Mai come in questi ultimi mesi la Cyber Security è stata oggetto di tanta attenzione sia da parte degli specialisti che dell’opinione pubblica. Ad alimentare la popolarità del tema sono stati i tanti episodi finiti alla ribalta della cronaca, dall’attacco ai danni di Sony, definito dal presidente Obama un attacco alla sovranità degli Stati Uniti, alle intrusioni nella campagna presidenziale americana, dall’attacco alle rete elettrica Ucraina ai recentissimi attacchi ai danni di siti istituzionali italiani.
Sono sostanzialmente cambiate due cose rispetto al passato: gli attacchi non sono più episodi sporadici, ma una realtà continua e non sono più solo gli hacker a colpire governi, aziende e cittadini, ma anche complesse organizzazioni criminali, nonché governi che hanno esteso al dominio cyber le proprie strategie di espansione e controllo. Proprio quest’anno, al Summit NATO di Varsavia, lo spazio Cyber è stato definito quindi dominio operativo, rendendolo quindi un potenziale campo di battaglia tra paesi.
Tale escalation di minacce e attacchi ha portato governi di tutto il mondo a intervenire con strumenti di varia natura, al fine di migliorare la protezione dei servizi e infrastrutture cyber dei paesi.
Italia
La rilevanza della Cyber Security per il nostro paese è anche fortemente ribadita dalle ultime tre “relazioni sulla politica dell’informazione per la sicurezza” presentato al parlamento a cura dei nostri Servizi di Informazione per la Sicurezza, presso Palazzo Chigi. A partire dal rapporto 2013, la minaccia Cibernetica è stata descritta come estremamente rilevante per il nostro paese, sia sul fronte pubbliche che privato. Nell’ultima edizione, quella del 2015, la minaccia Cibernetica non viene più valutata in modo isolato, ma come trasversale e connessa a tutte le altre minacce. Proprio come la NATO, anche per il nostro paese il dominio Cyber è diventato un dominio operativo su cui operano minacce ibride. Questo implica che lo spazio cyber non è solo più l’obiettivo di attacchi, ma diventa strumento di attività i cui fini potrebbero essere diversi: terrorismo, spionaggio economico, crimine finanziario, ecc.
Questo incremento di consapevolezza del decisore politico ha portato a una serie di interventi, a partire dal 2013: con il DPCM del 24 gennaio 2013 l’Italia si è dotata di un modello organizzativo e funzionale della Cyber Security nel quale si ribadisce l’assoluta rilevanza del tema, al punto di individuare nel Presidente del Consiglio dei Ministri il primo responsabile per il coordinamento Nazionale. A fine dello stesso anno, l’Italia si è dotata di un Quadro Strategico Nazionale e di un Piano Nazionale per la sicurezza dello spazio cibernetico, nei quali si delineano i principi e le azioni cardine per la protezione del nostro paese, con la nascita dei primi Cert nazionali (Mise, Difesa e della Pubblica Amministrazione).
Nel 2016, l’Italia ha anche prodotto il Framework Nazionale di Cyber Security, che inizia a definire un percorso che dovrebbe portare a meccanismi di standardizzazione e compliance per la pubblica amministrazione e gli operatori di servizi critici per il paese. L’Agenzia per l’Italia Digitale ha invece fornito linee guida per le misure minime, a cui darà seguito in modo compiuto con il piano triennale della strategia IT (a inizi 2017) (lo spiega in questo articolo di Forumpa.it).
Europa
Anche le istituzioni europee si sono mosse per promuovere una maggiore protezione dei paesi membri attraverso la pubblicazione di una Direttiva Europea denominata Network and Information Security – NIS. La direttiva NIS, che dovrà essere recepita entro il 2018 dall’Italia attraverso una legge nazionale, introdurre una serie di obblighi per gli operatori di servizi essenziali. Tra questi obblighi vi sarà l’aderenza a linee guida e standard nazionali/internazionali da parte di tutti gli operatori di servizi essenziali. Sebbene ogni paese avrà la libertà di definire e identificare quali siano i fornitori di servizi essenziali, alcuni settori sono stati identificati a priori: energia, trasporti e finanza. A questi si uniranno quasi certamente le pubbliche amministrazioni (in particolare la sanità e i servizi di emergenza), gli operatori di telecomunicazioni/ICT/Cloud, le società di gestione e distribuzione dell’acqua, il settore chimico/farmaceutico, l’alimentare e la difesa. Alcuni settori hanno già avviato iniziative specifiche per la costituzione di CERT di settore o di tavoli di lavoro finalizzati alla definizione di linee guida comuni.
Infine, non va trascurato l’impatto della normativa sulla protezione dei dati personali (Privacy) che proprio quest’anno vede una importante evoluzione con il GDPR General Data Protection Regulation (2016/297): si tratta di un regolamento europeo e quindi non ha bisogno di essere recepito dai paesi membri. Sebbene spesso Privacy e Cyber Security vengano rappresentati come elementi contrapposti o addirittura in conflitto (con equazioni spesso sbagliate del tipo più security uguale a meno privacy o viceversa), in realtà si tratta di due aspetti perfettamente sovrapposti, dove il Data Protection è oramai uno dei capitoli integrati all’interno della gestione della Cyber Security.
