Il sottosegretario alla presidenza del consiglio Franco Gabrielli ha annunciato la prossima costituzione di un’agenzia nazionale per la cybersecurity delineandone i tratti caratteristici.
L’intervento del sottosegretario Gabrielli rispetto a quanti lo hanno preceduto è, a nostro modesto avviso, suffragato da un’analisi dello stato delle cose molto aderente alla realtà, ed è proprio questa consapevolezza che ci fa sperare che questa volta alle parole seguano anche dei fatti concreti.
Ma ci sono alcuni ostacoli da affrontare per passare dalle parole ai fatti. Proviamo a esaminarli.
Un’agenzia nazionale per la cybersecurity: perché la svolta “Gabrielli” è una buona idea
Le origini del ritardo italiano sul fronte cybersecurity
Risale al marzo del 2006 il primo documento in cui si auspicava la costituzione di un organismo centrale per il coordinamento e la promozione delle iniziative di cyber security a livello nazionale. Si trattava del Quaderno n. 23 del CNIPA ancora oggi reperibile all’indirizzo.
Sono trascorsi 15 anni da quella pubblicazione, e nonostante il tema sia stato periodicamente ripreso dai media e dagli organismi che operano nel settore, è entrato nell’agenda dei nostri governanti solo a partire dal 2018 con il recepimento da parte del nostro paese della direttiva NIS. Tutto questo a riprova della scarsa sensibilizzazione che ha sinora avuto la nostra classe dirigente sul tema cybersecurity.
Il puzzle della cybersecurity in Italia
Ovviamente oggi quando si parla dell’Agenzia sulla cybersecurity, e quindi di fatto della governance delle cybersecurity in Italia, tutti concordano sul fatto che “siamo in ritardo”, anche se a voler ben vedere gli “avvertimenti” erano stati mandati in tempo debito.
Sicuramente a questo ritardo sta contribuendo una mancata determinazione o difficoltà politica ad imporre una visione unitaria sul tema, tant’è vero che attualmente il nostro quadro normativo prevede come “autorità competenti NIS” ben cinque ministeri (sviluppo economico, infrastrutture e trasporti, economia, salute e ambiente), ciascuno responsabile per uno o più settori rientranti nelle proprie aree di competenza, nonché, per taluni limitati ambiti, le regioni e le province autonome, a cui si aggiungono i servizi di intelligence attraverso Dipartimento delle informazioni per la sicurezza (DIS) designato quale punto di contatto unico. Al DIS spetta quindi di svolgere le funzioni di collegamento verso l’Unione europea e di coordinamento con le autorità competenti in materia di cybersecurity negli altri Stati membri.
Il progetto di un’agenzia nazionale per la cybersecurity
Una compagine particolarmente numerosa il cui coordinamento è probabilmente lungi dall’essere banale. Per cercare di mettere un po’ d’ordine in questo ambito nell’ottobre 2020 il governo Conte bis aveva cercato di introdurre nella legge di bilancio 2021 la formazione di un Istituto Italiano per la Cybersecurity. Fortunatamente la proposta veniva stralciata per tornare però nel dimenticatoio, da dove è stata ripescata da Franco Gabrielli.
Italia incompetente in cybersecurity: ecco il problema che tutti trascurano
Riprendiamo alcuni di questi spunti. Per prima cosa l’agenzia dovrebbe essere incentrata sulla cyber resilienza del sistema paese superando così il concetto di cyber defense. Brevemente ricordiamo che il concetto di cyber resilienza nasce dalla constatazione che le tradizionali misure di protezione informatica, anche nelle loro forme più aggiornate ed avanzate, non sono in grado di evitare che un attacco informatico faccia breccia nei sistemi di difesa di un’organizzazione ed in questi casi è necessario aver predisposto le necessarie misure per poter “assorbire” il più velocemente l’attacco. La cyber resilience è quindi la capacità di un’organizzazione di prepararsi, rispondere e riprendersi dagli attacchi informatici. Non basta più quindi limitarsi a difendere i propri asset ma bisogna essere pronti a ripristinarne la funzionalità nel minor tempo possibile. In sostanza, invece di concentrare i propri sforzi su come tenere i cyber criminali fuori dalla propria rete, è meglio presumere che alla fine avranno la meglio e iniziare a lavorare su una strategia per ridurre l’impatto dell’attacco.
Un tema non banale, che va ben oltre la cyber defense, e ci si consenta, decisamente ambizioso per un paese dove anche ai massimi livelli manageriali si fa fatica a capire che cos’è la cybersecurity.
Un’agenzia indipendente dai servizi
Altra nota estremamente importante. L’agenzia sarà svincolata dai servizi di intelligence. Gabrielli dopo aver sottolineato come la delega alla gestione della cybersecurity nazionale avvenuta con il decreto NIS (Dlgs. 18 maggio 2018, n. 65) sia stata dettata dall’emergenza della situazione, ha sostenuto la necessità di normalizzare la situazione e di creare un’agenzia per la cybersecurity che sia indipendente da “servizi”. Si tratta di una scelta molto importante e che condividiamo completamente. La storia ci insegna che quando coinvolti in grossi progetti di protezione nazionale i servizi di intelligence hanno sempre operato per mitigarne l’efficacia. Molto emblematici in questo senso i tentativi avviati oltre oceano per imporre schemi di crittografia “indebolita” e backdoor in standard e prodotti commerciali. Così facendo in fondo i servizi di intelligence provano ad agevolare la propria missione: sorvegliare quanto accade nelle altre nazioni ed evitare che le altre nazioni sorveglino la propria. In un mondo governato dalle tecnologie digitali l’intrusione informatica è lo strumento più efficace per il raggiungimento di tale finalità. Paradossalmente, l’ambito operativo ideale per i servizi di intelligence di un paese sarebbe un’Internet non sicura, con l’eccezione ovviamente della rete del proprio paese.
Purtroppo, Internet non consente queste distinzioni e tutti i suoi protocolli devono essere condivisi su basi globali, bug compresi. Se guardiamo la storia delle intrusioni informatiche degli ultimi decenni scopriamo che quando i servizi di intelligence hanno individuato un bug si sono ben guardati dal rivelarlo per mettere in sicurezza le infrastrutture del proprio paese ma lo hanno utilizzato per compromettere sistemi informatici di paesi “concorrenti”. Non proprio l’atteggiamento che dovrebbe contraddistinguere un’agenzia nazionale per la cybersecurity che dovrebbe garantire alla propria constituency (e quindi per quanto detto sopra all’intero globo) il maggior livello di protezione possibile (o cyber resilience se vogliamo).
È necessario quindi trovare il giusto bilanciamento tra cyber offense e cyber defense/resilience, una dialettica che ha necessariamente bisogno di due attori autorevoli per essere tale. È indubbio che i servizi di intelligence debbano svolgere il loro ruolo e rappresentare le proprie istanze, il problema è fino a che punto la politica ed i governi debbano assecondarle. Si tratta di una scelta molto difficile e coraggiosa che richiede saggezza, competenze e visione. Soprattutto una scelta che per il nostro paese dovrà essere condivisa a livello europeo e NATO.
Il ritardo culturale del nostro paese sul tema della cybersecurity
Nel corso della sua intervista, Gabrielli ha toccato un altro punto estremamente critico: l’assoluto ritardo culturale del nostro paese sul tema della cybersecurity sia a livello pubblico che privato. Anche su questo punto ci troviamo allineati su quanto detto dal sottosegretario alla presidenza del consiglio. Si tratta di un problema cronico, particolarmente grave perché tocca le fasce dei decisori, i cosidetti C-executives sia a livello pubblico che privato. Non sappiamo come la nascente agenzia intenda affrontare il problema, ci limitiamo solo a sottolineare come il problema non sia relegato alla sola cybersecurity ma abbia radici molto più profonde, è difatti il sintomo più evidente di un ritardo culturale del paese sull’intera area delle nuove tecnologie. A poco serviranno programmi/iniziative di security awareness per mitigare il problema. Sarà invece necessario un massiccio intervento di formazione e di revisione dei programmi scolastici a partire da quelli universitari.
La Ue accelera sui Security Operation Centre: le sfide per l’Italia
I danni di una “cattiva” cultura della cybersecurity
Un’ulteriore osservazione. Dal nostro punto di vista il problema si è ulteriormente aggravato negli ultimi anni, perché ha visto nascere una pletora di personaggi improvvisati, che approfittando dell’ignoranza diffusa sul tema dopo aver letto qualche articolo o qualche testo specialistico si sono proposti al mercato in qualità di “Cybersecurity Analyst”, “Cybersecurity Experts”, ecc. ecc. Per cui ora non c’è solo da contrastare una mancata diffusione della cultura della cybersecurity ma c’è anche da contrastare la diffusione di una “cattiva” cultura della cybersecurity.
Ovviamente il discorso della scarsa consapevolezza e conseguentemente della scarsa preparazione e adeguatezza delle nostre realtà a saper gestire il rischio cibernetico non si riferisce solo alle pubbliche amministrazioni ma anche al settore privato. Potremmo quasi azzardare che in questo contesto il settore pubblico presenta un margine di distacco significativo rispetto al settore privato. Se si eliminano infatti le multinazionali o le grandi realtà produttive ci troviamo di fronte ad una vastissima platea di piccole/medie realtà che difficilmente hanno le risorse per poter affrontare i costi di un serio programma di cybersecurity, eppure si tratta delle realtà che costituiscono il tessuto produttivo del paese. Sono quindi l’anello debole della catena che richiederanno quindi attenzioni particolari da parte della nascente agenzia nel dovuto rispetto della loro autonomia e indipendenza.
Il nodo dei fondi alla ricerca
Un ultimo appunto: la ricerca. È stata accennata anche dal sottosegretario, ma in realtà in tutti i contesti si cita l’importanza della ricerca (basti pensare al battage avuto sulla ricerca dei vaccini nell’ultimo anno). Dopodiché se si guarda con attenzione alle fonti di finanziamento alla ricerca del nostro paese fatta eccezione per alcuni settori che si rifanno alle scienze della vita, le risorse sono davvero esigue e questo è altrettanto vero per la cybersecurity che non gode di alcun trattamento di favore. Ma non è una disciplina strategica per il paese? Nella maggior parte dei paesi europei più avanzati esistono programmi di ricerca nazionali espressamente dedicati al tema, mirati a stimolare ricerche di diversa natura in cybersecurity e alla crescita di gruppi di ricerca nel settore. Nel nostro paese non credo di sbagliare se affermo che non è mai stato erogato un solo progetto con queste finalità.
Di proclami in questi anni la comunità nazionale della cybersecurity ne ha sentiti davvero tanti, è purtroppo una comunità che è cresciuta molto sulle parole poco sui fatti. È indubbio che la cybersecurity sia un tema che negli ultimi anni attrae molto l’attenzione dei media e del pubblico, ma se si commisurano i fatti ed i risultati ai proclami il rapporto è ben lungi dall’avere valori decimali significativi.
Affinché però questi fatti non si traducano nell’ennesima delusione ci auguriamo che la nascente agenzia non si limiti solo a promulgare direttive, linee guida, misure minime, schemi di certificazione, ecc. ecc. ma si preoccupi anche di predisporre tutte le necessarie precondizioni culturali, politiche e finanziarie affinché le stesse possano essere implementate con successo. In questi anni si è parlato tanto di cybersecurity, ora sarebbe anche ora di fare, o insegnare a fare. Ci piacerebbe che l’agenzia ponesse fine alla “cybersecurity parlata” e desse inizio alla “cybersecurity realizzata”.
Colao: “Il 95% delle PA è facile preda hacker”, ma il Governo non sa ancora come rimediare
