Nonostante i miliardi di dollari versati ogni anno nella cybersecurity da parte di investitori, organizzazioni, università e governo, una sicurezza informatica adeguata e affidabile rimane un obiettivo sempre sfuggente. La complessità tecnologica e la crescente superficie d’attacco, insieme a una serie sempre più ampia di soggetti minacciosi e all’aumento dell’interconnettività, rendono infatti la sicurezza dei sistemi e delle risorse digitali un traguardo sempre più difficile da raggiungere.

La sfida principale per i responsabili delle decisioni e gli esperti è semplicemente quella di identificare e comprendere i rischi della società in materia di sicurezza informatica. Il think tank Bipartisan Policy Center con sede a Washington ha convocato un gruppo di lavoro composto da esperti dell’industria, del governo e della società civile con lo scopo di “identificare i principali rischi di cybersicurezza della nazione in modo che i politici e le aziende possano intraprendere azioni pragmatiche e investire nelle contromisure più adatte”.

Il gruppo di lavoro ha prodotto il report Top Risks in Cybersecurity 2023, che distingue le valutazioni degli esperti in otto rischi “macro” e in altri rischi non necessariamente specifici del 2023. Il report indica i principali rischi che le organizzazioni statunitensi dovrebbero essere pronte ad affrontare perché rappresentano i pericoli più probabili e di maggiore impatto che ci attendono. “Una delle sfide più grandi che spesso affrontiamo è quella di avere una discussione strategica e una comprensione di quello che è il panorama dei rischi” spiega Jamil Farshchi, vicepresidente esecutivo e CISO di Equifax e uno dei co-presidenti del gruppo di lavoro.

Le principali macro sfide per la sicurezza

Gli otto principali rischi da tenere d’occhio nel 2023 evidenziati nel rapporto includono:

Evoluzione dell’ambiente geopolitico: La guerra lanciata dalla Russia in Ucraina è emblematica di questo primo rischio, che comprende fattori chiave come le inibizioni per i cyberattacchi, gli attacchi digitali alle infrastrutture critiche, le campagne di disinformazione e gli approcci protezionistici al commercio, che possono rendere ancora più vulnerabili le aziende che hanno acquistato prodotti tecnologici dall’estero

Le organizzazioni devono personalizzare le proprie soluzioni di sicurezza

Il report non contiene alcuna soluzione esplicita a questi e altri problemi. “Non abbiamo voluto inserire soluzioni esplicite in questo documento perché riteniamo che ogni organizzazione avrà un proprio set di controlli su misura”, afferma Farshchi. A tal proposito un membro del gruppo di lavoro, Chris Painter, ex leader della sicurezza informatica presso il Dipartimento di Stato, il Dipartimento di Giustizia e la Casa Bianca e attualmente presidente della Global Forum on Cyber Expertise Foundation, spiega che troppo spesso i report governativi illustrano soluzioni che non si applicano a tutti. “Credo che le persone si chiedano giustamente perché indichiamo le sfide senza offrire soluzioni. Penso che la logica sia che ci sono molte soluzioni diverse a seconda di chi è l’attore e di quale sia la regione. Quindi, non c’è una soluzione unica che vada bene per tutti”.

Anche se alcuni aspetti, come i rischi geopolitici, sfuggono al controllo della maggior parte delle organizzazioni, il rapporto può comunque aiutarle a prendere decisioni strategiche. “Non si può cambiare il comportamento della Russia o della Cina da un giorno all’altro, ma credo che ci siano cose che si possono fare per essere consapevoli dei rischi che si corrono”.

Secondo Painter, il vero valore del report è la sua capacità di raggiungere un pubblico non tecnico. “Abbiamo scelto uno stile di scrittura il più semplice possibile, il che è utile perché a volte queste cose sono rivolte a un pubblico tecnico o sono troppo difficili da comprendere. Penso che sia un documento che chi opera nelle C-suite delle aziende, i manager e i non esperti di informatica possono usare per farsi un’idea del panorama della sicurezza che ci attende”.