A circa un anno dalla presentazione del Framework Nazionale per la Cybersecurity, il Centro di ricerca di cyber intelligence e information security della Sapienza (CIS-Sapienza) ha tirato le somme, approfittando dell’enorme numero di esperti, stakeholder e ricercatori riuniti a Venezia per la prima conferenza italiana sulla sicurezza informatica (ITASEC2017), in corso fino al 20 gennaio 2017.
Nel panorama estremamente impreparato e a corto di finanziamenti pubblici dedicati, costituito dall’impresa e la PA italiana, è emerso che le aziende che si occupano di consulenza di sicurezza, hanno adottato a pieno lo strumento e ne sta traendo i massimi benefici.
Il Framework, pubblicato il 4 febbraio 2016, rappresenta un linguaggio comune in grado di agevolare, se non di permettere, il dialogo tra attori diametralmente opposti, siano questi all’interno dell’organigramma delle imprese o delle pubbliche amministrazioni (ad esempio tecnici e dirigenti), sia organizzazioni vere e proprie in corso di collaborazione o di appalti di fornitura.
In un anno sono state diverse le aziende, tra piccole medie e grandi, che hanno manifestato interesse all’utilizzo e che effettivamente hanno iniziato a utilizzarlo, ma il numero è decisamente ancora insufficiente. Nonostante i diversi riconoscimenti nazionali e internazionali che il Framework ha ottenuto (se ne parla in seguito), il processo di adozione e di permeazione nel mondo dell’impresa e della PA è estremamente lento. La lentezza è dovuta a un paio di fattori, il primo è la mancanza di consapevolezza, awareness, del rischio che si corre; il secondo, neanche a dirlo, è rappresentato dai soliti soldi, i costi della sicurezza, estremamente certi a fronte di rischi incerti. Incerti sì, ma sempre più probabili.
Entrambi questi fattori vengono schiaffeggiati in questi giorni, il primo dallo scandalo causato dal malware Eye pyramid, a quanto pare un malware semplice, maldestro ed errato, ma efficace quanto basta per svegliare un po’ tutti, di nuovo, e sottrarre dati critici per la Nazione. Il secondo fattore dagli attacchi DDoS di nuova generazione (es. quello basato sul malware Mirai condotto contro DynDNS), di potenza tale da bloccare quasi tutta una nazione enorme per ore. Cosa succederebbe se questi DDoS spostassero la mira verso asset strategici, ad esempio, nelle transazioni economiche? Si perderebbero milioni in poche ore.
L’Italia si è spostata dallo zero assoluto qualche anno fa con il decreto Monti prima, la strategia nazionale subito dopo e con il Framework Nazionale. Adesso bisogna premere sull’acceleratore, investire ed investire molto, non quanto gli Stati Uniti, impensabile, ma almeno una buona frazione (la metà?) di quanto stanno facendo Francia, Germania, Regno Unito, le quali viaggiano nell’ordine (almeno) del miliardo di euro. Il cyber risk è attualmente il rischio numero uno per tutte le nazioni.
Parte degli investimenti devono imperativamente andare a supportare il mantenimento e l’aggiornamento del Framework. Nato da così poco, già così vecchio: deve già recepire in tempi brevissimi l’avvento del General Data Protection Regulation (GDPR) della UE, la direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione (detta comunemente NIS sempre della UE), le Misure Minime di Sicurezza Informatica per le PA emanate dall’Agenzia per l’Italia Digitale (AgID), l’aggiornamento del Framework core del NIST, condiviso con il Framework Italiano, già pubblicato in bozza ed atteso a breve.
Tutto questi aggiornamenti si sono resi necessari in meno di 12 mesi. È quindi chiaro che il Framework non può continuare ad essere sviluppato e mantenuto grazie ad opera volontaria, spinta dal bene per la collettività, premiata solo dai ringraziamenti e dalle citazioni.
Alcuni di questi riconoscimenti meritano di essere sottolineati.
Una delle cose più importanti per la Nazione è stato il lavoro fatto da AgID nel creare la corrispondenza tra le misure minime e il Framework. Questo permetterà, non appena tali misure diventeranno obbligatorie in qualche maniera, la diffusione rapida del Framework nella PA. Purtroppo la strada per ottenere questo è lunga.
Altro evento, ancora più recente, è la citazione al nostro Framework da parte del report sulla cyber security readiness dell’Italia da parte del Potomac Institute for Policy Studies. Il report mette il Framework allo stesso piano della strategia nazionale.
La collaborazione con in National Institute for Standards and Technology (NIST) statunitense è motivo di orgoglio per l’accademia Italiana che, a valle della presentazione del Framework è stata invitata sia presentarlo presso il NIST a Washington che a partecipare come panelist nel corso del workshop di aggiornamento del Framework NIST. Tale collaborazione è stata rafforzata proprio a Venezia nel corso di ITASEC2017, dove il NIST ha partecipato con un keynote.
Merita citazione anche il lavoro fatto da ForumPA nel gestire i cantieri della PA digitale, uno di questi, il cantiere Sicurezza Digitale, dedicato proprio al Framework.
Questo resoconto dell’anno trascorso non può che terminare con uno sguardo verso il futuro. Il CIS-Sapienza è infatti già al lavoro su un ulteriore strumento volto a spingere ancor di più l’adozione del Framework. Tale strumento sarà presentato il prossimo 2 marzo e costituirà il Cybersecurity Report del 2016. Consta di 15 controlli di sicurezza estremamente semplici, essenziali, tratti dal Framework e ulteriormente semplificati. Tali controlli sono pensati per agevolare la micro e piccola impresa italiana, nonché la piccola PA, a gestire il rischio cyber in autonomia. Servono inoltre per indurre coloro che si accorgono di necessitare di più a non fermarsi ai 15 controlli ma ad allargare i propri orizzonti e adottare il Framework Nazionale. Il CIS ha messo in consultazione pubblica tali controlli e lo saranno fino al 3 febbraio, gli interessati possono fornire la propria opinione su www.cybersecurityframework.it/csr2016.
