Uno dei temi più caldi di questi mesi è evidentemente la cybersecurity, che è uscita oramai dai tavoli tecnici degli addetti ai lavori per approdare alle agende di Primi ministri e Capi di stato, e sulla quale sempre più si stanno confrontando attori istituzionali e decisori politici nazionali ed internazionali. E se il recente G7 di Lucca si è concluso con una dichiarazione congiunta nella quale i Governi partecipanti hanno espresso “l’urgente necessità di una maggiore cooperazione internazionale, ai fini della promozione della sicurezza e della stabilità nel cyberspazio e dell’adozione di misure intese a ridurre l’uso doloso delle TIC (tecnologie ICT, n.d.r.) da parte di attori Stato e non-Stato”, l’Europa e l’Italia si stanno attrezzando per adeguarsi alle richieste della Direttiva NIS che impone, tra l’altro, proprio l’istituzione di specifici meccanismi per la cooperazione internazionale in tema di prevenzione e reazione alle minacce cibernetiche. Proviamo quindi a fare una rapida rassegna delle attività ed iniziative che l’Italia ha messo in cantiere e che dovranno maturare nei prossimi mesi.
Appare innanzitutto evidente che il nostro Paese stia affrontando il tema della protezione cibernetica cercando in primis di comporre un adeguato e coerente quadro normativo a supporto, sul quale fondare ordinatamente le specifiche iniziative necessarie. È andato proprio in questa direzione il DPCM Gentiloni dello scorso febbraio, il quale come noto ha riorganizzato l’architettura del complesso sistema deputato a gestire le crisi dello spazio cibernetico nazionale, sottraendolo alla gestione del Consigliere Militare di Palazzo Chigi ed assegnandolo al Dipartimento delle informazioni per la sicurezza, nonché razionalizzandone nel contempo la struttura ed accorciandone la catena di comando.
Poco più recentemente, e praticamente a distanza di poche ore l’uno dall’altro, sono quindi stati pubblicati due diversi e molto attesi documenti d’indirizzo, i quali hanno aggiunto ulteriori importanti tasselli al quadro strategico complessivo. Da un lato il Presidente del Consiglio, su deliberazione unanime del CISR (Comitato interministeriale per la sicurezza della Repubblica), ha emesso la nuova edizione del Piano nazionale per la protezione cibernetica e la sicurezza informatica, il quale stabilisce le azioni specifiche da intraprendere per attuare le iniziative previste nel corrispondente Quadro strategico nazionale. Dall’altro lato l’Agenzia per l’Italia digitale (AgID) ha finalmente pubblicato il Piano triennale per l’Informatica nella Pubblica amministrazione 2017-2019, fondamentale documento di pianificazione strategica ed economica con cui per la prima volta si definiscono il modello di riferimento per lo sviluppo dell’informatica pubblica italiana e la strategia operativa di trasformazione digitale del Paese.
Ovviamente il Piano nazionale della Presidenza del Consiglio riguarda per definizione la sicurezza cibernetica del Paese in tutte le sue declinazioni, e prevede quindi azioni specifiche dirette alla sua implementazione a vari livelli, mentre il Piano triennale di AgID traguarda invece più genericamente i processi di trasformazione digitale della Pubblica Amministrazione nel loro complesso. Tuttavia, ed anche questa è una importante novità, la cybersecurity gioca in esso un ruolo fondamentale in quanto, attraversandone trasversalmente tutti i layer, ha la responsabilità di garantire che tutte le sue componenti, dalle infrastrutture fisiche agli ecosistemi applicativi, operino in modo sicuro, affidabile, resiliente e trusted.
Non va dimenticato, a questo riguardo, che l’Agenzia per l’Italia digitale è il soggetto di riferimento per quanto riguarda i temi legati alla sicurezza cibernetica nella Pubblica Amministrazione: essa infatti non solo ospita e gestisce attualmente il CERT-PA, ossia la struttura tecnico-strategica deputata ad assistere e supportare le amministrazioni nella prevenzione degli incidenti cibernetici, nella preparazione alla risposta e nella eventuale reazione ad eventuali eventi malevoli; ma ha anche il preciso mandato, assegnatole con la Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, di sviluppare gli standard di riferimento che mettano le amministrazioni in grado di dotarsi degli standard minimi di prevenzione e reazione ad eventi cibernetici.
Sulla scorta delle roadmap e delle azioni individuate da questi due documenti sono già state attivate, o sono in corso di attuazione, diverse iniziative pratiche di rilevante portata per il Paese. La prima è stata l’emissione, proprio da parte di AgID, delle “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni”, un documento che declina in modo puntuale e prescrittivo l’insieme di misure che tutte le amministrazioni devono obbligatoriamente adottare entro la fine dell’anno per innalzare ed armonizzare il livello di protezione delle proprie infrastrutture tecnologiche. A tale documento operativo faranno seguito, come appunto previsto nel Piano triennale, dei documenti di “Regole tecniche” e di “Linee guida” dalla portata più ampia, i quali declineranno i requisiti non solo tecnici ma anche anche organizzativi che le amministrazioni dovranno rispettare nella predisposizione delle proprie strutture dedicate alla sicurezza cibernetica.
Ma anche molte altre iniziative di più ampio respiro portate avanti da AgID nell’ambito più generale della trasformazione digitale sono in qualche misura ispirate da esigenze di sicurezza o permeate da esse. Ad esempio il piano di consolidamento dei data center delle Pubbliche amministrazioni, oltre a perseguire ovvi vantaggi in termini di risparmi economici e di semplificazione operativa, avrà come non trascurabile effetto collaterale quello di ridurre sensibilmente la superficie complessiva di attacco della PA, sottraendo alle amministrazioni più piccole e meno preparate l’onere di dover gestire in modo accurato i propri data center “minori” e migliorando così, in ultima analisi, la sicurezza complessiva della PA in senso generale.
Certo il Piano triennale è ambizioso, e purtroppo il ritardo con cui è uscito ha reso ancora più sfidante il raggiungimento di taluni obiettivi le cui scadenze temporali sono oramai più prossime di quanto originariamente previsto. Probabilmente occorrerà adottare delle misure correttive in corso d’opera, e rimodulare alcune attività alla luce delle indicazioni ricavate sul campo. Ma questi eventuali incidenti di percorso non inficiano la valenza complessiva del progetto complessivo, che per la prima volta indirizza in modo organico e programmatico l’intero sviluppo digitale della PA mediante una roadmap armonica e di ampio respiro la quale traguarda anche una cybersecurity “by design”.
Avendo menzionato il CERT-PA occorre notare che esso sta non solo provvedendo ad un potenziamento della propria struttura operativa, a seguito del notevole incremento delle proprie attività negli ultimi mesi, ma sta anche lavorando assieme al CERT Nazionale (che come noto è ospitato presso il Ministero dello Sviluppo economico ed è dedicato alla sicurezza di imprese e cittadini) nel processo di unificazione delle due organizzazioni, così come indicato dal Piano nazionale il quale ha indicato come obiettivo strategico la creazione di un unico Polo per la sicurezza dello spazio cibernetico del Paese. L’iniziativa sta procedendo lungo un percorso attuativo articolato su diversi passi, in attesa del necessario intervento legislativo che spiani la strada anche dal punto di vista formale alla creazione di un’unica struttura in grado di raccogliere le competenze dei due CERT e proseguirne l’attività in maniera centralizzata.
Scopo ultimo di molte di queste iniziative, se non di tutte, è anche quello di arrivare preparati al momento in cui nel nostro Paese verrà data formale attuazione alla “Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, meglio conosciuta come “Direttiva NIS” (da “Network and Information Security”). Tale Direttiva, entrata in vigore oramai più un anno fa, deve essere ancora recepita dall’Italia mediante un’apposita legge: tuttavia il termine tassativo per la sua attuazione resta comunque fissato a maggio 2018 e non può essere modificato. Fra gli adempimenti rilevanti da essa richiesti, oltre ai noti obblighi a carico dei cosiddetti “fornitori di servizi digitali essenziali”, va ricordata l’individuazione di un’Agenzia che funga da punto unico di contatto nazionale per questioni riguardanti la cybersecurity, nonché la creazione di due distinte reti di cooperazione internazionale sul medesimo tema, una di carattere sostanzialmente strategico ed una di carattere principalmente tattico.
Per quanto riguarda infine le iniziative strettamente relative al mondo della Difesa basti menzionare che è in avanzata fase di attuazione la costituzione del nuovo Comando Interforze Operazioni Cibernetiche (CIOC), organo tecnico-militare di vertice che opererà all’interno dello Stato Maggiore a fianco degli altri Comandi convenzionali per fornire al Paese le capacità operative nel cosiddetto “Quinto dominio” oramai riconosciuto anche dalla NATO, con particolare riferimento alla neutralizzazione e contrasto di attività ostili, prevenzione della minaccia e protezione dello spazio cibernetico nazionale.
Tirando le somme, sembra di poter dire che il nostro Paese abbia finalmente imboccato la strada giusta per recuperare lo storico ritardo accumulato in passato sui temi della cybersecurity, e stia decisamente cambiando marcia per potersi allineare ai propri vicini ed alleati europei più virtuosi. Rimane solo da sperare che su questo percorso non spuntino ostacoli inaspettati che possano rischiare di rallentarlo, ma anzi che maturino le condizioni migliori affinché esso possa procedere il più rapidamente possibile: segnatamente un committment politico che si traduca in adeguati finanziamenti per lo sviluppo delle iniziative, e una stabilità globale del sistema-Paese che ne favorisca l’attuazione in continuità.
