Lo scenario (anche se sarebbe meglio dire: gli scenari) di cyberwarfare cui stiamo assistendo si colloca su un livello mai visto prima, o così viene recepito. Ma se questo è un fatto comunemente riconosciuto come vero, gli sguardi della maggior parte delle organizzazioni sono rivolti “verso l’alto”. La circostanza – e mi voglia perdonare il ministro Cingolani – riporta alla mente la storia del pozzo in cui Talete cadde perché troppo impegnato a guardare il cielo e i massimi sistemi.
Così, alcuni potrebbero ritenere aprioristicamente di non poter essere coinvolti in alcun modo dai rischi derivanti dalla cyberwar in quanto le minacce emergenti difficilmente potranno avere una rilevanza o un impatto nei confronti dei propri sistemi. E qui giace un errore ben poco scusabile, nonostante la possibile vaghezza che potrebbe essere contestata alle indicazioni del CSIRT.
Vaghezza non tanto riscontrabile nelle azioni di mitigazioni raccomandate “in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza ed al rispetto delle misure previste dalla legislazione vigente”, le quali per ovvie ragioni devono avere un carattere di generalità e considerano il mutamento dei rischi derivanti da contesto esterno, ma più che altro nelle premesse. “Sebbene al momento non vi siano indicatori in tal senso” non presenta molto bene un’allerta sui rischi cyber, quanto meno a livello comunicativo. Così come lo è la scelta – purtroppo fin troppo diffusa nel nostro Paese – del modo verbale condizionale in luogo dell’indicativo.
L’errore in cui molti cadono, sono caduti e cadranno sarà pertanto qualificare uno stato di incertezza non come rischio bensì come esclusione di responsabilità, magari invocando in modo improprio circostanze di forza maggiore o semplicemente ritenendolo aprioristicamente poco rilevante dal punto di vista tecnico. Ma nel GDPR la sicurezza dei trattamenti deve essere adeguata al rischio e fra le misure esemplificative elencate dall’art. 32.1 rientra, alla lettera d) “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”. Allo stesso modo la ISO/IEC 27001: 2018 prevede che il sistema di gestione della sicurezza delle informazioni sia monitorato e reagisca ai mutamenti degli scenari di rischio. Dunque, la prima vulnerabilità che deve essere contrastata riguarda ancora una volta quell’oramai famigerato fattore umano di cui tanto si narra nella sicurezza delle informazioni, forse con troppa vaghezza nel momento in cui viene richiesto un come trattarlo. In questo caso è necessaria prima di tutto la consapevolezza (awareness) dei vertici dell’organizzazione e degli stakeholder che il mutamento dello scenario di rischio cyber, pur ad alto livello, riguarda anche la propria organizzazione. E dunque della sussistenza di una responsabilità per attivarsi a riesaminare i rischi e correggere le vulnerabilità rilevate, onde evitare di trovarsi nell’elenco dei collateral damage di una cyberwar, ad esempio per effetto della propagazione di un malware o un attacco che coinvolge la propria supply chain.
