Lo sforzo verso l’adeguamento al GDPR farà bene agli investimenti in tecnologie innovative, dicono gli esperti della IDC Security Conference 2018. Ma le aziende temono ancora le ambiguità delle normative
A un paio di settimane dalla definitiva entrata in vigore del nuovo regolamento sulla privacy, IDC ha celebrato a Milano la sua tradizionale conferenza sulla sicurezza informatica. Non deve quindi stupire se il grosso dei contenuti, a partire dall’introduzione curata da Giancarlo Vercellino, era centrato sui prevedibili effetti che il GDPR avrà sull’entità e la qualità degli investimenti in IT e in cybersecurity in particolare.
Vercellino ha esordito mettendo in evidenza i fenomeni che nel 2017 hanno determinato un’autentica impennata dell’indice che misura le vulnerabilità software abilmente sfruttate dagli hacker. Episodi come quello registrato con i documenti resi noti da WikiLeaks con Vault 7 e le analoghe informazioni carpite dai Shadow Brokers direttamente dagli archivi Nsa, hanno portato al raddoppio del valore mensile medio delle vulnerabilità riscontrate in media. Queste sono passate da 500 a ben 1200 in media al mese. «Ulteriori episodi – ha sottolineato Vercellino, ci spingono a chiederci che cosa può andare ancora più storto nel futuro». La risposta, pensando a vulnerabilità che come Meltdown incidono addirittura sulle prestazioni dei processori, o fatti recenti come lo scandalo di Cambridge Analytica sulle informazioni utilizzate per influire sulle elezioni, è decisamente poco ottimistica.
È in questo contesto che la normativa GDPR fa il suo ingresso con prescrizioni che sono al tempo stesso immediate (perché non occorrono leggi di recepimento), estese a chi ha la titolarità dei dati ma anche a coloro che si limitano a offrire servizi di trattamento degli stessi, responsabilizzanti e potenzialmente “care” in considerazione delle multe che potrebbero essere comminate a chi viola i suoi obblighi di trasparenza e adozione di contromisure efficaci. Nell’imminenza dell’entrata in vigore, Vercellino mette in evidenza una situazione in grande divenire per quel che riguarda il processo di adeguamento. «Il grado di consapevolezza c’è, ed è veramente bassa la percentuale delle organizzazioni che ignorano la questione. La percentuale di coloro che hanno avviato il proprio percorso supera il 60%, ma la compliance vera riguarda poco più del 10% di aziende. Sono diverse, nel confronto tra Italia e resto d’Europa, anche le percezioni sugli aspetti più complicati della norma. In Italia lo spauracchio assoluto è quel termine di 72 ore dall’avvenuto riscontro di una compromissione, trascorse le quali si è considerati inadempienti e quindi sanzionabili. In Europa al confronto, le imprese sembrano preoccuparsi maggiormente di questioni come la privacy by design e default, o la portabilità dei dati.
Molto insomma dipende dallo stato di maturità del cloud e della trasformazione digitale in generale. I grafici mostrati da Vercellino dimostrano che la trasformazione «si correla con una maggiore spesa in IT, anche in cybersecurity. Il problema è che finora gli investimenti vanno in una direzione troppo conservativa, troppo rivolta alla manutenzione dell’esistente». La tensione verso la compliance GDPR aiuterà le imprese a fare meglio, acquistando anche nuove tecnologie (IDC prevde un aggregato di crescita degli investimenti in IT Security che nel quinquennio fino al 2021 crescerà a un indice pari al 19,5% anno su anno.
Subito dopo Vercellino è intervenuto Maurizio Mensi, docente presso la Sna e la Luiss Guido Carli, dove è responsabile del laboratorio LawLab. Mensi ha esortato il legislatore a fare maggior chiarezza sulle diverse regolamentazioni in materia di privacy. Il punto della situazione è proseguito con gli interventi dei vendor e degli esperti IDC e del Clusit, all’insegna di una nuova generazione di soluzioni cloud based e ispirate a un uso massiccio di tecniche “cognitive”: machine learning, Big Data e Intelligenza artificiale. Questo perché non è possibile affrontare le attuali minacce con armi troppo convenzionali.