L’Europa dal 2009 sta spingendo gli stati Membri a dotarsi di un “National CERT”, ovvero di un Centro Nazionale per la Cyber Security. Il 29 Aprile 2009 a Tallin, durante la conferenza CIIP Critical Information Infrastructure Protection, il commissario Viviane Reading – DG INFSO (ora DG CCONNECT, diretto dal commissario Neelie Kroes), ha chiesto agli stati membri di impegnarsi a indirizzare in modo strategico la Cyber Security anche attraverso la creazione di un CERT Nazionale.
Da allora, la pressione di Bruxelles su questo tema è aumentata al punto che la presenza di un CERT nazionale è diventata uno degli elementi chiave della Strategia NIS – Network e Information Security – dell’Unione Europea e della relativa direttiva, entrambe in discussione e approvazione durante il semestre Italiano.
Molti paesi Europei hanno investito nella creazione di centri dedicati alla Cyber Security, a differenza dell’Italia che dopo 5 anni dall’incontro di Tallin, non dispone ancora di tali strutture.
A seguito della pubblicazione della direttiva del 24 Gennaio 2013 sulla Sicurezza del Cyber Space, l’Italia ha avviato non uno, ma ben tre progetti relativi a centri per la Cyber Security: 1) Il CERT Nazionale presso il MISE 2) Il CERT della Pubblica Amministrazione presso l’Agenzia per l’Italia Digitale 3) Il Nucleo di Sicurezza Cibernetica presso l’Ufficio del Consigliere Militare alla Presidenza del Consiglio dei Ministri.
Va detto che l’Italia, seppur con un grosso ritardo, ha finalmente dato la giusta importanza al tema. Ma la creazione di questi CERT porterà ad un reale innalzamento della sicurezza in Italia?
Per rispondere a questa domanda, si parta con il valutare che paesi molto avanzati da un punto di vista di protezione dalle minacce Cyber, come ad esempio l’Inghilterra e Isreale, non dispongano di un CERT Nazionale. L’Inghilterra ha avviato il progetto nel 2013, ancora in corso; Israele non ha ancora avviato alcun progetto. Entrambi i paesi hanno programmi di Cyber molto avanzati, con budget a nove cifre. L’Estonia, che nel 2007 disponeva già di un CERT Nazionale (il CERT.EE), non è riuscita a contrastare l’attacco massivo di Aprile, durato oltre 20 giorni. La presenza di un CERT non è quindi condizione né necessaria né sufficiente per garantire una effettiva protezione del Cyber Space.
Ma allora, come mai tanta attenzione da parte dell’Unione Europea sui CERT?
Avendo avuto la fortuna di poter lavorare come Advisor sia di DG Justice Liberty and Security (ora DG Home) che di DG INFSO (ora DG CONNECT), ho potuto più volte confrontarmi con la Commissione e comprenderne i razionali. La Commissione è sempre stata convinta che un CERT sia l’occasione per portare il tema all’attenzione della classe politica, delle aziende e dei cittadini creando maggiore consapevolezza. La sua funzione è quindi di catalizzatore. E’ un principio analogo a quello adottato nella direttiva per la protezione delle infrastrutture critiche Europee, le cui misure sono state ritenute troppo deboli e circoscritte; di fatto, lo scopo era avviare l’analisi del problema nei vari paesi, inducendoli a definire le proprie strategie.
Alcuni paesi hanno avviato iniziative estremamente strategiche e di successo, come il piano britannico, coordinato dal Center for the Protection of Critical Infrastructure, struttura che conta oltre 150 persone e che vede coinvolte tutte le infrastrutture critiche britanniche. In Italia, di contro, ci si è limitati a recepire la direttiva e ad avviare qualche iniziativa di coordinamento.
L’avviamento del CERT Nazionale, del CERT della PA e del Nucleo Sicurezza Cibernetica sono un passo importante, ma non ci si deve fermare qui.
L’AgiD deve continuare nel suo lavoro di emanazione di standard per la PA, lavorando su strumenti di governance, compliance e performance management che servano da guida e da strumento di controllo nei confronti della PA. L’attenzione va concentrata sul disegnare nuovi servizi in logica Cloud, lasciando poi al mercato il ruolo di realizzarli ed integrarli anche con altri servizi. SPID, il Servizio Pubblico di Identità Digitale ne è un esempio.
Il Governo dovrà poi avviare una collaborazione stretta con il settore privato, vero attore chiave della protezione del Cyber Space. Con i grandi operatori, si dovrà lavorare attraverso l’adozione di standard di settore, mentre con le Piccole e Medie Imprese si dovrà investire sull’adozione di servizi sicuri in Cloud, l’unica vera strada per proteggere aziende troppo piccole per potersi prendere cura direttamente della loro sicurezza. E questo è fondamentale in un paese dove una porzione significativa del PIL è generata da aziende con meno di 250 dipendenti.
