Cybersecurity in Italia: le sfide per il prossimo decennio

L’avvio della Agenzia per la sicurezza nazionale cibernetica apre il vero e proprio capitolo dell’architettura cyber in Italia con una postura strategica avanzata e in linea con le migliori pratiche internazionali.

L’Europa ha invitato gli stati membri a dotarsi di strategie nazionali che esprimessero consapevolezza istituzionale, oltre che del tessuto industriale, capacità e prontezza basate su un ambiente tecnologicamente avanzato e tecnicamente maturo.

Cyber security, come va la strategia italiana: cosa abbiamo fatto e cosa resta da fare

Cybersecurity: il nodo delle professionalità

Le tecnologie di matrice italiana potranno ricevere una spinta importante dal PNRR, ma la tecnica, intesa come saper fare le cose, dovrà necessariamente passare per un processo di ammodernamento e di diffusione a livello scolastico, oltre che universitario e della ricerca. Il Paese necessita professionalità tecniche a tutti i livelli, secondario e universitario.

Dobbiamo assolutamente dare una svolta alla produzione di tali professionalità se non vogliamo che la bolla già avviata dal punto di vista finanziario sugli aspetti cyber non incida anche sui professionisti, alterando il mercato fino a farlo crollare. In regime di scarsità, le professioni tecniche stanno vivendo un momento di auge che eleva i costi fino a renderli insostenibili per le aziende medio piccole.

La storica tendenza ad inseguire il proverbiale “posto fisso” si scontra con la diversa attitudine che solitamente contraddistingue i tecnici, caratterizzati da una mentalità innovativa e poliedrica frutto di quella educazione e forma mentis, tipiche della società statunitense, che portano a prediligere un approccio al lavoro più flessibile, ma maggiormente remunerativo. Tale flessibilità potrà essere realizzata solo con previsioni economiche, normative e organizzative adeguate che permettano di fidelizzare il personale con competenze tecniche.

D’altro canto, alcuni aspetti tecnici devono essere portati nel bagaglio culturale anche di professioni umanistiche, giuridiche, mediche e così via, consentendo a tutti di muoversi nel mondo cibernetico come cisi muove su strada a bordo dei mezzi su gomme: dotati di patente che certifica la conoscenza del codice della strada e del mezzo. Non tutti i guidatori sono meccanici, ma almeno sanno guidare.

Ad oggi in Italia servono tantissimi “meccanici” cyber e serve maggiore consapevolezza nei guidatori. L’ACN, perfettamente consapevole di questa e delle altre sfide che dovrà affrontare, si sta già muovendo nella direzione della creazione di professionalità. Tanto per citare un esempio, la legge di creazione dell’Agenzia parla anche di cyber parchi, con i quali l’Agenzia stessa potrà promuovere ricerca applicata in collaborazione con università e industria, oltre che stimolare la ricerca pura e di base.

Il decreto per le risorse umane e strumentali iniziali è stato emanato e si sta lavorando ai regolamenti per consentire alla struttura di immettere personale e di dare atto al trasferimento di competenze e responsabilità, come per esempio quelle relative al CVCN, Centro di Valutazione e Certificazione Nazionale.

Il CVCN e l’acquisizione di nuove tecnologie

Il CVCN si muoverà dall’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione del MISE all’Agenzia. Il combinato disposto della legge sulla Golden Power e della legge sul Perimetro Nazionale di Cyber Security prevede che qualsiasi operatore pubblico e privato che intenda acquisire tecnologie extra UE per applicazioni 5G informi l’Autorità per un’eventuale verifica da parte del CVCN del prodotto in acquisizione e prevede che tutti gli appartenenti al Perimetro effettuino la stessa procedura se intenzionati ad acquisire tecnologie che riguardano reti, sistemi e servizi interni al perimetro stesso.

Infatti, l’Art. 3 comma 1, DPR 5 febbraio 2021, n. 54 recita “I soggetti inclusi nel perimetro, prima dell’avvio delle procedure di affidamento ovvero, ove non siano previste, prima della conclusione dei contratti relativi alla fornitura di beni, sistemi e di servizi ICT di cui all’articolo 1, comma 6, lettera a), del decreto-legge, (Beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici che supportano la fornitura di servizi o funzioni essenziali per lo Stato) anche nel caso in cui tali procedure siano espletate attraverso le centrali di committenza, ne danno comunicazione al CVCN o ai CV.”, mentre l’Art. 3 comma 1, D.L. 21 settembre 2019, n, 105, così come modificato dall’art. 16, comma 9, lettera c, del D.L. 14 giugno 2021, n. 82 (Agenzia), convertito con modificazioni dalla L. 4 agosto 2021, n. 109, recita “I soggetti che intendono procedere all’acquisizione, a qualsiasi titolo, di beni, servizi e componenti di cui all’articolo 1-bis, comma 2, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, sono obbligati ad effettuare la comunicazione di cui all’articolo 1, comma 6, lettera a), per lo svolgimento delle verifiche di sicurezza da parte del CVCN sulla base delle procedure, modalità e termini previsti dal regolamento di attuazione.”

Tutto questo decorre dalla entrata in operatività del CVCN o dal 30 giugno 2022. Il CVCN sta elaborando uno schema per le valutazioni e forse anche per le certificazioni nuovo, italiano, probabilmente basato sugli standard esistenti, soprattutto relativi ai Common Criteria (CC) e all’ITSEC.

In ogni caso, accanto alla predisposizione dell’organismo di valutazione dei prodotti e degli apparati, sarebbe auspicabile che l’attuale normativa prevista dal codice degli appalti per la PA venisse riformata in modo tale da evitare che il criterio dirimente per gli acquisti sia costituito unicamente dal conseguire il massimo ribasso. Tale metodo andrebbe integrato con valutazioni tecniche ed economiche che consentano di reperire soluzioni valide a livello del rapporto costi-benefici, anche se non strettamente rispondenti a criteri di economicità. Ciò dovrebbe essere valido per la generalità degli acquisti nella PA, ma sarà tanto più importante per la realizzazione di progetti ad alto contenuto tecnologico, per cui non possono essere assolutamente sottovalutati gli aspetti legati alla cyber security.

I Common Criteria

Riguardo ai Common Criteria, siamo in attesa di sapere come opererà l’OCSI, Organismo di Certificazione per la sicurezza Informatica già operante nell’ISCOM del MISE da circa venti anni, e siamo in attesa di ricevere da ENISA le proposte per il nuovo schema certificativo europeo annunciato dal Cyber Security Act e in fase di elaborazione tra la DG Connect e ENISA.

Probabilmente l’OCSI resterà operativo e si interfaccerà con l’Europa per le certificazioni europee. Di certo sarebbe utile che mantenesse attiva la certificazione CC sui livelli bassi dello standard, usata per gli apparati commerciali che non trattano materiale classificato: siamo uno dei pochi Paesi al mondo ad avere un organismo di certificazione su tale standard, riconosciuto da tutti i Paesi grazie agli accordi di mutua ratificazione e sarebbe davvero un peccato perdere questa supremazia nazionale, anche nell’ottica del lavoro che genera nel settore privato con i Laboratori di Valutazione della Sicurezza, LVS. Sono infatti tutti laboratori privati e operanti, previo accreditamento, sullo standard per l’accompagnamento alla certificazione stessa.

L’Europa, dal canto suo, sta elaborando schemi di certificazione di prodotto in ambito cyber security sia generici che specifici, in particolare sul 5G, sull’automotive, sulla criptazione, sull’IoT e l’OT. Questi ultimi due sono la frontiera del nostro nuovo mondo, insieme con la quantum technology: non si tratta solo di innovazione, ma di diffusione, perché le innovazioni già avviate si stanno diffondendo a macchia d’olio nella nostra vita quotidiana e saranno pervasive fino a livelli che neppure possiamo a immaginare, visto che affrontiamo per la prima volta nella storia dell’universo il processo di digitalizzazione del nostro pianeta.