Le recenti azioni intraprese dal Governo in seno al Piano nazionale di ripresa e resilienza (PNRR) evidenziano, da una parte, una crescente consapevolezza della necessità di una “concertazione” delle iniziative di cyber resilienza a livello nazionale, tramite l’istituzione di organismi di coordinamento; dall’altra, la difficoltà di colmare gap importanti, come lo sviluppo delle competenze necessarie, specialmente nel settore pubblico, per poter realizzare un reale processo di digitalizzazione del Paese.
Agenzia per la cyber security, una svolta per l’Italia digitale: ma ora lavorare sulle competenze
La promozione delle competenze digitali e della consapevolezza in materia di cybersecurity tra i dipendenti delle PA rappresenta un nodo centrale, forse ancora troppo sottovalutato, nella realizzazione di una strategia di sicurezza nazionale cibernetica.
Cyber security settore chiave per un Paese moderno
Lo dimostra l’ultimo rapporto di Trend Micro, che vede l’Italia al terzo posto tra i Paesi maggiormente colpiti dagli attacchi malware nei primi mesi del 2020, con il settore pubblico in cima alla classifica dei target privilegiati dagli attaccanti, seguito da quello bancario, della produzione industriale e sanitario, che sono stati oggetto di quasi 90.000 rilevamenti; ma anche indagini indipendenti condotte sui dipendenti della Pubblica Amministrazione, come quella realizzata da Forum PA, che ha evidenziato il problema delle competenze nel settore pubblico e l’urgenza di inserire nuovi profili strategici, non solo di natura tecnica, ma anche strategico-gestionale.
L’importanza del vulnus della sicurezza cibernetica, in particolare nella PA, rappresenta uno dei punti di maggiore attenzione degli ambiziosi obiettivi del PNRR. Secondo quanto dichiarato dal ministro per l’Innovazione tecnologica e la Transizione digitale Vittorio Colao, il 93-95% dei server della Pubblica amministrazione non sarebbero in condizioni di sicurezza; mentre il sottosegretario con delega all’Intelligence Franco Gabrielli, ha riconosciuto che il Paese è in una condizione di fragilità “per mancanza dei consapevolezza dei rischi, per un deficit di cultura su questi temi”.
La sicurezza cibernetica rappresenta infatti uno dei sette investimenti della Digitalizzazione della pubblica amministrazione prevista nel Piano, primo asse di intervento della componente “Digitalizzazione, innovazione e sicurezza nella PA” compresa nella Missione “Digitalizzazione, innovazione, competitività, cultura e turismo”. L’intervento, a cui sono destinati un totale di circa 620 milioni di euro, appare per lo più focalizzato sull’aspetto relativo alla sicurezza e al rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica, nonché delle capacità nazionali di difesa informatica presso il ministero dell’Interno, Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato.
Le 4 aree di intervento principali sono infatti:
- rafforzamento dei presidi di front-line per la gestione degli alert e degli eventi a rischio verso la PA e le imprese di interesse nazionale;
- consolidamento delle capacità tecniche di valutazione e audit della sicurezza dell’hardware e del software;
- potenziamento del personale delle forze di polizia dedicate alla prevenzione e investigazione del crimine informatico;
- implementazione degli asset e delle unità incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber.
L’Agenzia per la Cybersicurezza Nazionale
In tal senso, la recente creazione di un’Agenzia per la Cybersicurezza Nazionale (ACN) va a completare la strategia già definita dal perimetro di sicurezza nazionale cibernetica (ulteriormente ampliato dall’aggiornamento, firmato lo scorso 15 giugno dal Presidente del Consiglio dei ministri Mario Draghi, dell’elenco dei soggetti pubblici e privati ivi inclusi); in quanto tale Agenzia, oltre ad assumere le funzioni di interlocutore unico per i soggetti pubblici e privati coinvolti in materia di cybersicurezza a livello nazionale, avrà lo scopo di promuovere lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni; supportando lo sviluppo di competenze industriali, tecnologiche e scientifiche e promuovendo la crescita della forza lavoro nazionale nel campo della cybersecurity, in un’ottica di conseguimento di un’autonomia strategica nazionale nel settore.
Secondo quanto definito nella bozza preliminare, l’Agenzia sarà posta sotto il diretto controllo del COPASIR e istituita in capo alla Presidenza del Consiglio dei Ministri, prevedendo inoltre l’assunzione di personale specializzato anche non proveniente dalla Pubblica Amministrazione.
La convergenza pubblico-privato appare dunque sempre di più come uno degli aspetti fondamentali della realizzazione di un piano di “resilienza nazionale”, in cui non è solamente lo Stato a direzionare le azioni e le iniziative in tal senso, ma in cui vi è una reale compartecipazione di tutti gli attori, pubblici e privati, che compongono il tessuto del Sistema Paese.
Attualmente, a livello di Pubblica Amministrazione Centrale sono presenti diversi soggetti che operano a vario titolo, come il Ministero per l’Innovazione Tecnologica e Transizione al Digitale, la società partecipata PagoPa Spa, l’Agenzia per l’Italia Digitale presso la Presidenza del Consiglio dei Ministri, la società Sogei Spa, che fa capo al MEF, ai quali si aggiunge la già citata Agenzia per la sicurezza nazionale cibernetica.
PA digitale, la “rivoluzione copernicana” che serve ora: best practice e soluzioni possibili
Il merito di quest’ultima è quello di introdurre un elemento di coordinamento rispetto a una “costellazione” di problematiche ed esigenze, da quelle di natura più squisitamente tecnica e relative agli aspetti di sicurezza, fino agli aspetti relativi allo sviluppo delle competenze e all’accesso ai finanziamenti.
Un processo, dunque, di scambio “osmotico” tra attori e settori differenti, che necessitano tuttavia di una convergenza e di interlocutori ben identificabili. In questo senso, gli sforzi dell’Italia sembrano ricalcare le iniziative intraprese a livello europeo, come la Joint cyber unit, nuovo standard di difesa istituito lo scorso 23 giugno, che vedrà la luce a partire dal prossimo anno, finalizzato a coordinare gli sforzi e le strategie per la cyber security europea, incentivando la cooperazione verticale tra autorità nazionali ed europee, nonché quella orizzontale, tra le singole entità statali.
Conclusioni
Dalla fotografia che ci restituisce lo scenario attuale è possibile individuare tre direttrici principali:
Coordinamento, ovvero la necessità di identificare interlocutori comuni cui fare riferimento in relazione alle tematiche di cybersecurity e sviluppo della digitalizzazione a livello nazionale e non solo;
Cooperazione, nella misura in cui si configura con sempre maggiore urgenza la necessità di incoraggiare lo scambio tra pubblico e privato; nonché tra istituzioni centrali e realtà locali;
Condivisione, ovvero trasparenza, ma anche e soprattutto sviluppo delle competenze non solo nel settore cyber, con particolare attenzione all’ambito del pubblico, ma nell’intero settore industriale, tecnologico e scientifico, per aumentare il “perimetro di resilienza” dell’intero Sistema Paese.
