Ci sono pochi professionisti con capacità adeguate nella cybersecurity e questo rende vulnerabili aziende, PA e intere nazioni. Vari organismi specializzati prevedono una carenza di più di un milione e mezzo di unità di forza lavoro entro il 2029.
Una soluzione a questo problema che interessa chiaramente l’Italia può essere trovata realizzando un ampio programma per la formazione, su sei direttrici che esponiamo nel libro bianco presentato a Itasec 2018. Un tema di cui la politica, possibilmente nella prossima legislatura, dovrebbe farsi carico.
Le direttrici
1. Alta formazione — Finalizzata a fornire gli strumenti tecnici e metodologici fondamentali della cybersecurity mediante corsi di laurea, master universitari e programmi di dottorato offerti dai vari atenei;
2. Educazione di base — Finalizzata a fornire i fondamentali della cybersecurity a partire almeno dalle scuole medie di secondo grado, indipendentemente dall’indirizzo specifico del percorso scolastico, con l’obiettivo di porre le basi per una migliore comprensione della tematica e per stimolare lo sviluppo formativo verso corsi universitari di specializzazione;
3. Formazione professionale — Finalizzata alla formazione continua per tutte le professioni che sempre più dovranno confrontarsi con problematiche di cybersecurity;
4. Ricerca di talenti—Finalizzata alla ricerca di giovani talenti da indirizzare verso una carriera in cybersecurity, catalizzandone l’interesse mediante sfide informatiche, simulazioni in ambienti virtuali protetti e, in generale, attraverso iniziative che consentano di sperimentare un possibile contesto operativo e valutare le opportunità di crescita professionale;
5. Addestramento — Finalizzato a consolidare, migliorare e valutare le capacità operative degli operatori e delle procedure preposte al contrasto e alla gestione degli incidenti informatici all’interno delle organizzazioni;
6. Formazione e sensibilizzazione dei cittadini —Finalizzata a fornire ai cittadini le nozioni elementari di cybersecurity e i concetti base di quella che viene ormai comunemente chiamata igiene-cyber (cyber-hygiene).
Cosa bisogna fare
In generale, le iniziative di formazione nel nostro Paese sono purtroppo ancora insufficienti e scontano due grosse carenze: il numero limitato di ricercatori esperti che possano svolgere funzioni di docenza e un insufficiente coordinamento nazionale tra accademia, scuole superiori, parte pubblica e parte privata. Inoltre, a livello universitario, benché l’attivazione di nuovi percorsi formativi sia un’esigenza particolarmente sentita, il rispetto del soddisfacimento dei requisiti minimi in termini di personale docente imposto dalla normativa vigente fa sì che, in varie sedi, l’attivazione di nuovi corsi di laurea di cybersecurity implicherebbe la chiusura di alcuni dei corsi già esistenti.
Sono quindi necessari significativi investimenti per formare esperti di sicurezza con solide competenze tecniche in grado di: (i) definire politiche, strategie e programmi di protezione e controllo per garantire la sicurezza dei dati, delle reti e dei sistemi; (ii) gestire situazioni, eventi e persone in presenza di attacchi cyber; (iii) contribuire a creare una cultura della sicurezza informatica nelle aziende e nella società.
Per il primo punto servono laureati in informatica o ingegneria informatiche che conoscano bene le tecnologie IT di base: Reti di Comunicazione, le Architetture hardware, Sistemi Operativi, Basi di dati, Linguaggi di programmazione, Crittografia. Gli attacchi vengono portati avanti sfruttando le falle più diverse e senza una conoscenza profonda dei sistemi da difendere è impossibile mettere a punto strategie di difesa.
Per il secondo, le competenze possono essere acquisite attraverso master che combinino competenze tecniche con competenze gestionali. Servono professionalità che sian in grado di comprendere la complessità di un sistema industriale ma che abbiano un minimo di conoscenze tecniche per limitare i danni di eventuali attacchi e per poter evitare i cosiddetti attacchi di ingegneria sociale, portati avanti inducendo persone a fare azioni o rivelare informazioni che permettono agli attaccanti di entrare nel perimetro aziendale.
Per il terzo, le conoscenze richieste sono minime, è necessario che in tutte le scuole si insegni che chiamiamo cyber-hygiene, per far capire che i dati personali sono importanti ed è bene proteggerli, per spiegare che si corrono rischi anche economici se non si proteggere opportunamente l’accesso ai propri computer o smartphone, che comportamenti inappropriati ed apparentemente inoffensivi di singoli lavoratori sui loro possono mettere a rischio la sicurezza delle aziende presso cui lavorano.
Come bisogna fare
Possiamo immaginare tre vie per realizzare gli obiettivi preposti.
- Identificare e attivare i meccanismi più adatti per la massima diffusione delle regole base di cyber-hygiene attraverso campagne pubblicitarie e di informazione di massa, sia sui media tradizionali (giornali, radio, tv) sia sui social media.
- Aumentare la workforce di tecnici, ingegneri, esperti, ricercatori assicurandosi che essa sia distribuita sul territorio e che le professionalità formate in Italia non vadano ad ingrossare le fila dei giovani, formati nelle nostre università, ed attratti da stipendi più appetibili all’estero.
- Sviluppare sinergia tra ricerca, pubblica amministrazione e aziende anche attraverso opportuni meccanismi di partnership pubblico-privato. Il ruolo della ricerca in questo contesto è fondamentalmente legato allo studio di nuove soluzioni per le sfide di volta in volta evidenziate. Le aziende avranno un ruolo fondamentale nella successiva prototipazione e industrializzazione all’interno di un sistema integrato di tutte le soluzioni proposte. Le PA, il parlamento, il governo devono definire i contesti di collaborazione a livello locale, regionale, nazionale.
Il ruolo della politica
In questo quadro, la politica deve:
- Favorire la creazione di una serie di infrastrutture abilitanti alla cybersecurity nazionale nel pubblico e nel privato anche attraverso partnership e mettere a punto una strategia nazionale che coordini l’azione dei centri di competenza verticali, connettendo poi a rete centri di competenza omologhi. Queste azioni debbono essere supportate da adeguati finanziamenti pubblici.
- Mettere a punto delle strategie di brain retention che rendano più attraente lavorare su tematiche di sicurezza informatica nel nostro Paese e per riportare in Italia i nostri migliori cervelli nell’ambito della scienza e dell’imprenditoria nel settore della sicurezza.
- Avviare (come ad esempio per la chimica negli anni ’60) un piano straordinario per l’assunzione di ricercatori e professori universitari che si occupano di cybersecurity e, in generale, di trasformazione digitale in tutte le sue componenti: giuridiche, economiche e, soprattutto, tecnologiche.
- Pensare a produzioni “nazionali” per applicazioni e/o settori di nicchia ritenuti strategici per la sicurezza nazionale, e individuare un approccio per integrare tecnologia straniera con la tecnologia nazionale all’interno di una architettura domestica della quale dobbiamo avere il completo controllo.