La trasformazione digitale investe oggi l’intera società, rappresenta il nuovo modello di relazione tra le persone e con le organizzazioni e costituisce il reale potenziale di crescita per qualsiasi economia.
Tanto maggiore importanza assume la digitalizzazione nella vita quotidiana, tanto più è necessario e urgente curarne la protezione secondo le due dimensioni di privacy e security, che sono in effetti due lati della stessa medaglia e che prevedono scadenze imminenti: l’entrata in vigore della General Data Protection Regulation (GDPR) – ove Data Protection non è sinonimo di semplice Privacy – e l’adozione della Direttiva Network and Information Security (NIS) negli ordinamenti nazionali, dal prossimo mese di maggio 2018.
Non casualmente l’Europa ha ribadito, partendo dal discorso sullo Stato dell’Unione del presidente Juncker lo scorso settembre, per proseguire poi con i documenti che illustrano la nuova strategia europea, che la cyber security è sia un asset che una tecnologia chiave per l’Europa intera, abilitante per il decollo di un Digital Single Market sicuro e “trusted”.
La Pubblica Amministrazione, in senso ampio, è direttamente coinvolta su questo tema con molteplici responsabilità e punti di vista.
In termini normativi l’adozione della NIS, la redazione delle liste degli operatori di servizi essenziali e l’armonizzazione di GDPR e del Codice in materia di protezione dei dati personali sono responsabilità diretta degli organi legislativi e delle agenzie interessate (Garante Privacy). In quest’ambito si profilano scenari difficili per i decisori politici che dovranno affrontare necessità spesso contrapposte e con tempi di esecuzione affatto diversi. Ad esempio la necessità da parte degli operatori dei servizi essenziali di attuare approcci di difesa, contenimento e recupero completamente automatizzati per fare fronte alla velocità dello spazio cibernetico; l’esigenza di rispettare gli obblighi della NIS concernenti la condivisione delle informazioni secondo le scadenze imposte dalla Direttiva che richiede un mix di automatismi e decisione umana; l’adesione all’art.22 della GDPR che, invece, limita le possibilità di un processo decisionale automatizzato relativo alle persone fisiche.
In termini operativi l’aumento della capacità di cyber security nazionale e della cooperazione tra stati dell’unione, prevista dalla NIS e recepita nel Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica, è responsabilità di ministeri ed agenzie coinvolti (Ministero della Difesa, Ministero degli Interni, Dipartimento Informazioni per la Sicurezza – DIS, Agenzia per l’Italia Digitale – AgID, ecc.). Il cyberspace, da un punto di vista di strategico, è la più estrema forma di vulnerabilità per la sicurezza e la difesa, data la capacità di interconnessione in tempo reale che rende possibile attaccare un qualsiasi bersaglio cibernetico per chiunque, da dovunque, in qualsiasi momento. Questo espande ampiamente il compito dei difensori, che raramente sono informati dell‘imminenza di un attacco, di dove colpirà o da dove originerà. Di conseguenza il difensore deve proteggere persistentemente e perpetuamente ogni parte importante dell’infrastruttura, mentre l’attaccante può concedersi di scegliere il singolo segmento o la linea di frattura che desidera infiltrare. Uno dei pilastri a sostegno dell’implementazione della strategia europea sarà una solida capacità di cooperazione tra le nazioni nell’ambito dell’intelligence nello spazio cibernetico, in grado di cogliere ed amplificare i segnali deboli all’interno dell’intero web (surface, deep, dark) e di armonizzarli con l’intelligence tradizionale per impadronirsi dell’iniziativa rispetto agli attori avversari ed anche avvicinarsi ad una capacità di “attribution” con un livello di confidenza sufficiente a pianificare una risposta.
In termini industriali le Amministrazioni devono contribuire ad identificare aree di possibile interesse economico per uno sviluppo di capacità nazionali in questo settore, come previsto dalla strategia europea e dai meccanismi di ICT Security Certification (o “Cybersecurity labelling”) in corso di definizione (Ministero per lo Sviluppo Economico – MiSE, Ministero dell’Istruzione, Università e Ricerca- MIUR; DIS).
In termini formativi è necessario identificare strumenti e modalità per informare sul tema in modo omogeneo ed efficace tutti i cittadini, ma in particolare i dipendenti pubblici e gli studenti, come previsto dalla strategia europea, e per creare professionalità in grado di contrastare efficacemente le minacce (DIS, MIUR, Università e Scuole); in questo scenario la creazione di poligoni virtuali, o “cyber range”, nazionali per la formazione e l’esercitazione continue di tutti quanti, nel pubblico e nel privato, sono interessati al tema, costituisce il vertice della serie di azioni da realizzare per sopperire alla mancanza di professionalità in questo settore, serie che ha la sua (ampia) base nelle numerose iniziative universitarie e pre-universitarie condotte ad esempio dal Laboratorio Nazionale CIS e dal CINI.
In termini pratici la trasformazione Digitale della PA deve tenere conto, come previsto dalla Presidenza del Consiglio e da AgID nel documento di Strategia Digitale e come affrontato anche dalla struttura del Commissario Digitale, della necessità di implementare sia sicurezza delle applicazioni che protezione dei dati dei cittadini. Security e privacy sono quindi temi divenuti del tutto pervasivi in qualsiasi attività e richiedono da parte del settore pubblico un nuovo livello di consapevolezza e collaborazione tra amministrazioni e verso il settore privato.
Leonardo, attore primario nella Sicurezza, contribuisce da sempre alla protezione della nazione collaborando con la PA, con gli operatori di servizi essenziali, con l’accademia, con le altre aziende del settore su entrambi questi fronti e propone soluzioni, servizi e collaborazioni a supporto dell’implementazione di misure di prevenzione, protezione e continuità di servizio, sia di natura tecnologica sia organizzativa anche grazie agli strumenti contrattuali disponibili, come, ad esempio, il Lotto 2 del Contratto “SPC Cloud e Sicurezza”.
