In tutto il mondo sviluppato le piccole e medie imprese (PMI) soffrono spesso di una mancanza di capacità cibernetica anche di livello rudimentale. La loro dimensione ridotta comporta infatti sia carenze organizzative in termini di sicurezza informatica che costi proibitivi dei servizi commerciali in questo ambito.

Possono le politiche pubbliche rimediare a tale situazione? La Direzione Nazionale Cyber Israeliana (INCD) dell’Ufficio del Primo Ministro ha intrapreso diverse azioni volte ad aiutare le PMI a migliorare la loro digitalizzazione e la loro protezione cibernetica dalla quale dipendono in ultima battuta la stessa sicurezza dello Stato e la difesa dell’interesse nazionale.

Un tema ricorrente nel dibattito pubblico è quello di rendere più economica ed efficace la protezione cibernetica attraverso l’automatizzazione della valutazione del rischio e la sua comunicazione.

Per quanto riguarda la valutazione del rischio, seppur una valutazione personalizzata (sul cliente) delle minacce sia al servizio di qualsiasi azienda, è pur vero che nessuna piccola impresa può intraprendere un processo così costoso. Per ovviare almeno in parte a tale problema, l’INCD ha recentemente pubblicato un breve opuscolo intitolato “Raccomandazioni per la sicurezza IT e la riduzione di rischi cibernetici per le piccole imprese”. Il fulcro dell’opuscolo è composto da dieci semplici raccomandazioni “low-cost”:

• 1. Aumentare la consapevolezza dei rischi cyber da parte dei dipendenti delle imprese; 
• 2. Mappare gli asset e valutare la conoscenza da parte dei dipendenti dei rischi cyber;
• 3. Acquisire licenze informatiche;
• 4. Dotarsi di Software antivirus;
• 5. Mantenere aggiornati i software;
• 6. Avere password sicure e log-out automatici;
• 7. Crittografare i dati sensibili e quelli dei clienti;
• 8. Disporre di Back up e piani di recupero dati;
• 9. Avere una Network wireless;
• 10. Dotarsi di un’assicurazione cibernetica.

Ogni punto si collega al capitolo completo della pubblicazione “Metodologia di cybersecurity per una organizzazione” dell’INCD, che riprende il quadro normativo delineato dal National Institute of Standard and Technology del Dipartimento del Commercio statunitense e lo rende più accessibile al pubblico israeliano. Nello specifico, la difesa cibernetica dovrebbe incentrarsi, come delineato in un articolo del 2016 dell’INCB, su tre livelli: robustezza, resilienza, difesa¹. Nello specifico:

• 1. La robustezza è la capacità di operare anche in caso di condizioni avverse.
• 2. La resilienza è la capacità di recuperare o adattarsi facilmente alla sfortuna o al cambiamento.
• 3. La difesa è la capacità di interrompere gli attacchi informatici concentrandosi sul fattore umano dietro di essi attraverso capacità di difesa operativa nazionale.

Per quanto riguarda la comunicazione degli incidenti informatici invece esiste un punto di contatto nazionale, l'Israel National Cyber Event Readiness Team (CERT-IL), operante dal 2015. Qualsiasi entità che sospetti un incidente di sicurezza informatica in Israele può contattare CERT-IL, che può fornire assistenza gratuita a coloro che ne sono vittime dell’attacco.

Occorre tuttavia rilevare che né l'INCD né il CERT-IL hanno forza coercitiva e l'obbligo legale di "punire" coloro che hanno permesso il verificarsi di penetrazioni malevole e/o perdite di dati a causa della propria negligenza. Questo, nonostante il fatto che esperti in tema di sicurezza informatica abbiano accumulato crescenti prove empiriche che indicano chiaramente la correlazione tra negligenza e il successo di attività di crimine cibernetico. A complicare il quadro si indica infine anche il fatto che le PMI sono restie a condividere con le autorità statali preposte qualsiasi informazione ritenuta sensibile e che possa in qualche modo risultare dannosa agli interessi delle stesse imprese.

Occorre però sottolineare l’importanza di comunicare ogni singolo attacco cibernetico anche alle piccole imprese. Se infatti ogni violazione isolata o malware possono essere considerate irrilevanti, in aggregato questi incidenti costituiscono preziose informazioni e sono importanti dal punto di vista della consapevolezza riguardo la situazione della cybersecurity nazionale.

Lo stato ha una vasta gamma di opzioni per migliorare la sicurezza informatica nazionale. Chiaramente, le piccole imprese sono un anello debole in una moderna società digitale connessa. Come dimostrano le misure intraprese dall’ INCD, si possono tuttavia intraprendere misure efficaci e poco costose per proteggere anche le PMI da rischi informatici. Questo è solo un primo passo, ma è importante sottolineare che lo Stato può svolgere un ruolo più diretto nella sicurezza informatica delle piccole imprese.