Leader e legislatori devono riconoscere che la sicurezza informatica è una priorità per la sicurezza nazionale. Dalle fake news alla manipolazione elettorale, dalla compromissione di aziende strategiche agli attacchi contro strutture sanitarie, la sottile linea che divide il mondo digitale da quello fisico va presidiata a partire dalla sicurezza informatica della vita quotidiana. Sia il settore pubblico che quello privato sono impegnati in una battaglia contro aggressori silenziosi, distribuiti, ed esperti e il settore privato avrà bisogno di ciò che solo il settore pubblico può realizzare: regole, incentivi di mercato e formazione su larga scala.
I legislatori devono ridurre la complessità leggi e regolamenti e aumentare la protezione che ne può derivare. I policy-makers devono parlarsi tra di loro. Mentre il dominio cyber non ha confini e gli attaccanti se ne infischiano delle giurisdizioni, le organizzazione al contrario devono rispettare regole e leggi nazionali e internazionali, complesse e frammentate – si pensi alle legge cinese sulla cybersecurity o alla Gdpr -, mentre si difendono dagli attacchi.
Tutte le organizzazioni devono capire che la loro esposizione è un pericolo per chi gli sta accanto. Poiché operano in un vasto sistema interconnesso devono misurare il perimetro, la superficie di attacco e la comune resilienza alle minacce.
I dispositivi connessi dal 5G potrebbero raggiungere la quota di 27 miliardi nel 2021 grazie alla Internet of Things e agli smart systems. Il boom dello smartworking farà il resto. La concentrazione tecnologica nelle mani di poche multinazionali costituisce una debolezza. Come ha evidenziato l’attacco a Solarwinds il tema della “supply chain” e la dipendenza tecnologica da poche imprese obbliga a un ripensamento delle modalità di protezione globali.
Garantire la continuità operativa è cruciale: fare il backup di dati e risorse, preparare i team, imparare ad essere resilienti. L’assenza di piani di disaster recovering e di gestione del cyber risk può infatti essere fatale. La pandemia, ad esempio, ha esacerbato il problema dei ransomware ai danni della Sanità. Per questo è importante assumere una forza lavoro preparata, da reperire sul mercato, e farla crescere internamente affinché i veterani possano passare le proprie competenze ai più giovani. La comunità internazionale dovrebbe stabilire dei criteri per l’attribuzione degli attacchi, la raccolta di prove e la cooperazione giudiziaria per consegnare i criminali alla giustizia.
Identificazione e attribuzione rimangono ancora le azioni più difficili da conseguire per un’organizzazione che parte svantaggiata giocando in difesa. La percentuale Usa di arresti cybercriminali è dello 0.05%. Il cybercrime è un business model vantaggioso: i costi sono bassi e i profitti elevatissimi. Il rischio cyber va affrontato con la corretta pianificazione delle difese e con l’educazione. Ma la chiave del successo per il Wef è la collaborazione tra corporations, policy-makers, e regolatori.