Cybersecurity e infrastrutture critiche, serve un approccio diverso

ROMA (ITALPRESS) – L’avanzare delle tecnologie e il livello di digitalizzazione determinano l’aumento di interdipendenze e rischi condivisi, tanto da causare un cambiamento anche nel concetto di “infrastruttura critica”: questa iper-digitalizzazione ha reso più complesso definire ciò che è critico per un paese. Lo evidenziano Lucia Lucchini, Cyber Risk Manager di Deloitte UK, e Vittoria Durazzano, Senior Consultant in Cyber Risk di Deloitte Italia, in un articolo su Fortune Italia.“Per anni si è parlato di infrastrutture critiche – spiegano Lucchini e Durazzano -, ma oggi è più opportuno parlare di servizi considerati essenziali non solo dai governi, ma anche dai cittadini”. Si sta passando, inoltre, da una difesa preventiva, che ha il fine di prevenire gli attacchi, a una difesa “dinamica e proattiva”, al punto che si parla di “resilienza”.L’uso di strumenti digitali, in quella che viene definita come una “super maglia digitale” che collega “tutto e tutti”, ha creato, quindi, un’interdipendenza tra servizi. I servizi critici, dunque, non sono solo quelli percepiti come tali ma anche quei servizi che “abilitano – e che hanno il potenziale di alterare – ciò che riteniamo essere essenziale per il funzionamento di una società”.Anche a livello normativo, infatti, è emersa la necessità di avere una visione “meno rigida e più fluida” di ciò che è critico per il funzionamento e il benessere di uno Stato. Lo dimostra, spiegano ancora Lucchini e Durazzano, quanto previsto dal Regolamento Ue 2022/2554, noto come Digital Operational Resilience Act (DORA), il regolamento per la resilienza delle entità finanziarie dell’Unione Europea che fa riferimento non solo alle entità del settore finanziario ma anche a terze parti che forniscono loro servizi.Per questo, secondo Lucchini e Durazzano, diventa “necessario stabilire una nuova prospettiva sulla sicurezza, che si sposta dalla prevenzione alla resilienza. Il tema centrale, per gli stati, le aziende e i singoli cittadini, dovrebbe concentrarsi non tanto su quali sono i controlli da implementare per prevenire l’attacco, ma piuttosto capire come riuscire a riprendersi il prima possibile e limitare impatti e conseguenze”.Occorre, quindi, sviluppare una “resilienza operativa efficace” riuscendo a comprendere quali sono le diverse tipologie di rischio per un’entità o anche per un intero settore.Di fronte a tutto questo, nonostante si stia cercando di superare il concetto di prevenzione, prevedere resta comunque un elemento importante. E’ necessario, quindi, “promuovere – spiegano Lucchini e Durazzano – anche una cultura che vada oltre la singola entità, e di condividere invece informazioni tattiche e strategiche all’interno di un settore. Questo permetterebbe – evidenziano – di abilitare quella che viene definita shared situational awareness, ovvero la capacità di un ecosistema di avere una visione olistica delle minacce e delle vulnerabilità quasi in tempo reale, migliorando così la preparazione prima, la capacità decisionale durante e l’attuazione di misure correttive dopo eventuali attacchi cibernetici e incidenti imprevisti”.

– foto libera da diritti da www.pexels.com –