Stefano Gazzella : 31 Ottobre 2024 07:49
Si sa, ottobre è il mese europeo della sicurezza cyber. E non solo: i 18 ottobre 2024 è applicabile l’obbligo per tutti i Paesi dell’Unione l’obbligo di recepimento della direttiva NIS 2 con lo scopo di promuovere un livello comune elevato di cybersicurezza. Ironia della sorte, è stato il mese in cui è emerso lo scandalo Equalizer e si parla molto – non sempre in modo avveduto – di accessi abusivi, traffico di dati e cybercriminali.
La vicenda ben potrebbe essere uno spunto per parlare di cybersecurity posture, eppure così non è. Si segue l’hype del momento concentrandosi sugli effetti, tant’è che sono invocate: commissioni d’inchiesta, task force, interrogazioni parlamentari e addirittura si prospetta già la creazione di nuove agenzie. Come se aggiungere dei layer ulteriori, o anche nuovi reati o aggravanti, possa riplasmare una realtà che quando presenta il conto si pone in modo piuttosto spiacevole.
Nel momento in cui le cause non vengono indagate è inevitabile pensare che lo scopo non sia tanto la ricerca di risoluzioni stabili correggendo ciò che non ha funzionato, ma approcci più gattopardeschi.
La NIS2 è complessa da capire?
Non perdere tempo, segui l'anteprima gratuita del corso che stiamo preparando.Accedi quindi alla nostra Academy e segui l'anteprima del corso della durata di 30 minuti per comprendere i contenuti esclusivi che tratteremo nel corso.per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Una rappresentazione plastica di tutto ciò è fornita da comunicazioni più o meno istituzionali ma diffuse in ci si concentra su termini impropri o comunque inesatti quali dossieraggio, o hacker (da qualcuno definiti “smanettoni”) e si devia dal chiedere il conto delle responsabilità e di ciò che non ha funzionato.
Eppure la prima domanda che emerge anche da parte di chi non è un esperto di sicurezza cyber: che cosa non ha funzionato? Sul podio poi c’è anche un “Quanto ci costerà tutto questo?” e “Di chi è la responsabilità?” che si contendono il secondo o terzo posto, nella certezza che raramente ci saranno risposte soddisfacenti.
La proposta apparentemente virtuosa di aumentare il numero di esperti di sicurezza cyber mediante percorsi di formazione è anch’essa una reazione che però non tiene conto di quella realtà che spiace guardare. Il problema è che gli esperti di sicurezza cyber semplicemente scelgono di lavorare altrove e non in Italia né al servizio della PA. Il motivo non è solamente uno stipendio inadeguato e non al passo con l’offerta di altri Paesi, ma anche l’impossibilità di provvedere a quel work life che tanto viene predicato da molti guru di LinkedIn e destinato a rimanere nelle slides (accanto a quelle coloratissime in cui si parla di sicurezza cyber) o nell’oggetto della richiesta di fondi e finanziamenti ma che raramente viene messo in pratica. Infine: se l’esperto viene arruolato ma poi non ha agency – ovverosia: spazio di manovra – difficilmente vorrà fare il posterboy o la postergirl. Preferirà realizzarsi altrove.
La fuga dei cervelli, siano essi esperti cyber o meno, è un fatto che deve anch’esso imporre un ragionamento sul sistema e ciò che non funziona. Confidare in una soluzione facile giova solo a rafforzare l’illusione che un sistema funzioni al costo di non sapere se e quanto tale convinzione è erronea.
E anche qui, la realtà presenterà il conto.
Una overconfidence della sicurezza comporta alcune conseguenze comuni, tanto nelle organizzazioni private che pubbliche: negare tutto ciò che smentisce tale convinzione, anche con diffide e minacce più o meno velate nei confronti di chi fa notare che il Cyber Re è nudo; inseguire continuamente soluzioni e sovrastrutture senza mai riesaminare ciò che non ha funzionato; ritenere ciò che accade come “inevitabile” allontanando così ogni presa di coscienza e responsabilità.
Una frase molto cara di Philip K. Dick ricorda infatti: “Reality is that which, when you stop believing in it, doesn’t go away“. E dunque, al di là di ogni narrazione e (auto)convincimento, lo stato dell’arte è quello che stiamo vedendo. Forse sta a noi come cittadini essere più attivi sull’argomento della (in)sicurezza cyber, non riducendolo a qualcosa che non può essere cambiato o che non cambierà mai o che tanto non ci riguarda. A meno che, ovviamente, non preferiamo sorprenderci nel momento in cui la realtà verrà a bussare anche alla nostra porta.