“In parallelo con l’implementazione dell’Agenda Digitale è necessario mettere a punto una reale e concreta pianificazione strategica in materia di cybersicurezza”. Ne è convinto Sandro Bologna, presidente dell’Aiic, l’Associazione Italiana esperti in infrastrutture critiche.
“La cybersicurezza è diventata un elemento fondamentale da considerare per la sostenibilità e lo sviluppo sociale ed economico di tutti i paesi del mondo, ma in particolare di quelli fortemente industrializzati come l’Italia. Anche se giustamente enfatizzata dalla “cabina di regia” dell’Agenda Digitale Italiana con un apposito gruppo di lavoro “Infrastruttura e Sicurezza”, purtroppo in Italia manca un documento strategico nazionale in materia, o meglio, una strategia di sicurezza nazionale che prenda in considerazione anche lo spazio cibernetico.
Solo lo scorso 23 gennaio 2013 – ricorda il presidente di Aiic – c’è stato un comunicato della Presidenza del Consiglio dei Ministri che annunciava la pubblicazione in Gazzetta Ufficiale di un Decreto che prevede la “prossima adozione di un Piano nazionale per la sicurezza dello spazio cibernetico”, per la nascita del primo Cert (Computer emergency response team) nazionale. Il Decreto è stato poi pubblicato nella GU n.66 del 19 marzo 2013 sotto il nome “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”.
Ma al momento- a quanto risulta- non ci sono tempi certi per la nascita del Cert, anche se dovrebbe essere entro il 2013 per rispettare le richieste dell’Unione europea. Il fatto è che la governance definita dal decreto è troppo frammentata. Spiega Andrea Rigoni, direttore generale del Global cyber security center (fondazione di Poste Italiane): “da una parte il decreto identifica il Mise come la struttura in cui verrà realizzato il Cert, dall’altra istituisce anche la nascita di un Nucleo Operativo a cui attribuisce gli stessi poteri che dovrebbero essere di Cert Nazionale”. “L’organizzazione è troppo articolata, di difficile comprensione e crea sovrastrutture poco efficienti. Si sarebbe dovuto optare per una Autorità Nazionale per la Cyber Security, con specifico compito di definire ed implementare la Strategia Nazionale. Infine, “il decreto non destina risorse alla Cyber Security. Senza risorse, il Nucleo Operativo dovrà far leva su personale esistente o reperito da altre amministrazioni. Questo implicherà che il basso livello di competenza minerà il ruolo di leadership del Nucleo, non consentendogli di assumere un effettivo ruolo di guida e coordinamento”.
Ma l’Europa chiede di accelerare. Il 7 febbraio la Commissione Europea e l’Alto Rappresentate per gli Affari esteri e la politica di sicurezza, Catherine Ashton, hanno sottoposto al Consiglio e al Parlamento europeo una Comunicazione congiunta su Strategia dell’Unione europea per la cybersicurezza. “La Comunicazione parte dal presupposto che oggi la tecnologia dell’informazione e delle comunicazioni è diventata la spina dorsale della crescita economica e una risorsa critica da cui dipendono tutti i settori dell’economia europea. Purtroppo, l’esperienza degli anni recenti dimostra che il mondo digitale, oltre a procurare enormi vantaggi, presenta anche numerose vulnerabilità”. Insomma, l’attuazione dell’Agenda digitale è strettamente connessa alla sicurezza delle infrastrutture, anzi quest’ultima rappresenta la base imprescindibile su cui costruire una strategia digitale. Anche perché se sempre più le informazioni transiteranno sotto forma di bit sempre più queste saranno esposte e a rischio.
Se dunque lo sviluppo dell’Agenda non sarà accompagnato dalla messa in opera di un piano per la protezione delle infrastrutture critiche difficilmente l’Italia riuscirà a fare il grande passo nell’era digitale e a beneficiare degli effetti dovuti alla digital economy. “Il fattore Internet – ormai è noto – è determinante per lo sviluppo dell’economia di una nazione, sia per i ricavi diretti che genera, sia per il vantaggio competitivo che può fornire a settori più tradizionali”. In Italia – secondo diverse fonti specializzate – solo il 2.1% del Pil è generato da servizi digitali, a differenza di una media europea del 4.02%. La Gran Bretagna ha un Pil digitale di circa il 7% e punta a raggiungere il 10% entro tre anni. L’Agenda Digitale Italiana – è il parere del numero uno di Aiic – è dunque un primo passo per cercare di recuperare questo svantaggio competitivo.
“Gli incidenti a carico della cybersicurezza, intenzionali o fortuiti, che stanno crescendo ad un ritmo allarmante, sono suscettibili di perturbare la fornitura di servizi essenziali che diamo per scontati, come la distribuzione idrica, le cure sanitarie, l’elettricità o i servizi mobili- puntualizza Bologna -. Seguendo l’impostazione tracciata dall’Unione Europea, negli Stati Uniti il Presidente Obama ha deciso di ricorre ad un Executive Order sulla cybersicurezza, emesso in data 12 febbraio 2013, per provare a proteggere al meglio le infrastrutture critiche nazionali dagli attacchi provenienti dallo spazio cibernetico”.
Come la strategia europea, anche quella statunitense è basata su una precisa specificazione e assunzione dei ruoli e delle responsabilità di ciascun attore sia privato sia governativo “chiamato a farvi fronte e sulla creazione di un clima di fiducia reciproca, tale da favorire la condivisione delle informazioni e la collaborazione tra pubblico e privato”.
Da parte sua l’Aiic sta portando avanti una serie di attività di diffusione “mirate a creare la consapevolezza del problema, nonché promuovere attività formative e di ricerca su alcuni aspetti specifici, quali la preparazione dei Piani di sicurezza operatore, l’analisi delle vulnerabilità dei sistemi di controllo industriali, l’impatto sulla cybersicurezza delle nuove proposte di cloud computing”.
