Parafrasando Flaiano, la situazione sulla sicurezza digitale in Italia è molto grave ma pur tuttavia non è seria...

Mi è capitato stamani, nelle scorribande sul darkweb di imbattermi in una mole di dati rubati di notevole entità probabilmente grazie al ransomware Rhysida che in Italia miete vittime spesso e volentieri. E probabilmente avendo pubblicato neanche il 50% dei dati è lecito pensare che ci sia una trattativa…

Quello che colpisce è la mole di dati sensibili rubati ad un istituto importante e primario come il Prosperius (ho trovato anche dati riguardanti la mia persona) e addirittura dati rubati alla Polizia di stato riguardanti una calciopoli toscana fatta di compravendita giocatori, combine, intercettazioni, arrivo nuovi calciatori ivoriani e chi più ne ha più ne metta.

Ma quello che fa parecchia paura è che la gente comune...

i semplici naviganti, i liberi professionisti, gli imprenditori, i dipendenti, i dottori come gli imbianchine e insomma tutta il l’Italia tranne i pochi addetti ai lavori non ha la benché minima idea di quello che sta succedendo sotto i loro piedi, del mercimonio dei loro dati, fatto di riscatti (spesso pagati) e contrattazioni in barba ad ogni più elementare diritto. Per esempio la Sig.ra Simona di Campi non sa che in questo momento il risultato della sua Tac è a disposizione di tutto il mondo cosi come tutti i suoi dati. La verità, e lo diciamo da anni, è che non siamo pronti a gestire tutto questo e allora meglio tacere e fare finta che non succede.

Lo stato della cybersecurity in Italia?

Carente è un eufemismo. Diciamo che appena il 5% delle aziende ha una rete e un disaster recovery in grado di reagire agli attacchi informatici. Nel 2021 il business della sicurezza informatica era aumentato del 15% rispetto al 2020. Nel 2022 l’aumento è stato del 18%, per un valore complessivo pari a 1.800 milioni di euro. Se da una parte questo è confortante perché dimostra la volontà delle aziende di destinare maggiori risorse economiche alla sicurezza informatica, dall’altra spaventa la carenza di figure altamente specializzate in cyber sicurezza. Spesso chi ricopre posizioni apicali nelle grandi aziende delega la sicurezza dei propri dati a semplice personale IT con scarse competenze e il risultato è estremamente angosciante:

nel 2022 il volume di dati personali o aziendali rubati presente nel dark web è triplicato rispetto al 2021. Indirizzi e-mail individuali o aziendali corredate di password username, numeri di telefono. Aumentata anche la presenza di informazioni relative alle carte di credito, anche queste corredate del codice di sicurezza (CVV) e data di scadenza.

Questo è semplicemente quanto evidenziato dall’Osservatorio Cyber realizzato da Crif, io ci aggiungo come ciliegina sulla torta che in Italia ci sono ancora migliaia siti web la cui struttura relazionale è gestita da Access, database di 20 anni fa che è in grado di aprire anche mio nipote di 8 anni.

Ecco, io credo che il primo passo verso una più concreta difesa dei dati debba partire proprio dalla presa di coscienza da parte di tutti della reale situazione, dalla certezza che i nostri dati non sono più al sicuro e dalla consapevolezza che non è possibile continuare a far finta che vada tutto bene.

Occorre fissare delle regole precise:

• Rifacimento di tutte le strutture informatiche con linguaggi di programmazione moderni.
• Utilizzo dei più moderni strumenti anti attacco su piattaforme esposte alla rete.
• Ogni supporto digitale personale o aziendale, che sia un pc o un tablet o uno smartphone deve avere il suo antivirus e il suo gestore di password, strumenti oramai indispensabili.

Siamo in guerra, prima l’accettiamo e prima ci armiamo.