Le tre cose da sistemare per una prima cybersecurity nazionale

Nel nostro Paese l’architettura istituzionale in materia di sicurezza cibernetica ha subito un considerevole aggiornamento con il DPCM del 17 febbraio 2017[1] (“Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”). Rispetto al DPCM del 24 gennaio 2013, le trasformazioni giuridiche hanno tenuto conto dell’esperienza maturata e del mutamento della minaccia, modellando ad essa anche un’armonizzazione delle strutture preposte al contrasto. Sulla base dell’assetto precedente, infatti, come si afferma nelle premesse al DPCM, l’obiettivo della riforma è stato quello di procedere a una “razionalizzazione e semplificazione della predetta architettura istituzionale”.

Il 31 marzo 2017, così come da art. 3, comma 1, lett. c) della Direttiva, è stato adottato il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica[2]  (di seguito, Piano) che si pone in continuità con quello precedente del biennio 2014-2015[3]. Il Piano, al fine di dare concreta attuazione al Quadro strategico nazionale per la sicurezza dello spazio cibernetico[4] e in particolare agli indirizzi strategici in esso contenuti[5], individua gli indirizzi operativi (IIOO), gli obiettivi da conseguire e le linee di azione da porre in essere.

Gli spunti su cui spendere delle riflessioni sulla nuova struttura sono molteplici. Tuttavia, per brevità, ci concentreremo sui seguenti tre: gli attori che hanno partecipato al processo di revisione, le principali direttrici di intervento di tale revisione e la realizzazione di un innovativo “piano d’azione”.

Il Piano nazionale è stato rivisitato dai punti di contato cyber dei Dicasteri CISR (Affari Esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico), dell’Agenzia per l’Italia Digitale e del Nucleo per la sicurezza cibernetica (operante prima presso l’Ufficio del Consigliere Militare del Presidente del Consiglio e con l’attuale riforma istituito presso il Dipartimento delle Informazioni per la Sicurezza “per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento”).

Per quanto riguarda la struttura del Documento, tra gli undici indirizzi operativi[6] del Piano, le principali direttrici di intervento della revisione hanno riguardato i seguenti due obiettivi strategici:

• L’indirizzo operativo 1 (“Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare) con l’obiettivo di rafforzare le capacità complessive di risposta integrata ad eventi cibernetici;
• L’indirizzo operativo 5 (“Operatività delle strutture nazionali di incident prevention, response e remediation”) con l’obiettivo di potenziare alcune strutture (come gli attuali CERT), costituire le strutture previste dalla Direttiva NIS (CSIRT, Punto unico di contatto, Autorità nazionale) e definire le modalità di coordinamento tra i vari attori (CERT, CSIRT, Comparto Intelligence, CNAIPIC, Difesa, AgID) in una prospettiva di unificazione dei CERT pubblici.

L’aspetto innovativo e che merita degli approfondimenti ulteriori è il terzo, ovvero la realizzazione di un cosiddetto “piano d’azione”. In altre parole, si tratta di un “nucleo essenziale di iniziative, cui attribuire carattere di priorità e urgenza” che sono state evidenziate sullo sfondo delle esigenze e dei criteri che hanno animato la revisione del Piano e scelte allo scopo di rendere effettivo e operativo il cambio di passo in termini di innalzamento dei livelli di sicurezza dei sistemi e delle reti del nostro Paese – obiettivo della più ampia ristrutturazione del nuovo impianto giuridico in materia di sicurezza cyber nel suo complesso e in vista del Recepimento della Direttiva dell’Unione Europa NIS (Network and Information Systems)[7]. Il piano d’azione, che è costituito da alcuni elementi chiave[8] indefettibili, ruota attorno alle seguenti tre direttrici:

• Interazione tra soggetti pubblici, privati e settore accademico. Considerato che, ai fini della sicurezza nazionale, il patrimonio informativo sensibile non è di sola pertinenza del settore pubblico e istituzionale, è essenziale integrare i saperi, le informazioni e le conoscenze. Per il settore privato è annunciato il finanziamento di start-up e/o la partecipazione al capitale societario di realtà imprenditoriali di interesse (venture capital); invece, per quanto concerne il settore accademico, è prevista la costituzione di un “Centro nazionale di Ricerca e Sviluppo in CyberSecurity” – impegnato nella malware analysis, nella security governance, nella protezione delle infrastrutture critiche e nella threat analysis system – e di un “Centro nazionale di crittografia”;
• Ristrutturazione del sistema di difesa cyber. Approntamento del sistema di difesa cibernetica tra cui il perimetro di copertura degli assetti di difesa comuni (interazione/integrazione del CERT nazionale e del CERT-PA), la certificazione, presso il MiSE, di innovative soluzioni SW/HW, l’identificazione delle funzioni manageriali/professionali critiche, l’obbligo di condivisione degli eventi cibernetici significativi al superamento di determinate soglie di gravità (soprattutto per gli “operatori di servizi pubblici essenziali” e i “fornitori di servizi digitali”) per i quali sono previste anche delle sanzioni in caso di omissione;
• Ridefinizione dell’organizzazione di alcune strutture che si occupano di sicurezza cyber. In questo senso le ipotesi di lavoro sono molteplici: a) sarà attribuito al Direttore del DIS un ruolo attivo e centrale nell’ambito dell’architettura cyber; b) riposizionamento del NSC all’interno del DIS, guidato da un Vice Direttore generale di quest’ultimo; c) espresso riconoscimento del ruolo del CNAIPIC, dell’AgID e soprattutto dell’Amministrazione della Difesa con l’organizzazione di un Comando Interforze Operazioni Cibernetiche (CIOC) e la realizzazione di un poligono virtuale nazionale

“Cooperazione” e “condivisione delle informazioni e delle conoscenze” sono le parole chiavi in tema di sicurezza cyber. Per questo motivo il Piano, sulla scorta del Quadro Nazionale e del “nuovo” DPCM, si pone come un processo dinamico e in divenire che sollecita e integra gli sforzi di tutti gli attori che, a vario titolo, sono interessati e partecipano attivamente alla tematica cyber.

Per quanto riguarda i CERT, è doveroso riconoscere l’egregio lavoro svolto in questi anni dal CERT Nazionale, nelle sue numerose competenze, e dal CERT PA i quali hanno raggiunto risultati encomiabili nonostante la scarsità di risorse e la quantità e varietà di problemi da fronteggiare. Qualunque sia l’assetto con il quale si deciderà di operare nel futuro, con CERT distinti come ora o con CERT integrati, sarà necessario assegnare fondi significativi che consentano di usufruire di profili sempre aggiornati e di strumenti all’avanguardia. Il/i CERT continueranno ad essere parte della mente pensante operativa nel Paese per il contrasto alla minaccia cibernetica e saranno una parte integrante del processo sia di protezione e preparazione che di gestione degli incidenti, a fianco dell’NSC, il cui ruolo andrà sicuramente meglio strutturato e dipanato.

_________________________________________________

[1] http://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento/dpcm-17-febbraio-2017.html

[2] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2017/05/piano-nazionale-cyber-2017.pdf

[3] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/piano-nazionale-cyber.pdf

[4] http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/quadro-strategico-nazionale-cyber.pdf

[5] Gli indirizzi strategici del Quadro strategico nazionale sono i seguenti sei: 1) Potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese; 2) Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati; 3) Incentivazione della cooperazione tra istituzioni ed imprese nazionali; 4) Promozione e diffusione della cultura della sicurezza cibernetica; 5) Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica; 6) Rafforzamento delle capacità di contrasto alle attività e contenuti illegali on-line.

[6] Gli indirizzi operativi del “nuovo” Piano sono i seguenti 11: 1) Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare; 2) Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati; 3) Promozione e diffusione della cultura della sicurezza informatica. Formazione ed addestramento; 4) Cooperazione internazionale ed esercitazioni; 5) Operatività delle strutture nazionali di incident prevention, response e remediation; 6) Interventi legislativi e compliance con obblighi internazionali; 7) Compliance a standard e protocolli di sicurezza; 8) Supporto allo sviluppo industriale e tecnologico; 9) Comunicazione strategica e operativa; 10) Risorse; 11) Implementazione di un sistema di cyber risk management nazionale.

[7] Si fa riferimento alla Direttiva (UE) 2016/1148 del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione: http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=IT

[8] Gli elementi caratterizzanti il piano d’azione sono i seguenti sette: a) Revisione del Nucleo per la sicurezza cibernetica; b) Contrazione della catena di comando per la gestione delle crisi cibernetiche; c) Riduzione della complessità dell’architettura nazionale, mediante soppressione/accorpamento di organi; d) Progressiva unificazione dei CERT; e) Istituzione di un centro di valutazione e certificazione nazionale ICT; f) Fondazione o Fondo di venture capital; g) Istituzione di un Centro nazionale di ricerca e sviluppo in cybersecurity; h) Costituzione di un Centro nazionale di crittografia.