Approfondire la conoscenza degli attacchi informatici che potrebbero colpire anche i servizi pubblici e conoscere le azioni da mettere in campo per mitigarli è essenziale, e per farlo servono le giuste competenze di cyber security e una formazione adeguata.
Cerchiamo allora di capire come è possibile sviluppare tali competenze divenute ormai indispensabili nel mondo digitale e facciamo il punto sulle offerte e le iniziative in atto in Italia, dove molto ancora può e deve essere fatto, sia in ambito pubblico che privato.
Obiettivo continuità di servizio
L’obiettivo in un ambito pubblico è quello di assicurare la continuità dei servizi pubblici, gestendo le attività di pianificazione, coordinamento e monitoraggio della sicurezza informatica, specialmente da parte del Responsabile per la Transizione al Digitale. Ma in un contesto di carattere più generale è necessario che gli utenti siano sicuri e protetti quando si collegano a Internet, difatti le reti informatiche e i terminali degli utenti rimangono vulnerabili e sono esposti a una vasta gamma di minacce in costante evoluzione, come per esempio la criminalità informatica.
Riguardo l’Alta formazione numerose prestigiose università straniere, fra cui MIT, Harvard, Cambridge, Carnegie Mellon, Georgia Institute of Technology, Imperial College, Eindhoven, ETH Zurigo e molte altre offrono programmi di alta formazione in cybersecurity.
Formazione cybersecurity, cosa offre l’Italia
In Italia non siamo all’anno zero. Presso l’Università di Milano sono attive da anni una laurea Magistrale e una Triennale in Sicurezza Informatica. L’Università di Trento fa parte da alcuni anni di un consorzio all’interno dello European Institute of Innovation and Technology (EIT) che offre una laurea Magistrale in Security e Privacy.
Dall’anno accademico 2017-2018, anche Sapienza Università di Roma offre una Laurea Magistrale in Sicurezza Informatica. All’interno di vari corsi di Laurea Magistrali in Informatica o Ingegneria Informatica sono previsti o in corso di attivazione curriculum in cybersecurity. Queste iniziative sono accompagnate da numerosi master di primo e di secondo livello, accessibili rispettivamente dopo il conseguimento di una laurea triennale o magistrale o da corsi di perfezionamento come quello della Cyber Academy dell’Università di Modena e Reggio Emilia.
Esperti cyber security per il 5G: il bando
Si tratta di “Concorso pubblico, per titoli ed esami, per la copertura di complessive settanta unita’ di personale non dirigenziale, a tempo pieno ed indeterminato, di cui sessanta di Area III, posizione retributiva F1, da inquadrare nei ruoli del Ministero dello sviluppo economico e dieci, di cui una riservata ai sensi dell’articolo 3 della legge 12 marzo 1999, n. 68, di categoria A, parametro retributivo F1, da inquadrare nei ruoli della Presidenza del Consiglio dei ministri, per diversi profili professionali. (GU n.59 del 31-07-2020)”.
Le iniziative del Cini
Per un quadro completo si rimanda all’indagine svolta congiuntamente dal Laboratorio Nazionale Competenze Digitali, Formazione e Certificazione del CINI e dal Laboratorio Nazionale di Cybersecurity sempre del CINI. Questo secondo Laboratorio, inoltre, sta guidando varie iniziative di formazione e sensibilizzazione, declinando in ambito italiano quanto fatto dall’Association for Computing Machinery (ACM), che ha istituito una commissione per stilare orientamenti curriculari basati su una visione completa della cybersecurity, che tengano conto delle specifiche esigenze disciplinari per una formazione aperta e critica e del rapporto tra curriculum e tipologia della forza lavoro richiesta.
Numerosi paesi dedicano particolare attenzione anche all’educazione di base; ad esempio in Gran Bretagna sono stati investiti più di 20 milioni di euro nel Cyber Schools Programme destinato ai giovani tra i 14 e i 18 anni, per incoraggiarli a occuparsi di queste tematiche e a sviluppare abilità che saranno sempre più importanti per difendere gli assi portanti dell’economia.
Iniziative rivolte alle nuove generazioni
In Italia, al momento, nelle scuole superiori viene dato poco spazio alle problematiche di cybersecurity e tra le 34 azioni considerate nel Piano Nazionale per La buona Scuola digitale non figura alcuna azione dedicata alla cybersecurity. Per imparare la cybersecurity non basta più sapere cos’è un malware o saper scegliere i migliori antivirus aziendali.
Vi sono, inoltre, numerose iniziative internazionali per promuovere la diffusione di una cultura della cybersecurity facendo leva sulla competizione come stimolo per attrarre giovani talenti. Ad esempio, in Gran Bretagna, sotto il brand CyberFirst, il governo supporta la crescita della prossima generazione di esperti di cybersecurity attraverso uno schema di corsi, apprendistati e gare per giovani dagli 11 ai 17 anni.
Tra le iniziative di formazione più popolari vi sono certamente le competizioni in stile Capture-The-Flag (CTF), gara con simulazione di scenari realistici in cui i partecipanti svolgono attività di difesa attiva di complessi sistemi informatici, di attacco di applicazioni, di sviluppo e di analisi (reverse engineering) di malware. Paesi come USA, Australia, UK, Austria, Germania, Svizzera, Spagna, Romania organizzano da alcuni anni competizioni che selezionano i migliori candidati per formare le squadre nazionali.
CyberChallenge, il contest di Enisa
ENISA organizza annualmente la European Cybersecurity Challenge (ECSC), una competizione dedicata alle squadre nazionali europee alla quale, dal 2017, partecipa anche l’Italia sotto l’egida del CINI e del MISE.
CyberChallenge.IT è il primo programma italiano di ricerca di giovani talenti in cybersecurity promosso dal Laboratorio Nazionale di Cybersecurity del CINI. Il progetto punta a far emergere le eccellenze in materia di cybersecurity fra gli studenti delle scuole superiori o dei primi anni universitari.
I Cyber Range (si tratta di poligoni virtuali dedicati all’addestramento dei professionisti del settore, costituiti da ambienti e sistemi controllati, tipicamente basati sulla virtualizzazione, che si prestano a un’ampia varietà di impieghi) possono giocare un ruolo importante per la formazione a tutti i livelli e vari Stati li stanno utilizzando per la formazione in cybersecurity sia civile sia militare.
Come funzionano i Cyber Range
EDURange è una piattaforma finalizzata alla costruzione di scenari e percorsi formativi individuali. L’Arizona Cyber Warfare Range offre percorsi di complessità crescente per l’addestramento individuale. Il Michigan Cyber Range non si limita a riprodurre l’infrastruttura ICT di una singola organizzazione, ma include un’intera città virtuale (Alphaville). Le esercitazioni Locked Shields, eseguite utilizzando il Cyber Range della NATO in Estonia, supportano attività addestrative molto sofisticate dove un team d’attacco, red team, si contrappone a molteplici blue team, i quali hanno il compito di difendere lo scenario loro assegnato dagli attacchi lanciati dal red team.
Indubbiamente le iniziative esistenti in ambito di formazione nel nostro Paese sono purtroppo ancora insufficienti e scontano due grosse carenze: il numero limitato di ricercatori esperti che possano svolgere funzioni di docenza e un insufficiente coordinamento nazionale tra accademia, scuole superiori, parte pubblica e parte privata per definire le figure professionali necessarie.
Il gap nelle università italiane
Inoltre, a livello universitario, benché l’attivazione di nuovi percorsi formativi sia un’esigenza particolarmente sentita, il rispetto del soddisfacimento dei requisiti minimi in termini di personale docente imposto dalla normativa vigente fa sì che, in varie sedi, l’attivazione di nuovi corsi di laurea di cybersecurity implicherebbe la chiusura di alcuni dei corsi già esistenti.
Dal punto di vista dei programmi di formazione per giovani talenti, la sfida principale è quella di intercettarli in una fase del loro percorso di studi in cui non abbiano ancora deciso una direzione definita su cui investire le proprie capacità, presentando loro le possibilità di carriera e gli aspetti stimolanti delle attività in cybersecurity. Questo può essere perseguito attraverso il coinvolgimento degli studenti delle scuole superiori e con la promozione della partecipazione femminile, sfatando il principio per cui la cybersecurity è un dominio per soli uomini.
Per quanto riguarda, invece, la formazione professionale, è necessario prevedere strumenti di formazione continua. Addestrare sul campo i dipendenti attraverso formazione ed esercitazioni pratiche è tanto importante quanto acquisire nuova tecnologia. Questo addestramento va pianificato non solo per i professionisti informatici ma anche per i dirigenti, gli operatori tecnici e il personale esecutivo.
Formazione cybersecurity: pubblico e privato
Nelle organizzazioni aziendali private questo tema viene affrontato con diversi livelli di maturità: molto si può ancora fare in quelle realtà medio-piccole che spesso dispongono di minori capacità di investimento ma che rappresentano l’asse portante dell’economia italiana. Ma ancora di più è necessario prevedere uno sforzo su questo tema nel contesto pubblico, dove spesso l’età lavorativa dei dipendenti, la stratificazione dei ruoli ricoperti negli anni o la carenza di fondi per la formazione non contribuiscono allo sviluppo di una sensibilità ai temi della sicurezza: la sfida diventa ancora maggiore in quegli ambiti pubblici che rappresentano infrastrutture critiche per il Paese, quale, ad esempio, la sanità.
In particolare, la preparazione degli operatori che più direttamente devono fronteggiare situazioni critiche (es. attacchi cyber, incidenti di sicurezza, data breach, etc.) rappresenta elemento cruciale non solo per una efficace ed efficiente gestione dell’evento quando già occorso, ma anche in ottica di prevenzione e di lesson learned.
Esempi e best practice di riferimento possono essere presi da settori altamente critici (e.g., in ambito nucleare, aerospaziale, petrolifero, etc.) dove da sempre viene attuata una formazione continua basata su esercitazioni, opportunamente studiate per il contesto specifico mirate a garantire il più alto livello di resilienza.
Per questo, sviluppare tecniche e strumenti capaci di automatizzare attività di supporto alle esercitazioni su possibili attacchi rappresenta una sfida importante. I Cyber Range di prossima generazione possono svolgere questo compito, adeguando la complessità degli scenari considerati ai compiti delle figure professionali coinvolte nelle esercitazioni.
