Attacchi cyber, data breach, vulnerabilità, comportamenti a rischio. Le PMI, pericolosamente esposte alle minacce del cybercrimine, sono spesso anche le meno attrezzate per far fronte agli adempimenti previsti dalle normative. Ma che cosa significa offrire sicurezza alle PMI?
Piccole imprese italiane. In qualche caso piccolissime. Ma iperattive. Circa un decimo (1632 per la precisione) delle 17mila aziende manifatturiere attive nei distretti, hanno letteralmente spiccato il volo. Lo attesta la survey – citata da Milena Gabanelli nella sua rubrica Dataroom sul Corriere della Sera – condotta dal centro Studi e Ricerche di Intesa Sanpaolo su un campione di aziende con un fatturato di almeno 400mila euro. Vere e proprie eccellenze che operano in tutti i settori, da quello metalmeccanico alla moda, dall’agroalimentare alle materie plastiche, passando per l’arredamento e il design.
Cresciute negli ultimi 7 anni a ritmi da Sud-est asiatico in termini di fatturato – soprattutto all’estero – margine lordo, assunzioni. Un ristretto gruppo di punta, composto in parte dai leader storici del Made in Italy e irrobustito da un’avanguardia di veri e propri fenomeni dirompenti, emersi dai distretti, le regioni produttive del Paese, in cui negli anni si è affermata la specializzazione di talune attività. Realtà pronte a sfruttare la connessione virtuosa tra le aziende in rete sul territorio e a cogliere le opportunità dell’innovazione, soprattutto nell’IT. È il caso di Comelz, storica azienda vigevanese produttrice di macchine per il taglio delle pelli, la prima forse del suo genere a comprarsi una software house (la toscana Develer) per ampliare il proprio business. Un investimento fruttuoso sia in termini di nuovi brevetti che di fatturato (23 milioni nel 2011 e 61 nel 2018), il 75% del quale realizzato con l’export. Un caso raro ma significativo di efficienza e redditività connesse alla sicurezza del codice.
BUDGET IT E STRATEGIA
Per dare loro ancora più spinta, il Piano industria 4.0 prevede (tra le altre cose) la realizzazione di otto competence center per lo sviluppo di progetti innovativi e servizi indirizzati alle PMI. Quello guidato dall’Università degli Studi di Roma La Sapienza – in pista anche i Politecnici di Milano (Made in Italy 4.0) e Torino (Manufacturing 4.0), Università di Bologna (BI-REX), Padova (SMACT), Sant’Anna di Pisa (ARTES 4.0), Federico II di Napoli (Industry 4.0) e CNR (Start 4.0) – chiusa la fase di negoziazione con il MISE, ha portato a casa un finanziamento di circa 7 milioni di euro. A cui se ne dovrebbero aggiungere altrettanti provenienti dal settore privato. La specializzazione del centro (Cyber 4.0) sarà nel campo della cybersecurity a tutto tondo, con specifici progetti nei settori automobilistico, spaziale e dell’e-health (dalla guida assistita alla gestione sicura delle informazioni sanitarie per le cure personalizzate fino agli strumenti con cui le imprese possono difendere i loro dati dai sempre più frequenti cyberattacchi). Ma il centro di competenza avrà un ruolo cruciale anche nelle attività di formazione, su cui saranno coinvolti i digital innovation hub del Lazio, con Cicero creato da Unindustria, Edi l’ecosistema digitale innovazione di Confcommercio e Rete Pico 4.0 di Legacoop in testa. Il competence center dedicato alla sicurezza 4.0 è focalizzato su servizi, prodotti, ricerca e innovazione, formazione, che insieme alle misure strutturali previste dal Piano come l’iperammortamento, il credito d’imposta sulle spese in ricerca e sviluppo, e soprattutto l’elaborazione di una strategia “cyber”, sono quasi tutto quello di cui hanno bisogno le PMI per virare con decisione verso la sicurezza data driven.
La stessa auspicata nella relazione del Garante per le micro, piccole e medie imprese, in cui si richiama la promozione di strumenti a sostegno delle innovazioni nelle micro e piccole imprese sotto forma di “voucher per le spese in cybersecurity” o in infrastrutture. E l’inserimento in azienda di “competenze manageriali nei processi produttivi 4.0”. Misure ritenute altrettanto necessarie per smuovere il terreno arido su cui faticano a crescere le nostre aziende. Frenate dai mali atavici del Paese fotografati da un recente rapporto della Banca Mondiale: burocrazia occhiuta, tasse scandinave per servizi scadenti, incentivi agli investimenti centellinati e farraginosi, un contesto assai poco friendly in tema di acquisizioni e raccolta di risorse finanziarie. «La questione dirimente rimane il budget disponibile per procedere a investimenti dedicati. Una impresa su quattro evidenzia la carenza di risorse disponibili» – ci conferma Giancarlo Vercellino, senior research & consulting manager IDC.
I numeri parlano chiaro. A fronte di una spesa per l’information security che secondo i dati forniti dall’Osservatorio Information Security & Privacy del Politecnico di Milano ha raggiunto nel 2018 la cifra di 1,19 miliardi di euro (+9% anno su anno) – le grandi imprese staccano un assegno pari al 75% della spesa complessiva: il rimanente è espressione della capacità di spesa delle piccole e medie imprese, che viene ripartita – secondo i dati della ricerca – per il 43% in sistemi di information security & privacy, con i progetti di adeguamento al GDPR al primo posto come motivazione di spesa. «Quindi possiamo supporre che si tratti principalmente di strumenti che permettono di gestire i dati di clienti e prospect in maniera conforme alla normativa» – ci dice Alessandro Piva, direttore dell’Osservatorio del Politecnico di Milano. Circa nove aziende su dieci del campione dispongono di soluzioni basic di sicurezza. «Più scarsa invece la conoscenza di strumenti complessi, quali per esempio i sistemi di intrusion detection & identity and access management, appannaggio del 64% delle medie imprese (+20%) e del 39% delle piccole, che – in circa quattro casi su dieci – dichiarano di aver investito in sistemi di sicurezza informatica e privacy». I dati forniti da IDC completano queste rilevazioni. «Nel 2018, il software per la sicurezza IT, rappresenta in Italia un valore complessivo di circa 380 milioni di euro. Con un CAGR 2018-2021 di 7 punti percentuali» – afferma Vercellino. «In questo scenario, gran parte della spesa è riconducibile alle medie e grandi imprese, che allocano alla sicurezza una percentuale del budget IT in media pari a 1,5 – 2 volte quella delle PMI».
INVESTIMENTI E COMPETENZE
Una scarsa propensione alla spesa, in particolare a quella qualificata, che rispecchia un’attenzione alla security ancora discontinua. «Nell’approfondire il rapporto tra PMI e sicurezza informatica emerge un approccio reattivo, volto principalmente a rispondere agli stimoli normativi» – spiega Piva. «In generale, non rientra tra le priorità d’investimento e non se ne percepisce il diretto impatto sulle performance. Solo il 18% delle PMI si dimostra maturo sia da un punto di vista tecnologico, con la presenza di sistemi avanzati di sicurezza e di gestione della privacy, che organizzativo, con un vero presidio dedicato alla sicurezza informatica». Dai dati emerge che oltre la metà del campione (il 52%) non fa nulla sul fronte della cyber sicurezza, limitandosi a utilizzare soluzioni di base senza inserire profili specializzati, molto spesso senza neppure prevederli. Dati da questo punto di vista desolatamente omogenei. «Nessun settore e nessuna classe dimensionale è propensa a investire in infosec se non c’è un obbligo normativo o di business» – afferma Paolo Da Ros, membro del direttivo di Clusit. «Anche la protezione di dati critici di prodotto – per esempio nella filiera della difesa – viene effettuata solo se a valle della stessa il main contractor pone vincoli alla securizzazione delle informazioni». In questo quadro, non sorprende che solo una piccola parte delle imprese (8%), sia veramente consapevole dei rischi legati al cybercrimine e affida la sicurezza a figure della funzione IT (in molti casi la funzione sicurezza dipende addirittura dalle HR), in assenza peraltro di sistemi sofisticati, per problemi di budget. «Se il tema è mainstream e costa poco, le PMI si appoggiano alla moda del momento o al fornitore abituale di servizi ICT, non necessariamente competente in tema infosec» – osserva Da Ros.
Tutto questo in un contesto di sostanziale non strutturazione a livello di ruoli e competenze. Dai dati dell’Osservatorio del Politecnico di Milano, la figura del CISO è presente solo nel 15% del campione (nel 25% se ci si focalizza sulle medie imprese, in crescita del 15%) a conferma del fatto che si tratta di una professionalità ancora scarsamente diffusa tra le PMI. Mancanza di competenze sottolineata anche da Vercellino di IDC. «Un problema avvertito chiaramente da una impresa su cinque e soprattutto dalle organizzazioni di modeste dimensioni». Anche il problema del mancato supporto del top management attraversa in modo abbastanza uniforme tutte le dimensioni e i settori aziendali. «Chi governa le imprese ha forse una limitata percezione del rischio IT» – continua Vercellino. «Possiamo soltanto confidare negli effetti delle nuove regolamentazioni e in una concreta azione di controllo da parte dei regolatori, affinché promuovano una nuova sensibilità verso i rischi della nuova economia, sebbene attraverso la bacchetta delle sanzioni». La massiccia dose di formazione come rimedio alla situazione potrebbe non bastare. «La maggior parte delle PMI riconosce l’importanza di programmi di formazione al fine di sensibilizzare i dipendenti, ma soltanto un terzo dichiara di svolgere corsi dedicati online o in aula» – rileva Piva, direttore dell’Osservatorio del Politecnico di Milano.
QUAL È IL LIVELLO DELL’OFFERTA?
Secondo lo studio condotto da Banca d’Italia, esiste una stretta correlazione tra investimenti in sicurezza, dimensioni aziendali e livello di rischio. Nelle microimprese il rischio di attacco, statisticamente modesto, e come tale percepito, spiega almeno sino a un certo punto l’inadeguatezza della spesa. «Nonostante le PMI siano nei fatti le più vulnerabili, circa un terzo ritiene gli attacchi informatici un problema delle grandi organizzazioni. Ciò conferma l’oggettiva mancanza di competenze interne, che rende molto difficile non solo valutare l’offerta di prodotti e servizi in questo ambito ma anche conoscere le soluzioni esistenti e le potenziali minacce» – spiega Piva. «Banalmente, nella maggior parte delle PMI, non esiste una figura dedicata che dovrebbe interfacciarsi con i vendor». Inoltre, secondo lo studio, la ragione principale della sostanziale mancanza di tecnologia avanzata – peraltro non solo nelle PMI – sarebbe in buona parte riconducibile alla struttura dell’offerta di servizi cyber. E la ragione di questo stato di cose risiederebbe nella posizione ricoperta nel mercato dalle aziende che offrono i servizi di difesa cyber. Una critica non troppo velata all’indirizzo dei vendor. Sia per le conoscenze sviluppate sul mercato globale che per le maggiori competenze disponibili (asimmetria informativa), fuori dalla portata di un’ampia fascia di clienti e prospect – penalizzati in primo luogo dall’incapacità di comprendere la natura della minaccia – i vendor di security negozierebbero da una posizione di forza. Dalla quale sarebbe più agevole “spingere” per certe soluzioni, relegando altre di minor valore economico (ma più efficaci) come la crittografia dei dati a un ruolo marginale.
IL FUTURO DELLA SICUREZZA
Che l’offerta di prodotti e servizi di sicurezza dei principali vendor fatichi a essere percepita dalle piccole e microimprese italiane come adeguata – anche in termini di flessibilità e competitività – rispetto alle loro esigenze è confermata da Piva del Politecnico di Milano. «La sensazione è che le PMI non siano al corrente di quello che è il mercato dei prodotti e servizi di sicurezza. E non abbiano gli strumenti per venirne a conoscenza». Opinione condivisa anche da Paolo da Ros del Clusit: «Debolezze organizzative, competenze abbastanza superficiali, strumenti informativi e formativi per i responsabili della sicurezza poco disponibili favoriscono il fornitore abituale che magari ha come competenza principale la manutenzione del sistema gestionale o il tema del momento. Specie se costa poco». Questo non significa, prosegue Da Ros, che non esistano soluzioni tecnicamente adeguate, e di prezzo ragionevole. «Quello che è molto carente sono i servizi che si accompagnano a queste soluzioni. Che, combinati con la fragilità organizzativa dei reparti ICT – e a maggior ragione dei rari gestori della sicurezza – rendono problematica la motivazione alla spesa». Criticità rilevate anche da IDC che per superare questa impasse propone un modello alternativo di approccio al mercato: «Forse sarebbe più utile che gli operatori puntassero su nuovi meccanismi di valorizzazione alternativi rispetto al passato, andando oltre i tradizionali modelli di licenza. Il futuro della sicurezza – suggerisce Vercellino – forse sta in un modello centrato esclusivamente sui servizi, indipendentemente dalla forma in cui saranno erogati».
NUOVO ECOSISTEMA EUROPEO
La maggiore propensione alla spesa cyber non è passata inosservata in alcune nuove realtà presenti nel nostro Paese nel campo della cybersecurity. Stiamo parlando di startup come Exein nel campo della sicurezza IoT, finanziata con due milioni di euro da United Ventures; oppure di realtà in attività già da qualche anno come aizoOn specializzata in consulenza tecnologica; o come Aspisec specializzata in sicurezza del firmware e cybersecurity per infrastrutture critiche. Aziende più attente alle esigenze delle PMI, espresse dalle eccellenze di cui parlavamo in apertura, operanti soprattutto all’estero, con asset informatici importanti da proteggere. L’obiettivo è di sostenere il Sistema Italia, favorendo la competitività delle nostre imprese nei mercati internazionali. Sempre che naturalmente si decidano a investire. Realtà che, sul presupposto della crescita di dimensioni e fatturato, vogliono giocare un ruolo primario nell’arena della cybersecurity. In competizione con i grandi marchi internazionali. CY4gate e Cybaze, nate dalla fusione di aziende consolidate del settore, ambiscono a contribuire a creare un polo tutto italiano dai numeri e dalle prospettive importanti nel campo della cybersecurity. E sono decise a sfruttare al meglio il potenziale valore aggiunto dell’italianità in un settore dominato dalle multinazionali straniere. E al tempo stesso sono convinte che sia arrivato il momento giusto per sviluppare un’offerta attenta ai bisogni di un target impegnato a recuperare rapidamente livelli di affidabilità e sicurezza per raggiungere gli standard richiesti dal mercato globale.
Si può discutere se e in che misura questi attributi saranno in grado di sprigionare la massa critica capace di incidere con forza sul mercato. Ma vale la pena di esplorare anche la possibilità di accompagnare al cappello dell’italianità quello altrettanto credibile del Made in Europe. Una possibilità favorevole che se ben spesa potrebbe aumentare le possibilità di successo di tutta la filiera. In questo quadro, non dobbiamo dimenticare lo sforzo dell’UE di rimarcare la dipendenza dei paesi europei dai grandi fornitori di hardware, software e servizi – USA e Cina in testa. L’industria europea della cybersecurity, oggi molto frammentata – come dimostra la presenza di 600 realtà attive nel supporto al settore pubblico e alle infrastrutture critiche europee – sconta la mancanza di un ecosistema sufficientemente robusto per far fronte a una domanda tra le prime al mondo, per valore e volume. Una situazione che espone l’UE al rischio di una pericolosa dipendenza dell’ICT straniera e che a più riprese ha condotto l’Europa a caldeggiare il raggiungimento di un certo grado di autonomia “in grado di proteggere i propri interessi strategici” – come si pronosticava già nella Cybersecurity Strategy, lo studio redatto dalla Commissione europea nel lontano 2013.
IL BINOMIO SECURITY E PMI
Il binomio security e PMI continua a suonare alle orecchie di molti come un ossimoro. Le già citate survey di Banca d’Italia e del Politecnico ci restituiscono una fotografia di gran parte delle storture della situazione, che per molti aspetti perdura in modo preoccupante. Detto questo, è anche vero che si moltiplicano i segnali di una incoraggiante riduzione dell’inerzia che ha contraddistinto sinora le PMI. Si moltiplicano le imprese all’avanguardia che non considerano l’argomento security solo e soltanto come un grattacapo costoso e privo di vantaggi tangibili per il business. E che sono consapevoli che in questa fase di trasformazione digitale sia necessario abbracciare le ragioni del rinnovamento abbandonando approcci metodologici e mentali obsoleti. Il superamento della fase di crisi economica – o detto altrimenti l’aggancio del treno della crescita – impone un cambio di passo, che in tema di sicurezza potrebbe essere meno impegnativo di quanto si potrebbe immaginare.
L’Italian Cybersecurity Report 2016, realizzato dal Centro ricerche di cyber intelligence e information security dell’Università degli Studi di Roma La Sapienza e dal Laboratorio nazionale CINI di Cyber Security, individua 15 controlli essenziali di cybersecurity implementabili in un pacchetto ad hoc di difese informatiche che possono essere sviluppati da una micro impresa con un modesto investimento economico (inferiore ai tremila euro), e con costi annui di mantenimento ben al di sotto dei diecimila euro. Costi largamente inferiori a quelli che l’azienda dovrebbe sopportare in caso di attacco. Infine, le imprese, specie le più piccole, devono cercare di aprirsi all’ingresso di figure manageriali in grado di sostenerle nella crescita e nella scelta di soluzioni di sicurezza e di partner più in sintonia con le loro esigenze, investendo ancora di più sulla formazione. Uno sforzo che può e deve essere meno gravoso con il contributo delle aziende leader di ogni filiera produttiva.