La sfida dei budget insufficienti è emersa nel recente studio di Sopra Steria, Cybersecurity in the Age of AI. Nel frattempo, il Rapporto sulla situazione della sicurezza informatica 2024 del BSI, pubblicato in autunno, offre un quadro chiaro della minaccia cyber: gli attacchi DDoS contro la pubblica amministrazione sono in forte aumento, sia in termini di frequenza che di complessità.
Inoltre, le infrastrutture cloud sono sempre più spesso nel mirino, in particolare i cloud pubblici. E più i modelli di intelligenza artificiale vengono utilizzati, maggiore è il potenziale impatto sulla sicurezza delle informazioni, inclusi la riservatezza e l’integrità dei dati.
Dal punto di vista normativo, la Direttiva Europea NIS2 avrebbe dovuto garantire certezza giuridica e chiarezza nella pianificazione. Tuttavia, la sua attuazione ritardata ha finito per generare confusione: bozza dopo bozza, sono cambiati ambiti di applicazione, requisiti, riferimenti a regolamenti ancora da emanare e stime dei costi legati a budget e compliance.
La cyber security, purtroppo, comporta dei costi e non esistono soluzioni miracolose da acquistare. Considerata la situazione attuale dei budget, esistono però alcuni spunti pratici per aiutare il settore pubblico a valorizzare le risorse già disponibili, migliorando almeno in parte l’efficienza della sicurezza informatica in modo sostenibile e senza costi aggiuntivi.
Tutti attorno allo stesso tavolo
Pochi dubitano del fatto che sia necessaria una maggiore cooperazione e condivisione di informazioni tra pubblica amministrazione, mondo accademico, imprese e società civile. Allo stesso modo, è evidente che l’intera pubblica amministrazione sarebbe più sicura se i modelli di attacco venissero condivisi attraverso i portali di threat intelligence del governo federale e dei Länder, rendendoli così accessibili gratuitamente a tutti i soggetti potenzialmente coinvolti. Anche la condivisione delle risorse dei Computer Emergency Response Team (CERT) risulterebbe molto più efficiente ed economica rispetto al mantenimento di squadre separate per ciascuna amministrazione.
Tuttavia, in Germania la caratteristica principale dell’architettura di cyber security rimane la frammentazione. La cooperazione è dunque essenziale per aumentare l’efficienza mantenendo invariato l’impegno di risorse. Ciò significa sedersi attorno a un tavolo e valutare quali istituzioni siano strutturalmente e tecnicamente più adatte ad assumere compiti condivisi in futuro. Associazioni come Bitkom, l’Alleanza Nazionale per la Cyber Security o la Quadriga del Patto Nazionale per la Sicurezza Informatica rappresentano interlocutori pronti al confronto. Questo lavoro preliminare è anche fondamentale per preparare i necessari cambiamenti strutturali in vista della prossima legislatura.
Sfruttare le opportunità formative gratuite
Secondo lo studio Sopra Steria, i decision maker della pubblica amministrazione individuano due principali ostacoli al miglioramento della cyber security: la carenza di competenze specialistiche (65%) e la scarsa consapevolezza delle minacce nell’era dell’intelligenza artificiale.
Questa esigenza di conoscenza rappresenta una vera sfida. Tuttavia, la pubblica amministrazione si trova in una posizione vantaggiosa sotto diversi aspetti, grazie alle risorse informative e formative gratuite messe a disposizione dal Federal Office for Information Security (BSI): gli standard di sicurezza informatica per la pubblica amministrazione (BSI IT-Grundschutz Standard 200-1 a 200-4) sono infatti disponibili gratuitamente, completi di linee guida, istruzioni operative e modelli semplificati per l’implementazione. Inoltre, il BSI offre gratuitamente sul proprio sito tutti i materiali didattici per la formazione di professionisti IT-Grundschutz, in un formato chiaro e accessibile.
Grazie a quasi due decenni di attuazione del piano federale di implementazione, esiste già una base solida di personale specializzato in sicurezza informatica, che può beneficiare di formazione continua di alta qualità e a costi contenuti.
Almeno a livello organizzativo, queste offerte gratuite dovrebbero permettere di introdurre misure preventive senza ulteriori risorse materiali, contribuendo così a rafforzare la capacità di difesa delle amministrazioni.
Affrontare il fattore umano
Quando si parla di consapevolezza, esistono anche alcune misure a basso costo che possono fare la differenza. La tendenza umana alla distrazione o alla pigrizia, come trascurare le politiche sulle password, parlare liberamente di lavoro in luoghi pubblici o lasciare il laptop sbloccato, continua a rendere il compito degli attaccanti più facile del necessario. Nel Cloud Security Study 2024 del gruppo tecnologico Thales, il fattore umano è ancora in cima alle sei principali categorie di minacce: errori di configurazione e comportamenti umani sono stati la causa del 31% degli incidenti sui dati. Risultati coerenti con lo studio Sopra Steria, secondo cui il 43% degli intervistati indica le reazioni inadeguate dei dipendenti ad attacchi come il phishing come uno dei principali rischi.
Un’analisi delle misure adottate dalle organizzazioni rivela chiaramente dove si annida il problema: solo il 48% offre formazione regolare sulla cyber security, e appena il 44% dispone di linee guida per l’accesso all’infrastruttura IT dal lavoro da remoto.
A peggiorare la situazione contribuisce anche l’uso ancora poco regolamentato dell’intelligenza artificiale nella vita quotidiana. Il 50% degli intervistati dichiara di utilizzare applicazioni di AI almeno una volta al mese nel proprio lavoro, ma solo il 27% dei datori di lavoro offre formazione o linee guida specifiche per questo utilizzo. Ciò apre la porta a nuovi rischi legati all’AI, già evidenziati dal BSI. Il bisogno di interventi mirati sulla consapevolezza è dunque oggi più urgente che mai.
Tre suggerimenti a basso costo
- Promuovere la consapevolezza di base
Linee guida interne per l’uso di servizi cloud, dispositivi mobili fuori ufficio o modelli di intelligenza artificiale possono essere sviluppate in pochi giorni di lavoro dai team interni, utilizzando il materiale di riferimento del BSI già disponibile.
- Aumentare la frequenza della formazione
I materiali formativi esistenti dovrebbero essere riproposti con maggiore regolarità, magari accompagnati da un obbligo di partecipazione o da una verifica dell’avvenuta formazione da parte del personale.
- Stimolare l’autoriflessione
Ognuno dovrebbe verificare periodicamente se applica davvero le misure di sicurezza di base, come cambiare regolarmente le password, utilizzare una connessione VPN o proteggere lo schermo del laptop da sguardi indiscreti. Le amministrazioni possono favorire questo processo tramite campagne interne automatizzate, senza dover sostenere investimenti significativi.
Non considerare queste misure come soluzioni temporanee
Nessuna delle misure descritte sopra, da sola, sarà sufficiente a massimizzare la sicurezza informatica all’interno delle amministrazioni pubbliche tedesche. Tuttavia, anche la migliore e più costosa soluzione tecnologica non può raggiungere questo obiettivo da sola. Anche in presenza di bilanci pubblici più generosi, le autorità federali, statali e locali dovrebbero comunque affrontare le stesse sfide menzionate.
Per questo motivo, queste azioni non devono essere viste come soluzioni tampone per sopravvivere al 2025 in materia di cyber security, ma come passaggi necessari che il settore pubblico deve intraprendere in ogni caso, insieme ad associazioni e partner del settore privato, e che, a differenza di altre iniziative, possono essere avviati anche con le risorse attualmente disponibili.
____________________________________________________