatica (Clusit). Il cybercrime ha messo a segno 587 colpi tra gennaio e giugno, ancora più numerosi (+35%) e più aggressivi di quelli dello scorso anno. E, spiega il presidente di Clusit, Gabriele Faggioli, si “rileva un vero e proprio boom (+69%) di attacchi di spionaggio-sabotaggio, con 93 casi”. (Fonte: https://www.wired.it)