Il mito del rischio zero nel cyberspazio: perché la sicurezza assoluta non esiste

Una serie di interviste "Dialoghi sul Futuro Digitale" dedicate ad offrire spunti di riflessione e approfondimenti, a partire da convegni, seminari, progetti in ambito Terza Missione. Uno spazio per interagire e dialogare con docenti del Dipartimento, al fine di tratteggiare e comprendere alcuni percorsi futuribili o già presenti. 

L'articolo è di Francesca Montuschi, del Settore della comunicazione e informazione del dipartimento.

Il cyberspazio, in un’epoca digitale così pervasiva, si può asserire sia un ambiente ubiquitario e inestricabile dalla vita quotidiana. Tuttavia, come osserva il prof. Gabriele D’Angelo, del Dipartimento di Informatica – Scienza e Ingegneria, nel libro Cybersicurezza. Che cos’è e come funziona, “la cybersicurezza è frequentemente incompresa nella sua portata reale: molte persone associano la sicurezza informatica unicamente a elementi tecnici come password o aggiornamenti software, ignorando fenomeni più strutturali, come crittografia, vulnerabilità zero-day o attacchi APT (Advanced Persistent Threats)”. Questa difficoltà di comprensione evidenzia un doppio svantaggio: se la cybersecurity diventa un concetto vago nel dibattito pubblico, rischia di essere ridotta a un insieme di adempimenti formali in ambito istituzionale. La cybersecurity non è un prodotto finito né uno stato statico, ma un “processo dinamico”, continuo e adattivo, che richiede una consapevolezza diffusa e multilivello. In questo senso, la conformità normativa rappresenta una condizione necessaria, ma non sufficiente, per garantire una sicurezza “reale” ed efficace; “la cybersecurity è molto più che la semplice protezione contro spyware o phishing: è un sistema di difesa socio-tecnico”.

Bias cognitivi e percettivi influenzano spesso la valutazione soggettiva del rischio nelle attività quotidiane. Il risk management, favorendo una sua valutazione quantitativa, può contribuire a ridurre decisioni errate dovute a percezioni distorte, inclusa la diffusa aspettativa di un rischio pari a zero?

Molte attività quotidiane vengono svolte con successo grazie alle capacità cognitive innate e alle competenze acquisite nel tempo. Tuttavia, alcune di esse continuano a evidenziare limiti significativi nei processi decisionali, e tra queste anche la valutazione del rischio. Gli individui tendono infatti a stimare il rischio in modo impreciso, adottando decisioni irrazionali o oggettivamente errate, come dimostra la diffusa paura di volare, nonostante evidenze statistiche consolidate indichino un rischio maggiore associato ad altri mezzi di trasporto. L’incapacità di valutare il rischio in modo corretto e razionale emerge chiaramente anche nella frequente richiesta — che talvolta diviene pretesa - di sistemi, meccanismi o procedure che garantiscano un rischio nullo. Ma il concetto di rischio zero è incompatibile con la realtà dei sistemi complessi e, prima o poi, è necessario riconoscerne l’inattuabilità. L’analisi qualitativa del rischio è inevitabilmente influenzata dal giudizio soggettivo del decisore, che può essere condizionato da atteggiamenti eccessivamente ottimistici o pessimistici. Al contrario, l’analisi quantitativa si fonda, quando possibile, su elementi oggettivi e misurabili - come dati di settore, livelli di competenza del personale e stato dei sistemi - consentendo una valutazione più razionale e riproducibile. La statistica ci permette poi di individuare scarti medi e probabilità di accadimento.

L’impossibilità di realizzare sistemi completamente sicuri, ovvero privi di rischio, non implica che non si possa rafforzare la postura di sicurezza di un ente. Questo riguarda non soltanto gli aspetti tecnologici, ma deve coinvolgere in modo significativo l’organizzazione e, ancora più importante, favorire un cambiamento culturale - spesso trascurato - che promuova consapevolezza, responsabilità e comportamenti adeguati. Questo approccio integrato è esplicitamente richiamato dalla Direttiva NIS2.

L’Unione Europea da vari anni ha riconosciuto questa situazione di mancanza di sicurezza e ha cercato di correre ai ripari per mezzo di un’azione normativa ampia e che coinvolge in modo diverso vari settori, sulla base delle loro esigenze specifiche. Ovviamente non tutti i settori sono uguali: ad esempio il sistema bancario ha caratteristiche ed esigenze diverse da quelle della grande distribuzione. Una di queste normative, la direttiva NIS2 (Network and Information Security 2) è stata recentemente aggiornata, e ha lo scopo di creare un livello comune di sicurezza, più elevato rispetto al passato, per le infrastrutture digitali in tutta l’Unione. Per mezzo di questa direttiva è stato esteso l'obbligo di protezione a più settori considerati critici o altamente critici. La norma, al fine di produrre risultati concreti, aumenta le sanzioni in caso di inadempienza e prevede una serie di misure tecniche e organizzative molto più stringenti rispetto al passato. Pur se non dichiarato esplicitamente, uno dei veri obiettivi di questo sforzo normativo è quello di portare ad un cambiamento culturale: la cultura della sicurezza in ambito digitale.

Viene sancito in modo esplicito il superamento di una concezione operativa e delegata della cybersecurity, qualificandola come responsabilità del governo dell’ente. In quale misura figure tecniche con competenze gestionali possono facilitare, da un lato, la garanzia di compliance e, dall’altro, la sicurezza effettiva?

La compliance tende a fotografare un determinato assetto organizzativo e tecnico in un preciso momento temporale, mentre le minacce cyber evolvono ad una velocità che supera quella dei cicli regolatori e delle verifiche ispettive. Ne deriva una frizione strutturale: la sicurezza “formale” risponde alla norma; la sicurezza “reale” risponde all’attaccante. In questo contesto, figure tecniche con competenze gestionali svolgono un ruolo cruciale di collegamento tra chi prende le decisioni e chi opera sul piano tecnico. Questi profili aiutano a trasformare gli obblighi normativi e i principi di sicurezza in scelte concrete, comprensibili e sostenibili per l’organizzazione, favorendo un’applicazione effettiva delle misure di protezione. Svolgono anche una funzione abilitante nel raccordo tra livello strategico, tattico e operativo. Perché questo accada è però fondamentale che si tratti di figure poste alle strette dipendenze del board di un ente.

Le università e, più in generale, la pubblica amministrazione rientrano tra i settori critici indicati dalla Direttiva NIS2. Interrompere le attività di un ateneo o compromettere i dati che custodisce può avere conseguenze gravi; perciò, è fondamentale gestire questi rischi in modo efficace. La resilienza digitale può aiutare a proteggere i dati e la continuità operativa?

L’università, così come qualsiasi organizzazione sottoposta alla normativa, deve rivedere strutturalmente il suo rischio cyber e mettere in atto una serie di iniziative per ridurlo e gestirlo. Questo processo, tutt’altro che semplice, impone l’uso di tecnologie adeguate, ma soprattutto la revisione specifica delle procedure interne. Tutto questo deve fare in modo che, per un eventuale attaccante, sia più complesso prendere il controllo dei sistemi interni o sottrarre informazioni. La NIS2 non si limita a imporre misure tecniche, ma introduce un vero e proprio modello di governance del rischio cyber, fondato su tre pilastri: responsabilità del management, gestione strutturata del rischio, resilienza operativa dei servizi essenziali. In altre parole, la NIS2 non chiede solo cosa proteggere, ma come e chi deve essere responsabile della protezione.

Un ulteriore nodo critico riguarda il controllo dell’operato di coloro che amministrano e presidiano la sicurezza. In considerazione del ruolo cruciale che rivestono, quali misure di salvaguardia possono essere previste?

La cybersecurity pone una domanda epistemica e organizzativa di lungo periodo, ovvero chi controlla l’operato degli amministratori di sistema. Ne deriva un elemento inevitabile di fiducia, sia interna all’organizzazione sia verso fornitori esterni, auditor e autorità di controllo. Tale fiducia non è assoluta bensì fondata su meccanismi di accountability, trasparenza, segregazione dei ruoli e possibili verifiche indipendenti, così come da una cultura etica orientata alla difesa collettiva. Nonostante questo, è innegabile che, allo stato attuale tecnologico e scientifico, l’elemento di fiducia incentrato su alcune persone sia imprescindibile e probabilmente anche auspicabile.

Riproduzione riservata © copyright