Febbraio e marzo sono stati mesi intensi sul tema di Cyber Security: nel giro di poche settimane sono state rilasciate la Strategia Europea, la Bozza di Direttiva Europea e il Decreto del Presidente del Consiglio dei Ministri in materia di Sicurezza dello spazio Cibernetico.
Sebbene la direttiva sia ancora in fase di discussione in parlamento, è opportuno fin da subito valutare quanto la strategia Italiana sia in linea o meno con i principi di Bruxelles.
La direttiva richiede che ogni Stato Membro si doti di una “Autorità Nazionale competente sulla Sicurezza delle Reti e delle Informazioni”. L’Italia non dispone di una Autorità e non ne disporrà a breve, visto che il DPCM non prevede la nascita di una Autorità, bensì assegna la responsabilità del coordinamento a tre organi diversi, due dei quali di natura collegiale, il CISR – Comitato Interministeriale per la Sicurezza della Repubblica ed il CISR Tecnico, ed uno, il Nucleo per la Sicurezza Cibernetica, in seno all’Ufficio del Consigliere Militare presso la Presidenza del Consiglio dei Ministri.
Sebbene nel caso delle Direttive Europee gli Stati Membri abbiano l’opportunità di recepirle apportando modifiche per adattarle allo specifico modello nazionale, in questo caso difficilmente il modello organizzativo individuato dal PDCM potrà rispondere alle aspettative di Bruxelles.
A complicare la cosa c’è anche il CERT Nazionale: sempre secondo la direttiva, questo dovrebbe riportare all’Autorità, mentre nel nostro caso riporterebbe al Ministero dello Sviluppo Economico.
In realtà, definizioni a parte, il DPCM prevede che il Nucleo Opearativo presso l’ufficio del Consigliere Militare svolga le tipiche funzioni di un CERT, ovvero la gestione degli incidenti e delle crisi a carattere nazionale e la condivisione di informazioni tra tutti gli organismi interessati.
Se da una parte vi è una potenziale sovrapposizione di ruoli tra il Nucleo per la Sicurezza Cibernetica e il CERT Nazionale, dall’altra saremmo parzialmente allineati alla Direttiva. Sovrapposizione che comunque andrà indirizzata quanto prima al fine di evitare duplicazioni di sforzi in un momento storico in cui la riduzione dei costi e l’aumento dell’efficenza sono principi chiave della strategia del Governo.
Il secondo tema chiave della Direttiva è lo scambio di Informazioni tra le Autorità Nazionali e tra le Autorità e gli Stakeholder nazionali pubblici e privati. Su questo tema, il DPCM è vago e non fornisce alcuna indicazione sulle modalità con cui in Italia si potrà avviare un sistema di Information Sharing.
Molti paesi, tra cui gli US, l’Inghilterra e l’Olanda hanno avviato da molti anni progetti nazionali di Information Sharing, ma ad oggi i reali benefici sono tutti da dimostrare. I sistemi di scambio sono ancora immaturi, non esistono standard per la descrizione delle Minacce e dei contesti e la componente umana è ancora un fattore determinante nello scambio, rallentando il processo di condivisione e limitando la scalabilità del sistema.
Anche Bruxelles non ha ancora le idee molto chiare sull’Information Sharing e ne da dimostrazione nella menzione dell’uso della rete S-TESTA per consentire alle Autorità Nazionali di scambiarsi informazioni. S-Testa è una rete classificata realizzata agli inizi del decennio scorso e che collega i 27 Stati Membri. Ogni paese dispone di almeno un nodo S-TESTA, solitamente all’interno del Ministero dell’Interno. E’ una rete classificata e di conseguenza il suo accesso è limitato esclusivamente a quelle organizzazioni e a quelle persone che dispongono dell’abilitazione di sicurezza.
Sebbene l’uso di una rete classificata sia corretto per applicazioni Governative e Militari, per il settore privato è inibitorie. Già in passato la Commissione Europea aveva avviato un progetto di Information Sharing per le Infrastrutture Critiche denominato CIWIN – Critical Infrastructure Warning Information Network. Proprio l’uso di una rete classificata è stato uno dei fattori che ha portato all’abbandono del progetto: la maggioranza degli Stati Membri non è riuscita a coinvolgere le Infrastrutture Critiche proprio per i limiti dettati dall’uso di un sistema classificato.
In Italia i grandi operatori privati sono fortemente interessati a partecipare e sostenere una iniziativa a carattere nazionale, come discusso sia durante le audizioni della cabina di regia per l’agenda digitale Italiana, sia durante l’incontro del 5 Dicembre 2012 tenutosi presso il MISE e al quale hanno partecipato i grandi operatori nazionali ed vari esperti di fama mondiale come Melissa Hathaway (ex responsabilie della Cyber Security dell’Amministrazione G.W. Bush e Obama), John Stewart (Chief Security Officer di Cisco Systems) e Freddie Dezure (direttore del CERT-EU).
Tra l’altro, va menzionato che l’Italia ha sviluppato un progetto di successo sull’Information Sharing nell’ambito del contrasto al crimine informatico: la Polizia Postale e delle Comunicazioni, in collaborazione con la Polizia Britannica e la Polizia Rumena ha sviluppato un avanzato sistema di scambio delle Informazioni con le Banche. Il progetto è stato parzialmente finanziato dalla Commissione Europea ed è realizzato con la collaborazione della Fondazione GCSEC di Poste Italiane.
E’ fondamentale che l’Italia nei prossimi mesi lavori alla propria strategia, allineandola a requisiti definiti dall’Unione Europea a) creando una autorità nazionale per la Cyber Security b) avviando il CERT Nazionale ed il CERT della Pubblica Amministrazione c) sviluppando un progetto di Information Sharing tra Pubblico e Privato, facendo tesoro dei risultati già raggiunti in Italia dal progetto OF2CEN.
