Non solo proteggere ma anche comunicare. Potrebbe sembrare strano, infatti, ma difendere il Paese dagli attacchi e dai rischi legati alla cybersicurezza passa anche dal modo in cui questa attività viene comunicata e più in generale viene percepita dal pubblico.
Perché Baldoni si è dimesso dall’Agenzia cyber nazionale e gli effetti
Percezione che va di pari passo con la consapevolezza dell’importanza di tutelare le infrastrutture informatiche, che deve essere favorita non solo nel pubblico ma anche nelle aziende. E su questo specifico aspetto, l’Agenzia di Cybersicurezza Nazionale (ACN) qualche limite lo ha mostrato, arrivando a mettere a rischio la fiducia stessa nel proprio operato, ma andiamo con ordine.
L’importanza dell’Agenzia cyber
L’importanza strategica dell’ACN per l’economia e la sicurezza nazionale italiana è innegabile: in un mondo sempre più digitalizzato, la sicurezza informatica è diventata una questione di importanza strategica per il potere politico, economico e militare di un paese. Di conseguenza, i governi, le organizzazioni internazionali e le aziende private sono sempre più impegnati a proteggere le loro infrastrutture digitali e le informazioni sensibili dai cyber-attacchi.
In questo contesto, l’ACN ha il compito fondamentale di garantire la protezione dei sistemi informatici e delle infrastrutture critiche del paese, sensibilizzare la popolazione sui problemi di sicurezza informatica e fornire assistenza alle organizzazioni pubbliche e private che ne hanno bisogno. Tuttavia, per garantire l’efficacia della sua missione, l’ACN deve anche sviluppare una strategia di comunicazione efficace e responsabile
Quale strategia per la comunicazione della cyber
La comunicazione è infatti un elemento fondamentale della strategia nazionale di CyberSecurity, poiché può influenzare la percezione del pubblico sui problemi di sicurezza informatica e la capacità del paese di affrontarli.
In particolare, la comunicazione deve essere tempestiva, accurata e trasparente, fornendo informazioni aggiornate e precise sui fatti e le azioni intraprese per gestire la situazione.
Inoltre, la comunicazione nell’ambiente della cybersicurezza deve essere obbligatoriamente essere “inclusiva“, coinvolgendo tutti gli stakeholder della CyberSecurity, dalle organizzazioni pubbliche e private alla società civile, ai singoli ricercatori: solo attraverso la cooperazione e la collaborazione tra i diversi attori infatti, seguendo esempi importanti di altre Autorità europee, si può pensare di sviluppare una cultura nazione della resilienza, migliorare la capacità del paese di prevenire e gestire gli attacchi informatici, e cogliere le opportunità per promuovere i processi di diplomazia digitale e la cooperazione internazionale nella lotta contro i cyber-attacchi.
L’agenzia di Cybersicurezza Nazionale (ACN) ha presentato diverse problematiche dalla sua creazione, problematiche che hanno spesso messo in discussione l’efficacia delle sue strategie e della sua comunicazione. Sicuramente l’ACN ha reiteratamente diffuso allarmi di attacchi gestiti principalmente con l’approccio di un principio di auctoritas che l’Agenzia si è data, ma non riconosciuto da attori e mercato.
Questo tipo di allarmismo e mancanza di trasparenza non è solo un problema di mera comunicazione, ma ha pesantemente danneggiato la credibilità dell’Agenzia sul territorio nazionale e sullo scacchiere internazionale, compromettendo la fiducia che i cittadini e le aziende hanno nella sua capacità di proteggere la sicurezza informatica del paese.
Una comunicazione, quella dell’ACN, che ha spesso a detta di molti preso il sopravvento rispetto all’operatività, preferendo far parlare di sé per giustificare il proprio ruolo anziché puntare sui contenuti e sugli effettivi – numerosi – successi in campi però meno “notiziabili”.
Anche la “chiusura ermetica” dell’ACN verso l’esterno e le segnalazioni rappresenta un altro problema importante: l’agenzia spesso si è posta come oracolo, non lasciando ad altri attori modo di dire la propria, anche se qualificati e preparati. Questo atteggiamento limita la cooperazione e la condivisione di informazioni tra i diversi attori della cybersecurity, impedendo lo sviluppo di soluzioni innovative e la creazione di una cultura della resilienza.
I dati sulla comunicazione fatta finora
Dati ed analisi alla mano, è innegabile come dalla sua creazione, la comunicazione dell’Agenzia di Cybersicurezza Nazionale si sia orientata principalmente verso la promozione della figura del suo Direttore, piuttosto che sulla creazione di una cultura della resilienza tra tutti gli stakeholder della Cybersecurity. Analizzando oltre 24.000 conversazioni che la riguardano gli ultimi 24 mesi risulta evidente come gli argomenti legati alla creazione di una cultura della resilienza e della formazione e le tematiche di alfabetizzazione e cooperazione tra entità di settore siano in netta minoranza rispetto al rilancio di allarmi(smi) e dei personalismi della Direzione.
(Conversazioni degli ultimi 24 mesi, per settimana, suddivise per argomento:
Direzione, Formazione e Prevenzione e Allarmi e Pericoli)
(Cluster di Conversazioni degli ultimi 24 mesi, Colorate per argomento:
Direzione, Formazione e Prevenzione e Allarmi e Pericoli)
E innegabile come la comunicazione sia spesso andata nella direzione della creazione di allarmi(smi) arrivando a mettere ad inizio febbraio in imbarazzo persino la Presidenza del Consiglio dei Ministri, che si è ritrovata a dover sconfessare la stessa agenzia per evitare il) panico. Questo tipo di comunicazione non solo risulta inappropriato, ma può anche causare danni significativi all’economia e alla società del sistema paese, desensibilizzando l’opinione pubblica esposta ad un continuo “Al lupo! Al lupo!” ad allarmi che invece potrebbero essere di vitale importanza in occasioni di vera crisi.
Le dimissioni di Baldoni debbono rappresentare un’opportunità di eccellenza per un cambio di rotta nella comunicazione dell’Agenzia, con una svolta verso una comunicazione più responsabile, finalizzata alla creazione di una cultura della resilienza e partecipazione tra tutti gli stakeholder della cybersecurity, fornendo assistenza pratica, sensibilizzando sui problemi di sicurezza informatica e promuovendo la cooperazione tra i diversi attori, in un contesto inclusivo e trasparente verso le organizzazioni pubbliche e private alla società civile.
Per un cultura diffusa della sicurezza informatica
Al contrario di quanto sopra, la comunicazione dell’ACN dovrebbe essere finalizzata a promuovere una cultura della sicurezza informatica tra i cittadini, le organizzazioni pubbliche e private e la società civile in generale: ciò può essere realizzato fornendo informazioni precise e aggiornate sui problemi di sicurezza informatica, promuovendo programmi di formazione e sensibilizzazione, organizzando eventi e conferenze sulla sicurezza informatica, divenendo il punto focale della buona cultura della sicurezza e trasformandosi nel luogo in cui trovare informazioni certe ed affidabili: uno sforzo comunicativo finalizzato a promuovere la cooperazione tra i diversi attori della Cybersecurity, favorendo la condivisione di informazioni e mostrando – e incentivando – le buone pratiche, dalla disclosure alla gestione degli incidenti informatici.
ACN può e deve divenire il forum di discussione di eccellenza, la fonte informativa fidata per il cittadino e il centro di promozione di programmi di collaborazione tra organizzazioni pubbliche e private italiane e non, con la partecipazione attiva alle tavole ed agli sforzi internazionali del settore della Sicurezza Informatica.
Solo attraverso la cooperazione e la collaborazione tra i diversi attori, basata sui fatti e sulle evidenze, evitando i personalismi e i megafoni di ricerca di celebrità spicciola, evitando di creare allarmismi ingiustificati che possono mettere in pericolo l’economia e la società, si può sviluppare una cultura della Sicurezza a livello di Paese e pensare di prevenire e gestire gli attacchi informatici.
Insieme.
