E’ di questi giorni l’annuncio della creazione di una Agenzia Nazionale per la cybersecurity. Si tratta ancora di indiscrezioni e non sono emersi dettagli sul modello e le responsabilità dell’agenzia, quindi è prematuro trarre conclusioni. E’ anche prematuro perché con la costituzione dell’agenzia il governo potrebbe anche mettere mano al modello di governo definito dalla direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale (DPCM del 24/1/2013).
Se il modello di governo rimanesse invariato, si potrebbero fare una serie di supposizioni anche sulla base di ciò che hanno fatto altri governi.
Innanzi tutto, va precisato che il termine cybersecurity può essere declinato in diversi modi, creando confusione. In genere, la cybersecurity nazionale è la protezione dei beni materiali e immateriali del paese da minacce cyber; si tratta di proteggere i dati dei cittadini, i servizi della PA, i servizi critici (come erogazione dell’energia elettrica, il gas, il raffinamento, le banche, le telecomunicazioni, il trasporto, gli impianti chimici e farmaceutici, ecc.), i brevetti e la proprietà intellettuale da minacce definite cyber, ovvero da minacce che utilizzano il cyberspace (internet, le reti di telecomunicazioni, i sistemi informativi) quale strumento per sottrarre informazioni, compromettere dati e sistemi o per rendere non disponibili dei servizi.
Alcune volte però si fa riferimento alla cybersecurity per indicare attività di individuazione e analisi di minacce tradizionali che operano tramite il cyberspace, come ad esempio gruppi criminali o terroristici. E’ un aspetto molto importante della sicurezza nazionale, con obiettivi complementari e diversi rispetto alla vera e propria cybersecurity.
Mentre la seconda attività è principalmente inquadrata nell’ambito dei servizi di informazione per la sicurezza, la prima è trasversale a tutti i settori, inclusa la PA.
E’ quindi lecito chiedersi cosa potrebbe accadere con l’avviamento dell’agenzia e quali ripercussioni potrebbe avere sulla PA e sugli altri organi esistenti, quali ad esempio l’Agenzia per l’Italia Digitale (AgID).
A mio parere, questo intervento non farà che rafforzare le priorità già definite dall’AgID in materia di Cybersecurity, consentendo di disporre di leve più forti, ma anche di risorse e supporto.
L’AgID ha già definito un percorso che porterà le amministrazioni a diventare sempre più responsabili della sicurezza dei dati e dei servizi che gestiscono. Nella strategia per la crescita digitale, si prevede l’introduzione di Standard e Linee Guida a cui tutte le amministrazioni saranno chiamate ad essere conformi. L’introduzione di un approccio basato sulla valutazione e gestione dei rischi richiederà importanti risorse, in primis la presenza di personale qualificato e con le corrette responsabilità e deleghe. Per arrivare a questo risultato, sarà necessario disporre di investimenti e di strumenti, nonché di creare o modificare norme per consentire l’ingresso o la formazione di queste figure.
Si presume che la nuova Agenzia partirà dal Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica del Dicembre 2013: questo piano è stato implementato in maniera molto parziale, molte delle azioni individuate devono ancora essere avviate. E’ quindi lecito pensare che alcune di queste diventeranno una priorità per l’Agenzia. Ad esempio, alcune azioni rilevanti del piano non ancora avviate, come lo sviluppo dei CERT dicasteriali (punto 5.1), lo sviluppo di una Computer Incident Response Capability nazionale (punto 5.2), l’implementazione di un laboratorio governativo di analisi comparativa (punto 8.2) porteranno notevoli benefici alla PA, potendo fornire un supporto operativo e competente per l’attuazione dei requisiti e dei controlli richiesti dagli Standard e dalle Linee Guida. Inoltre, l’indirizzo Operativo 1 del piano, ovvero il Potenziamento delle capacità di Intelligence, di Polizia e di Difesa Civile e Militare, contribuirà all’espansione delle capacità di cybersecurity all’interno del governo, generando anche circoli virtuosi per la creazione e diffusione di competenze e strumenti per tutta la PA.
Queste azioni in isolamento non saranno sufficienti: dovranno diventare parte del piano di crescita digitale e di evoluzione della PA. Va compreso che la sicurezza deve diventare una caratteristica con cui si costruiscono e si gestiscono i servizi della PA. Usando una analogia, un aereo non lo si rende sicuro aggiungendo un dispositivo di sicurezza, ma seguendo regole e principi di sicurezza fin dalla sua progettazione, fino alla sua realizzazione e gestione; la sicurezza è presente in ogni vite, bullone, rivetto, cavo e dispositivo. Lo stesso vale per le infrastrutture cyber e i servizi erogati tramite di esse. Questo richiede una sinergia tra tutte le iniziative e una visione strategica di insieme che coniughi l’evoluzione del digitale nella PA con gli aspetti di sicurezza.
