Tutelare il Made in Italy significa proteggere le PMI rispetto ai rischi Cyber considerandole come una nuova infrastruttura critica singolarmente o come sistema produttivo
Secondo l’ultimo Rapporto CERVED PMI 2017 sono 140.362 le società PMI (115.773 piccole imprese e 24.859 medie aziende n.d.r.) e producono un giro d’affari di circa 871 miliardi di euro, con un valore aggiunto di 204 miliardi (pari al 12,5% del PIL). Ancora secondo il Rapporto, le PMI hanno espresso fino alla fine del 2017, una crescita di fatturato pari a +2,3%, un valore aggiunto di +4,1 e margini lordi pari a +4,1%. Secondo Eurostat inoltre le PMI italiane muovono il 51% delle merci importate tra i paesi dell’Unione Europea e il 45% di quelle esportate per una produzione totale del 54,4% delle merci vendute all’interno dell’Unione Europea, che le colloca di circa 10 punti sopra alla media europea ferma al 44,6%. Le PMI rappresentano dunque una indiscutibile ricchezza, che non può essere lasciata indifesa di fronte alla minaccia digitale. Di tutto questo si è parlato durante i “link Cyber days” con una sessione dedicata proprio alle piccole e medie imprese dal titolo “Cybersecurity e tutela del made in Italy: PMI come nuova infrastruttura critica”.
La minaccia digitale come rischio reale
Se le PMI rappresentano la dorsale produttiva del paese è necessario che aumenti l’attenzione verso la loro sicurezza informatica perché non solo possano continuare a competere localmente pur orientandosi alla digitalizzazione, ma perché un loro crollo singolo o di sistema si riversa immediatamente sulla filiera di appartenenza e sulla supply chain di quel “made in italy” brand che deve essere difeso a livello nazionale, locale, come un bene collettivo e del singolo, per l’importante incidenza sul PIL e sulla occupazione del Bel Paese. Troppo spesso infatti, i piccoli artigiani che pure si orientano alla digitalizzazione non pensano alla sicurezza informatica, in parte per mancanza di cultura specifica a questo ambito, in parte perché implementare misure di cybersecurity ha un costo e troppo spesso le piccole imprese non hanno risorse da devolvere, se non quelle strettamente necessarie alla compliance normativa.
L’imprenditore medio “non ne sa” di sicurezza informatica e forse non percepisce troppo il rischio, ma soprattutto non può fermarsi dal fatturare, non può rallentare dal suo core business, così rinuncia a proteggersi o inconsapevolmente o volutamente. Parlare di PMI e cybersecurity, significa fare il punto della minaccia delle diverse angolazioni di visuale per stimolare un dibattito, ma anche sottolineare come si debba pensare a misure di sistema per la difesa della PMI.
La minaccia
Pierluigi Paganini CTO di CSE-CybSec Enterprise SpA e membro ENISA in tema di minacce che hanno imperversato sulle aziende italiane spiega che l’incidenza, secondo dati della Banca D’Italia, è pari al 47% su base nazionale. I dati si riferiscono ad aziende medio grandi che solitamente possono contare su bugdget dedicati al comparto informatico ed alla protezione dei loro asset. Le microimprese invece si presentano senza difese o quasi, per le poche risorse da devolvere o perché adottano sistemi in Cloud senza curarsi della loro parte di responsabilità in termini di sicurezza sul modello Cloud prescelto o perché il Cybercrime as-a-service ha un tale successo che forse sono state già colpite senza saperlo. A complicare il quadro delle PMI ci sono anche malware cryptominers che oltre a infettare altre macchine, contribuendo a diffondere l’infezione, consumano risorse macchina peggiorando, se non fermando, le performance operative degli asset aziendali coinvolti.
La scenario italiano delle PMI
Secondo Lorenzo Tagliavanti, presidente camera di commercio di Roma (CCIAA), il tema Cyber costituisce un elemento importante per la camera di commercio di Roma interessata a tutelare il Made in italy che è un brand fra i più ricercati della rete e possiede un carattere peculiare: è senza titolare singolo, ma rappresenta un brand economico collettivo di grande valore commerciale e associato ad un sistema imprenditoriale diffuso costituito da medie, piccole e piccolissime aziende, caratterizzate dalla grande varietà e adattabilità del prodotto ai gusti dei clienti grazie all’individualismo dell’imprenditore italiano.
Esiste una bassa percezione della sicurezza per i servizi digitali che sono percepiti come dovuti gratuitamente e su cui non ci preoccupa che siano sicuri, tanto che addirittura nei bandi di gara non sono richiesti servizi o requisiti minimi di sicurezza se non qualche certificazione specifica. Degli attacchi subíti si parla poco o nulla temendo danni di immagine. Le imprese non sono pronte a contrastare le minacce, ed esiste un problema italiano che può impattare l’export. Il 5% delle aziende considera non strategico tenere in considerazione la sicurezza e quindi l’attacco idealmente vince ancor prima di essere sferrato. Inoltre, se ogni singola PMI diventa vittima, può incidere sulla filiera a cui appartiene e diventare essa stessa una falla nel sistema economico che si basa sulle piccole realtà. Da qui il problema della supply chain che eroga servizi e prodotti ai colossi, ma che può essere soggetto ad un effetto “cavallo di troia” se una delle piccole imprese della filiera che rappresenta l’anello debole dovesse cadere (cosiddetto attacco alla supply chain n.d.r.).
Ma forse è l’intero il sistema delle PMI a non essere pronto, o addirittura questo sistema di piccoli imprenditori non si occuperà di difendersi nella speranza che gli attaccanti si rivolgano alle grandi aziende e tralascino le più piccole, pensando di avere tempo per fare qualcosa. Invece il tempo non è più rimandabile e se si vuole entrare nell’ economia digitale è tempo di dotarsi di difese.
Una difesa di sistema
Per iniziare a cambiare, secondo Pierluigi Paganini, si rende necessario incentivare una cultura della sicurezza ma che sia calata sui singoli settori di mercato. Certamente il Regolamento Generale sulla Protezione dei Dati (GDPR) potrà aiutare in questo processo sulla cultura e responsabilizzazione alla sicurezza informatica ma sono anche necessari interventi di sistema. Infatti, proteggere la singola micro e piccola impresa significa proteggere un sistema di mercato che rappresenta una porzione importante dello Stato e quindi dalla sicurezza di ogni impresa componente del sistema, dipende la postura di sicurezza di ogni singolo utente.
Per Antonio Franceschini della Confederazione Nazionale dell’Artigianato e della Piccola e Media Impresa (CNA), non esiste alcun prodotto panacea per la sicurezza, se non la formazione ai dipendenti, ma le microimprese non possono investire risorse, per consulenze o per corsi. Nel sistema delle piccole imprese si dovrebbe sviluppare un sistema di formazione dedicato alle PMI magari anche per la Cyber-igiene di base.
Per una appropriata valutazione del rischio è stata ricordata l’adozione del framework nazionale per la cybersecurity che è stato pensato proprio per le PMI, ma anche i 15 controlli essenziali per la cybersecurity presentati a marzo 2017.
Quale che sia l’approccio, sottolineano Tagliavanti e Franceschini, non può prescindere dal tenere conto della esigenza primaria dell’imprenditore che è quella di portare avanti il suo lavoro e a fatturare, senza essere frenato. Se la cybersecurity diventasse un ostacolo o fosse percepito come un problema ingessante, il piccolo imprenditore potrebbe infischiarsene dell’infezione e volutamente re-installare il proprio PC o server pur di poter andare avanti senza curarsi o essere cosciente che la minaccia potrebbe continuare a spiarlo per danneggiarlo in modi diversi. La soluzione deve quindi essere pensata e messa in pratica in una modalità di servizio di outsourcing, fruibile rapidamente per le PMI e a basso costo e comprensiva di training e relativi aggiornamenti progressivi e crescenti.