L’attacco hacker avvenuto nel weekend scorso in Italia ha riaperto, come spesso succede in situazioni emergenziali, il dibattito sulla cybersicurezza nel nostro paese, sia a livello di singola azienda, che a livello di governance istituzionale.
Premesso che i media si sono accorti di quanto stava accadendo con almeno 24 ore di ritardo, nei vari articoli ci è stata presentata una situazione catastrofica ma le ragioni di questa gravità non sono state intercettate purtroppo quasi da nessuno dei nostri giornali e siti di informazione. L’attacco a cui abbiamo assistito ha assunto i caratteri di tragedia non tanto per la sua ferocia quanto, piuttosto, per il fatto che chi ha sferrato l’attacco abbia sfruttato una vulnerabilità dei server VMware Esxi già risolta nel febbraio del 2021 dal suo produttore.
Come ha dichiarato Baldoni, direttore dell’Agenzia per la Cybersicurezza Nazionale, fortunatamente l’attacco non ha colpito nessuna istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale. Tuttavia difficilmente le aziende colpite riusciranno a cavarsela senza pagare riscatti ingenti per liberarsi del ransomware e recuperare le proprie informazioni. Costi sicuramente molto più alti di un aggiornamento di sicurezza che poteva essere fatto 2 anni fa.
Il ruolo delle istituzioni
A prescindere dal singolo episodio emergenziale di pochi giorni fa, è importante sottolineare che, nel corso del 2022, in Italia sono stati rilevati quasi 13 mila attacchi cyber concentrati soprattutto verso il settore sanitario, il settore energetico, le istituzioni e le imprese del settore manifatturiero. Che la minaccia sia vera e reale per tutte le aziende, piccole e grandi, è oramai assodato. Ma se sul fronte delle scelte individuali delle singole aziende è complesso intervenire – ci vuole un mix di incentivi, obblighi e persuasione, il tutto ovviamente declinato in maniera proporzionale rispetto alla natura dell’azienda stessa, vorrei concentrarmi però sull’architettura istituzionale e sul ruolo che le istituzioni possono giocare in questa difficile rincorsa per prevenire e, quando è tardi, porre rimedio a situazioni come quella che il Paese sta vivendo in questi giorni.
Anche se il Governo Meloni ha scelto di cancellare il Ministero dell’Innovazione Tecnologica affidando la delega a un sottosegretario, Alfredo Mantovano, episodi come questo ci fanno capire quanto quella scelta sia stata povera a livello strategico. Certo un ministero di per sé non costituisce una certezza di efficacia, ma fornisce un’autorevolezza e una capacità di incisività che forse, vista la centralità della transizione digitale nel PNRR e per il futuro del nostro paese, di certo non avrebbe guastato.
Per fortuna che ACN, l’Agenzia per la Cybersicurezza Nazionale esiste ed è stata ulteriormente potenziata nella legge di bilancio, per permetterle di raggiungere rapidamente un livello di organico comparabili alle omologhe degli altri grandi paesi europei (ANSSI in Francia, NCSC in UK, BSI in Germania etc). Dobbiamo essere contenti del fatto che nel weekend l’agenzia ha anche dimostrato reattività e proattività e, attraverso il proprio Computer Security Incident Response Team Italia (Csirt-IT), ha identificato la minacciata avvertendo i proprietari di sistemi vulnerabili ma non ancora attaccati, ed aiutando chi invece era stato vittima del ransomware.
Dall’ACN i giusti passi avanti per una maggiore sicurezza
Data la centralità di questi temi auspico che nel futuro questa Agenzia possa diventare non solo un riferimento per i momenti di emergenza e che si faccia carico al meglio di gestire processi “regolari” come per esempio le certificazioni, ma un ente capace di accompagnare le aziende nello sviluppo di una maggiore consapevolezza e prontezza nell’ambito della cyber sicurezza, proprio come già accade in altri paesi. Questo aspetto è fondamentale e il Dpcm in arrivo, che dovrebbe rafforzare la collaborazione tra le Regioni e l’Agenzia per la Cybersicurezza Nazionale sulle attività di prevenzione, potrebbe essere un primo passo nella buona direzione.
Anche l’annuncio da parte dell’Agenzia stessa che istituzionalizzerà un tavolo di interlocuzione periodica con tutte le strutture pubbliche e private che erogano servizi critici per la Nazione, a cominciare dai Ministeri e dagli istituti di credito e assicurativi, è una misura che va nella giusta direzione, nonostante il ritardo rispetto anche alle indicazioni della direttiva europea NIS oramai di qualche anno fa, che nella sua seconda versione (cosiddetta NIS2) del 2022 ha ampliato il perimetro dei servizi considerati critici per la nazione.
Infine, le istituzioni possono giocare un importante ruolo anche sul fronte della formazione, per diffondere le competenze necessarie a rendere le imprese cyber-aware. La gestione della cybersicurezza delle aziende e degli enti pubblici è ulteriormente difficoltosa a causa della scarsità di personale qualificato dedicato a queste attività poiché, come riportato dalle stime dell’Agenzia per la Cybersicurezza Nazionale, attualmente nel nostro Paese mancano circa 100 mila esperti nell’ambito. Appare evidente, quindi, che il tema è, e sarà sempre di più, di fondamentale importanza per il Paese e va affrontato con un approccio sistemico. Bisogna avviare e investire più risorse nei percorsi di studio sulla sicurezza informatica, università e ITS in primis, che anche grazie ai fondi del PNRR possono diventare una vera e propria fucina di talenti in un ambito con molta domanda e poca offerta di forza lavoro.
Conclusioni
Negli ultimi anni abbiamo parlato continuamente di resilienza, ma se vogliamo davvero ottenerla, allora bisogna lavorare a tutti e questi tre aspetti: quello della consapevolezza e capacità del sistema produttivo, quello della governance istituzionale e quello della formazione dei lavoratori. Se non partiamo da questi tre aspetti come potremmo essere pronti non dico per il presente, ma neanche per il futuro?