Istantanea di un mercato in fervente evoluzione per farsi trovare pronti alla sfida
L’aumento del numero di minacce alla sicurezza online, l’impatto del COVID-19 e le recenti normative in tema di Cybersecurity, stanno cambiando il mercato della sicurezza informatica. Ne consegue una consapevolezza più ampia sui rischi della minaccia, anche se ancora non ottimale e una crescente adozione di valutazioni di rischio come premessa alla implementazione delle difese operative. Tanto che la richiesta di soluzioni avanzate di sicurezza informatica sta crescendo esponenzialmente.
Lo studio di Fortune Business Insights ha evidenziato come il mercato della Cybersecurity abbia raggiungo un valore di 153,16 miliardi di dollari nel 2020 e si appresti a superare i 165 miliardi nel 2021 fino a raggiungere i 366,10 miliardi di dollari nel 2028 con un CAGR del 12,0% nel periodo 2021-2028. Anche se l’impatto del COVID-19 ha causato un leggero impatto negativo sulla domanda in tutti i paesi durante la pandemia, il ricorso al lavoro da remoto, la conseguente estensione della superficie di attacco per i criminali e l’incremento massivo degli attacchi informatici che ne sono conseguiti, hanno in parte rilanciato la centralità della Cybersecurity a tutela del business. Dal Report di Fortune, infatti, si apprende come la domanda di soluzioni di sicurezza informatica nel settore sanitario, manifatturiero-industriale e governativo sia cresciuta esponenzialmente già durante la crisi pandemica e quindi i principali attori del mercato si sono concentrati sul lancio di varie soluzioni di sicurezza per proteggere le loro attività operative, dai gravi attacchi informatici di cui sono stati osservati materialmente gli impatti rovinosi. Contemporaneamente il mercato è frenato da molteplici fattori: Le soluzioni di sicurezza obsolete non proteggono sufficientemente dagli attacchi avanzati che coinvolgono reti, cloud ed endpoint; mancano professionisti ed esperti nell’innovazione e nello sviluppo di soluzioni di sicurezza; l’alto costo di implementazione e aggiornamento di soluzioni e servizi di sicurezza ne impedisce l’adozione tra le piccole e medie imprese.
Molte le contraddizioni, dunque, su scala globale evidenziate e fotografate dal Report di Fortune. In Italia abbiamo provato a scattare una fotografia grazie al contributo del Ceo di Tinexta Cyber, Marco Comastri:
Chi vuole fare impresa in Italia oggi che difficoltà incontra?
Prima di iniziare a fare impresa è bene capire cosa offra il mercato nel settore di interesse. Il settore della Cybersecurity in particolare deve ancora esprimere il suo pieno potenziale qui in Italia; certo è un mercato grande, con crescite sostenute, ma non c’è paragone con altri paesi sia perché hanno iniziato prima di noi, sia perché hanno avvitato prima di noi cospicui investimenti. Basta guardare anche allo sviluppo e penetrazione della banda larga, che mostra aree di miglioramento anche per i potenziali servizi. Anche se questa osservazione di contesto sembra essere un ostacolo per l’Italia, perché gli altri paesi sono più avanti di noi e in termini di concorrenza, se gli altri procedono velocemente, in Italia potremmo essere in difficoltà, possiamo leggere questa situazione da un diverso punto di vista: esiste un grande potenziale ancora inespresso per l’Italia in funzione di un mercato molto dinamico.
Nel mercato della Cybersecurity si stanno affermando molti attori anche “pivotando” il loro business originario. Cosa significa fare impresa in questo ambito e in questo particolare momento storico?
Il mercato cyber in Italia vale circa 2 miliardi di euro, con crescite nel prossimo compound rate del 10%, dunque un mercato grande con crescite significative. Ci sono molti player forse troppi, costituiti da tante piccole aziende e noi abbiamo voluto coprire il gap che mancava: una azienda di dimensione significativa che si occupi di Cybersecurity a livello nazionale. D’altra parte, occuparsi di Cybersecurity significa avere competenze significative che sono tanto necessarie quanto importanti. Per questo abbiamo acquisito Yoroi che ingloba Mediaservice, Swascan e Corvallis, tutte con competenze e prodotti specifici.
Gli strumenti del PNRR e del Recovery Fund potranno effettivamente dare un impulso di ripartenza?
Rispetto alle indicazioni al momento storico va detto che gli investimenti del PNRR sono importanti e ingenti e non si erano mai visti in Italia con molte parti del programma dedicate proprio alla Cybersecurity. Come esempio cito la gara Consip prevista per primi settembre, da 600 milioni proprio sulla Cybersecurity, ma se guardiamo alla PA sono stati previsti per la trasformazione digitale circa 20 miliardi e 10 miliardi dedicati alla Cybersecurity. Altro tema importante è quello dell’healthcare con 7 miliardi di investimenti e anche qui nella Cybersecurity sono richieste misure di sicurezza elevate. Dunque, in sintesi: esiste la concreta probabilità che il mercato raddoppi grazie al PNRR al Recovery Fund.
A cosa prestare molta attenzione da un punto di vista manageriale, nel risk management, per i rischi operativi correlati alla sicurezza informatica?
La sensibilità è migliorata negli anni e gli ultimi mesi, dunque siamo in una situazione più “attenzionata” però ci sono segmenti di mercato come, ad esempio, le pmi e le imprese piccolissime che non hanno strutture IT e non sono organizzate e quindi forse il rischio cyber non è percepito come dovrebbe. C’è molto da fare sia per la formazione sia per la divulgazione. Per le altre imprese Corporate è necessario migliorare il crisis managmeent, l’education e la threat intelligence che a mio avviso non sono sviluppate come sarebbe necessario. Basti pensare al rischio nella gestione di un attacco ransomware, le aziende sono impreparate per affrontare la questione del pagamento, per informare clienti e fornitori e spesso la cultura aziendale in tema di sicurezza informatica non è sviluppata come si dovrebbe. La ricetta che occorre in questi casi è costituita da advisory e consulenza. La formazione di base specialmente sul phishing è anche cruciale ma deve essere proposta in modo moderno mediante e-learning o altri strumenti innovativi e qui c’è bisogno di investimenti e di attività specifiche.
La trasformazione della Cybersecurity Istituzionale dal DIS all’agenzia per la Cybersicurezza ha ancora alcuni punti oscuri. Cosa auspica per questa agenzia soprattutto in relazione al tessuto industriale e delle aziende che operano nella cybersicurezza?
Senz’altro il progetto è benvenuto. L’agenzia è arrivata un po’ in ritardo rispetto agli altri paesi, ma rappresenta un importante interlocutore di riferimento con cui è importante confrontarsi e a cui dare idee. Il fatto spesso che ci sia una agenzia, aiuterà a creare norme che oggi non ci sono, a migliorare la tutela privacy dal punto di vista digitale con misure di sicurezza adeguate rispetto ai rischi, che oggi non sono più solo tecnici (tecniche e tattiche di attacco dal punto di vista digitale n.d.r.), ma sono da leggere in termini geopolitici (motivazioni degli attacchi n.d.r.).
Sul tema e sulle conseguenze delle verifiche tecniche per la certificazione ad opera del CVCN e dei centri di Certificazione secondo le linee guida europee di certificazione, che rischi ci sono rispetto alle tecnologie in uso oggi e soprattutto come prepararsi “agli esami” per le tecnologie e prodotti?
Le norme sono state sviluppate e si supporta il mercato per il loro adeguamento ma vedo il rischio che le norme possano imporre soluzioni. Invece, dovremmo trovare soluzioni che siano progressivamente al passo con innovazione e con gli attacchi piuttosto che dover solo rispondere alla compliance in termini di fardello burocratico da gestire. Certo oggi le norme hanno stimolato l’economia, ma sarebbe utile l’equivalente di una “Law of practice” più che avere criteri fissi da rispettare. Le tecnologie devono essere adottate per il valore che possono apportare e per l’innovazione. La norma definisce le regole del gioco, ma non dovrebbe imporre soluzioni. Quindi è importante l’orientamento agli standard, che creano un campo da gioco in cui le aziende si distinguono avendo provveduto a mettere in sicurezza i propri prodotti.
