La pandemia legata alla diffusione del Covid-19, ha reso drammaticamente cogente la tematica della cybersicurezza, anche in ambiti che, nel recente passato, in molti casi, avevano colpevolmente sottovalutato tale questione.
La buona notizia è che “grazie” alla concomitante successione di diversi eventi – quali la crisi pandemica, i recenti attacchi ai siti della Regione Lazio e dell’Ospedale San Giovanni Addolorata di Roma, ma soprattutto le ingenti risorse per la cybersicurezza, messe a disposizione dal PNRR, sembrano davvero aver creato i presupposti, seppur tardivi, per un processo di istituzionalizzazione della cybersicurezza nazionale, da intendersi in maniera sistemica, vale a dire di una promozione e diffusione di una cultura specifica al riguardo.
Perno di questo processo è stata la recente creazione dell’Agenzia per la cybersicurezza nazionale, che potrebbe favorire non solo la digitalizzazione delle imprese e della PA ma anche creare quelle condizioni strutturali atte alla propagazione di una cyber igiene diffusa in tutto il corpo sociale.
5G e cybersecurity: il ruolo della nuova agenzia nazionale e il confronto con i Paesi Ue
PA e PMI: serve più consapevolezza sui rischi cyber
Non c’è più tempo da perdere, anche e soprattutto in tema di formazione digitale. A solo titolo esemplificativo, si possono citare tra i settori più a rischio quello sanitario, quello educativo, quello legato alla pubblica amministrazione (PA), centrale e locale, i quali si sono improvvisamente trovati ad operare in una situazione di lavoro agile in carenza di comportamenti consolidati entro cui collocare la gestione e la sicurezza dei loro asset informativi e delle loro infrastrutture critiche.
In questi casi, siccome le procedure di identificazione e rilevazione dei prevedibili attacchi cibernetici – almeno fino a quando un ransomware non si fosse palesato in tutta la sua drammatica evidenza – nonché il monitoraggio delle ragguardevoli informazioni sensibili, gestite dalle PA, non erano state per nulla messe in sicurezza ci si può verosimilmente attendere, che le perdite siano rilevanti, non solo economiche ma soprattutto reputazionali e che il loro progressivo disvelamento possa avvenire nel medio e lungo termine.
Una situazione simile a quella della PA è data rintracciare nelle piccole e medie imprese italiane (PMI), tranne lodevoli eccezioni. Va considerato, infine, che l’implementazione di linee guida e buone pratiche complessive al riguardo richiede diversi prerequisiti quali, per citarne solo i principali, una struttura organizzativa adeguata e una piena consapevolezza da parte del piccolo e medio imprenditore della loro importanza. Tutto ciò fa sì che in queste organizzazioni, prettamente a gestione famigliare, manca una complessiva governance del valore dell’informazione strategica e dei dati sensibili.
L’epoca attuale è caratterizzata, difatti, dallo sviluppo delle nuove tecnologie digitali così come dai dati informazionali e non è un caso che i due fenomeni siano in stretta correlazione tra di loro. L’adozione delle tecnologie, da parte delle PMI nonché della PA, rende tuttavia queste organizzazioni ancora più esposte ai rischi informatici operati da cyber criminali e da entità statuali (advanced persistent threat, APT) per le ragioni più varie e anche alla correlata necessità di predisporre adeguate contromisure al riguardo.
La nascita dell’Agenzia per la cybersicurezza nazionale
Il contesto generale, sin qui brevemente abbozzato, ha ricevuto una svolta istituzionale significativa con il decreto legge n. 82 del 14 giugno 2021, che convertito, con modificazioni, nella legge n. 109 del 4 agosto 2021 ha sancito la nascita dell’Agenzia per la cybersicurezza nazionale (ACN), alle dipendenze dalla Presidenza del Consiglio dei ministri (PCM).
L’ACN ha il compito precipuo di garantire la resilienza cibernetica nazionale, ovvero cercare di assicurare l’erogazione continua dei servizi e il ripristino degli stessi in caso di attacchi, evitando dunque quanto successo con il sito della Regione Lazio. Essa ha, inoltre, compiti di informazione e sicurezza in ambito informatico, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, con funzioni di coordinamento a livello nazionale. La creazione dell’ACN ha permesso la razionalizzazione della governance della cybersicurezza nazionale le cui attuali competenze istituzionali erano prima disperse in varie parti dell’ordinamento statale mentre quelle in tema di cyber investigation sono rimaste appannaggio delle forze di Polizia e quelle di cyber intelligence in seno al Dipartimento delle informazioni per la sicurezza (DIS). Il giorno successivo all’approvazione della legge, il 5 agosto, il Consiglio dei ministri ha nominato quale direttore dell’ACN Roberto Baldoni, dal 2017 vicedirettore del DIS nonché professore del DIAG dell’Università degli studi di Roma ‘La Sapienza’.
La legge ha istituito, infine, sempre presso la PCM, il Comitato interministeriale per la cybersicurezza (CIC), con funzioni di consulenza, proposta e vigilanza in materia di politiche di sicurezza cibernetica.
Le altre misure per la difesa del cyber spazio
L’attuale creazione di tali istituzioni evidenzia, fin troppo bene, che la difesa del cyber spazio è ritenuta una priorità strategica per la sicurezza nazionale, anche a seguito dell’elaborazione del perimetro di sicurezza nazionale cibernetico, iniziato nel 2019 e in via di conclusione in questo stesso anno (il 15 giugno è stato pubblicato il terzo DPCM attuativo mentre per ottobre si attende l’ultimo, quello relativo alla costituzione di una rete di laboratori pubblico-privati a supporto del Centro di valutazione e certificazione nazionale, CVCN, il quale dovrà sottoporre al vaglio di sicurezza la componentistica software e hardware). Vale qui riportare, pertanto, la definizione di cybersicurezza adottata dal Legislatore, quale «l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell’interesse nazionale nello spazio cibernetico».
Con la nascita dell’ACN, di conseguenza, si può dare per avviato il processo di istituzionalizzazione della cybersicurezza nazionale, seppur in notevole ritardo rispetto ai principali paesi europei, quali Francia, Germania e Regno Unito. Molti sono stati i temi finora trattati, dalla stampa d’opinione, relativi a tale evento (strategia nazionale del cyber spazio; dotazione di personale; sviluppo della tecnologia tra cui il cloud e la crittografia a livello nazionale; cyber parks; cooperazione internazionale con gli alleati; certificazioni di cybersicurezza; spin-off di settore e start-up; partenariato pubblico-privato; ecc..) che qui non interessa approfondire per ragioni di spazio.
Il tema della formazione delle risorse umane qualificate
Nel resto di queste brevi note si vuole focalizzare l’attenzione, invece, solo su uno di essi il quale non ha ricevuto, nondimeno, tutto l’interesse che merita, ovvero il tema della formazione delle risorse umane qualificate e delle relative competenze digitali, sia quelle specialistiche sia quelle generaliste. Queste competenze sono ambedue necessarie affinché gli effetti della nascita dell’ACN possano riverberarsi non solo negli ambienti interessati alla nascita dell’Agenzia (infrastrutture critiche, società informatiche, sanitarie, finanziarie, ecc..) quanto, piuttosto, possano raggiungere la società intera rappresentando, in tale ambito, una svolta decisiva al riguardo.
La formazione di risorse umane qualificate e delle relative competenze in tema di sicurezza digitale è, oggigiorno, un aspetto imprescindibile e oramai non più procrastinabile. La carenza di personale qualificato è un problema serio, che ostacola le PMI, nonché la PA, dall’internalizzare posture adeguate in materia. In questo senso, le tematiche relative alla promozione della cyber igiene a tutti i livelli della forza lavoro e alla qualificazione del personale specialistico devono essere strettamente collegate e assumere un ruolo significativo nell’agenda politica, negli indirizzi della PA e nelle strategie aziendali dei piccoli e medi imprenditori (dando per assodato, invece, che le grandi aziende ne abbiano già una consapevolezza diffusa).
I fattori che fanno ben sperare
Questo processo di istituzionalizzazione della cybersicurezza nazionale, da intendersi in maniera sistemica, vale a dire di una promozione e diffusione di una cultura specifica al riguardo, sembra essere davvero possibile in questa determinata fase storica.
È proprio grazie alla concomitante successione di diversi eventi, difatti – quali la crisi pandemica, la recente compromissione del sito della Regione Lazio ma soprattutto le ingenti risorse per la cybersicurezza, messe a disposizione dal PNRR, la cui attuazione è stata demandata all’ACN – che la costituzione dell’Agenzia può rappresentare davvero l’impulso decisivo alla realizzazione di tale piano sinergico, ovvero favorire non solo la digitalizzazione delle imprese e della PA ma anche creare quelle condizioni strutturali atte alla propagazione di una cyber igiene diffusa in tutto il corpo sociale.
Nel caso delle competenze specialistiche ciò deve avere, evidentemente, come luogo privilegiato di formazione le università, i digital innovation hubs e i centri di ricerca, pubblici e privati, con l’istituzione, a solo titolo esemplificativo, di corsi di studi, master, assegni di ricerca e borse di studio così come di corsi in rete, quali i massive open on-line courses (MOOC), ecc..
Nel caso della formazione delle competenze generaliste si potrebbe prevedere, invece, una campagna, straordinaria prima e a regime poi, di attività formative, appositamente finanziate da entità statali e regionali, anche mediante il ricorso a fondi europei oppure ai fondi interprofessionali per la formazione continua delle imprese, nonché incentivazioni fiscali ad hoc, per citare solo alcune modalità di finanziamento di tali piani formativi, relativi a tutta la forza lavoro. A questo riguardo, potrebbe essere pure opportuno aggiungere una previsione di legge relativa allo svolgimento di una formazione obbligatoria, seppur incentivata con fondi pubblici, con tempi e modalità tutte da approfondire, anche con un certo gradualismo, ma da impostare sin d’ora nell’agenda politica.
La ragione precipua per attivare tale ingente sforzo di informazione, formazione e promozione della cultura della cybersicurezza, una sorta di cultura civica diffusa, risiede nella constatazione che essa costituisce il fondamento della transizione digitale e della resilienza sistemica del Paese, a tutti i livelli.
Conclusioni
La transizione digitale porta con sé, inevitabilmente, un ambiente assai permeabile alle minacce informatiche cosicché la protezione sistemica del ciberspazio non può che implicare il necessario coinvolgimento di tutte le parti interessate, vale a dire di tutti gli utenti, siano essi lavoratori oppure semplici consumatori finali. Tutti essi hanno accesso, difatti, a computer, smartphones, devices o reti e tutti essi svolgono, di conseguenza, un ruolo nella sicurezza informatica delle loro organizzazioni e delle loro famiglie, rappresentando, di fatto, l’anello più debole di tutto l’ecosistema digitale (il cosiddetto fattore umano), una banale evidenza di cui, oggigiorno, nondimeno, non tutti sono pienamente consapevoli. Come sempre succede, in questi casi, il principale ostacolo da rimuovere è di ordine culturale. Ed è per questa ragione che tale aspetto non può essere sottaciuto o sottovalutato da parte dei decisori pubblici ai quali spetta pur sempre l’onere dell’azione.
