Nella bozza del PNRR, inviata a Bruxelles dal precedente governo a dicembre 2020, si rileva l’assenza di un piano strategico relativo alla cybersecurity. Carenza che a nostro giudizio potrebbe essere colmata, da parte del nuovo governo, nella stesura definitiva del piano. Tutto questo mentre altri Paesi europei mostrano una maggiore attenzione al tema.
Serve una solida strategia nazionale da definire nel contesto di una più stretta cooperazione internazionale (Ue, G7 e G20). La credibilità del nuovo Presidente del Consiglio, la svolta impressa negli Usa dalla nuova amministrazione Biden, l’aumento delle vulnerabilità generato dalla pandemia sono tutti segnali che il momento è ora.
I quattro pilastri di una nuova strategia
Quattro sono le strade da percorrere, se si condivide la valutazione della rilevanza del rischio cyber.
- La prima è di potenziare e rafforzare la governance centrale della cybersecurity riducendo le anomie regionali e le riserve di caccia di alcuni ministeri, a volte giustificate dalla incerta e discutibile ripartizione delle competenze centrali e locali.
- La seconda è di puntare ad un potenziamento delle capacità professionali nell’ambito delle aziende, come stanno discutendo negli Stati Uniti a proposito di crediti di imposta per gli investimenti in sicurezza digitale sia nelle aziende sia nella pubblica amministrazione.
- La terza è di potenziare la formazione digitale nelle scuole a tutti i livelli e quella cyber nelle università. Negli Stati Uniti stimano di avere un gap di oltre il 30%, ossia non sono coperti 1/3 dei posti necessari a garantire i servizi di cybersecurity. Da noi è sicuramente molto maggiore e, quel che è più grave, non è nemmeno censito.
- La quarta è di portare avanti a livello dell’Unione Europea un programma di integrazione delle capacità e dei servizi a tutela della sicurezza digitale: la pandemia ha insegnato che è meglio prevenire che dover intervenire a rincorrere i buoi quando sono ormai scappati.
Oltre alla sede dell’Unione e della Nato, anche il G20 può essere luogo di rilancio della collaborazione internazionale, per lo meno a livello della lotta contro la criminalità organizzata.
Una strategia che, comunque, va messa a punto con la massima urgenza, alla luce delle crescenti minacce che si sono registrate prima e durante la pandemia a strutture strategiche nazionali, in primis quelle sanitarie, e dei rischi crescenti che si prevedono per il 2021.
L’aumento degli attacchi ransomware alla sanità e i rischi per il 2021
L’affaticamento a cui sono sottoposti gli ospedali e le altre strutture sanitarie rende più difficile la loro difesa: mancano le risorse da dedicare alla cybersecurity, le condizioni di lavoro sono rese meno efficienti dalla concitazione operativa e dalle carenze organizzative. Nel caso del ransomware, l’interesse degli attaccanti aumenta nella convinzione che le aziende siano più disponibili a pagare, rispetto ai momenti di business as usual. E purtroppo hanno ragione: il riscatto medio è salito del 33% in un anno, a 133.000 dollari in ambito business (Fintech News).
Già prima della pandemia il settore della sanità aveva patito un aumento di attività criminale, come nel Regno Unito, dove gli attacchi WannaCry sarebbero costati oltre 100 milioni di dollari al Servizio sanitario Nazionale (Datto).
Per l’industria della salute, le perdite dovute al ransomware nel 2019 sarebbero state di 25 miliardi di dollari (SafeAtLast).
Più del 93% delle organizzazioni sanitarie avrebbero sperimentato effrazioni dei database nei passati tre anni (Herjavec Group).
Nel primo semestre del 2020 CLUSIT segnala che la sanità è ormai il secondo settore specifico di destinazione degli attacchi in Italia: una efficace gestione della pandemia ha pertanto assoluto bisogno di sicurezza digitale[1].
Alcuni fattori di rischio specifici si manifesteranno nel 2021:
- il lavoro a distanza che continua ad essere un target per i cyber criminali;
- l’estensione dell’uso del cloud;
- il perdurare della scarsità di competenze digitali e di sicurezza digitale in particolare;
- l’incremento del 5G e dell’IOT che accrescono la superficie di attacco.
Il 2021 sarà un anno ancora più critico del 2020: gli attaccanti si sono attrezzati, gli ospedali continuano ad essere sotto stress operativo e in carenza di risorse, la pianificazione della campagna di vaccinazione e la sua logistica creano superfici di attacco nuove.
La Francia crede alla cyber
Gli attacchi recenti alle strutture sanitarie in Francia hanno alzato ulteriormente la guardia sulle criticità che la pandemia porta con sé come un byproduct.
Gli ospedali sono stati attaccati da una ondata di ransomware che ne ha compromesso l’operatività, costringendo al trasferimento di malati in un momento assai delicato, come quello attuale. L’Ospedale di Villefranche sur Saone (Lione) e il Dax (sud ovest della Francia) sono stati hanno costretti alla chiusura di internet, per evitare il diffondersi del malware. Ciò ha imposto il rinvio di interventi chirurgici e il rallentamento delle procedure, con il ritorno a quelle cartacee.
L’Agenzia nazionale per la Cybersecurity di Francia (ANSSI) ha rilevato un aumento del 255% degli attacchi nel 2020 rispetto all’anno precedente.
Il Presidente Emmanuel Macron ha stanziato 500 milioni di euro per potenziare le difese cyber del settore pubblico e del settore privato, invocando una maggiore collaborazione a livello internazionale. Ha detto che “stiamo imparando da questi attacchi: alcuni provengono da entità statali come parte di nuovi conflitti tra nazioni, altri vengono dalla mafie…alcuni sono motivati dal lucro e altri dalla volontà di destabilizzare paesi avversari”.
Macron stanzia altri 500 milioni per realizzare a Parigi un centro dedicato alla security. Ricordate l’Istituto nazionale per la cyber che l’ex premier Conte voleva e che litigi politici nella maggioranza hanno cassato? Ecco.
Questa consapevolezza dei limiti della difesa su scala nazionale, da parte di un paese come la Francia, orgoglioso della propria sovranità digitale e confidente nelle proprie capacità tecniche, dimostra che si sta facendo largo l’idea della necessità di attrezzarsi con strategia di difesa condivise e concertate quantomeno a livello europeo.
La nuova strategia cyber dell’amministrazione Biden
Negli Stati Uniti, il Presidente Joe Biden ha preso sul serio il rischio cyber ancora prima di afferrare le redini dell’amministrazione. Dopo l’attacco SolarWinds che ha colpito 250 agenzie governative a alcune delle maggiori compagnie tecnologiche a dicembre 2020, Biden aveva promesso di “porre al centro dell’azione amministrativa questo attacco” e dopo l’avvio della sua amministrazione ha affermato che la sicurezza digitale “sarebbe stata al centro dell’attività ad ogni livello di governo”.
Il nuovo Presidente ha recuperato esperti per incarichi nell’ambito della cybersecurity che erano stati eliminati da Trump, con attenzione alle loro competenze specifiche tra questi:
- Jen Easterly, attualmente capo della resilienza a Morgan Stanley ex-dirigente del Consiglio per la Sicurezza Nazionale;
- Chris De Rusha, posto a capo dell’Ufficio per la Sicurezza dele Informazioni (CISO) e precedentemente dirigente della cybersecurity con Obama; De Rusha aveva seguito la campagna di Biden per evitare il ripetersi degli attacchi russi contro i democratici del 2016;
- Dave Luber, che dovrebbe diventare direttore della cybersecurity della NASA in temporanea sostituzione di Anne Neuberger, che Biden ha portato alla Casa Bianca nel Consiglio Nazionale per la Sicurezza;
- Rob Silver, anch’egli nello staff della sicurezza di Obama, che Biden intende nominare direttore della Agenza per la Sicurezza delle Infrastrutture (CISA), che supervisiona anche la sicurezza delle elezioni e protegge le reti federali e le infrastrutture.
Biden ha destinato dieci miliardi di dollari al rafforzamento della cybersecurity, ponendola tra le priorità dell’amministrazione, insieme alla lotta al coronavirus e al rilancio dell’economia.
La nuova amministrazione considera il confronto con Russia e Cina un’area di scontro e di competizione anche, e forse principalmente, sul piano della sicurezza digitale. D’altra parte, sia il nuovo segretario di Stato Anthony Blinken, sia il nuovo direttore dei servizi di intelligence Avril Haines, e il Consigliere per la Sicurezza Nazionale Jake Sullivan sono persone preparate in materia di cybersecurity e perfettamente a conoscenza della sostanza del confronto con la Russia, in diversi campi, ma soprattutto in quello della sicurezza digitale.
Le linee di azione urgenti proposte dalla Cyber Space Solarium Commission
La Cyber Space Solarium Commission, insediata nel 2019 nel Congresso degli Stati Uniti per sviluppare la capacità di risposta agli attacchi cyber, ha presentato il suo Rapporto finale a marzo dell’anno scorso, con ottanta raccomandazioni che sono raccolte in sei capitoli:
- Riforma della struttura e dell’organizzazione del governo degli Stati Uniti per il cyber spazio;
- Rafforzamento della normativa e strumenti non militari;
- Promozione della resilienza nazionale;
- Ridefinizione dell’ecosistema cyber;
- Attivazione della collaborazione sulla cybersecurity con il settore privato;
- Mantenimento e utilizzo della strumentazione militare di difesa nazionale.
La Commissione ha successivamente offerto approfondimenti su alcuni dei principali temi oggetto del rapporto, in particolare sulla necessità di migliorare la preparazione della forza lavoro, sugli insegnamenti che, in materia cyber, ha dato la pandemia, sulla necessità di proteggere le supply chain ICT, sull’organizzazione delle responsabilità in materia di sicurezza cyber.
Infine, la Commissione ha pubblicato, nel gennaio di quest’anno, il Transition Book for the Incoming Biden Administration, che mette in ordine di priorità e aggiorna quanto contenuto nel Rapporto e nei white paper successivi[2].
Il primo punto essenziale del Transition Book è il riordino della governance della cybersecurity, con la creazione del direttore cyber nazionale, nello staff del Presidente, con il compito di:
- consigliare il governo sulla cybersecurity e sulle nuove tecnologie;
- guidare la Strategia Nazionale Cyber, coordinando le diverse agenzie interessate;
- coordinare le attività di difesa in caso di attacchi esterni;
- convocare i Comitati della Sicurezza Nazionale.
Aggiornare la strategia cyber nazionale significa coordinare l’impegno pubblico e privato per la difesa della sovranità nazionale. L’indicazione è di rendere efficace la deterrenza. Ciò significa dichiarare che gli Stati Uniti risponderanno usando strumenti cyber e non, al fine di imporre costi agli avversari che hanno provocato un attacco cyber.
La nomina del direttore cyber nazionale deve portare ad una revisione nel primo trimestre dei budget delle amministrazioni con riferimento alla cybersecurity, con l’obiettivo di dotarle delle risorse necessarie a portare a compimento gli adempimenti previsti dall’istituzione della Cisa, in particolare dotandole della capacità di individuare le falle e le fragilità e di dotarsi di infrastrutture e servizi sicuri.
All’interno della Cisa occorre creare un Ufficio per la Pianificazione Congiunta Cyber, con il compito di coordinare la pianificazione della cybersecurity e assicurare la prontezza di risposte delle amministrazioni e con il settore privato, in modo da essere preparati al sopraggiungere di campagne di attacchi dall’esterno.
Questi sono gli impegni richiesti dalla Commissione al nuovo governo Biden per i primi cento giorni. Vi sono anche indicazioni a lungo termine, di non minore importanza, che meritano un approfondimento in altra sede.
La rinnovata volontà di collaborare con gli alleati europei può portare a un potenziamento delle capacità di cyber intelligence e di cyber warfare della NATO, riducendo i rischi e l’esposizione agli attacchi cyber. Il quadro internazionale è favorevole ad un significativo aumento della cooperazione tra le due sponde dell’Atlantico.
Una nuova strategia per la sicurezza digitale del paese nel contesto globale
I temi della collaborazione internazionale vanno articolati su diversi livelli: vi è quello della Nato, quello Ue e infine, per i temi della lotta alla criminalità online, il G7 e il G20.
Nella Nato si devono definire le modalità operative di collaborazione sulla sicurezza cyber rispetto agli attacchi provenienti dagli Stati avversari o da gruppi ad essi riconducibili.
A livello UE occorre rafforzare l’implementazione della strumentazione di collaborazione prevista per la cybersecurity e investire nella ricerca e nell’innovazione di settore.
In ambito G7 e G20 si può affrontare il tema del contrasto alla criminalità digitale internazionale.
Nel nostro Paese occorre che il tema delle competenze informatiche esca dal ristretto ambito del dibattito sulla efficacia e sui limiti della didattica a distanza o sulla efficacia e sui limiti del telelavoro.
La didattica a distanza non può e non deve sostituire la didattica frontale ma deve essere complementare. Questo significa che la didattica a distanza deve essere fatta bene, da persone preparate e con strumenti adeguati. Persone preparate sono gli insegnanti, ma anche gli studenti. Si dirà: ma se gli studenti devono essere già preparati per ricevere la didattica a distanza, il cane si morde la coda, ma non è così. La didattica a distanza offre i contenuti didattici della materia specifica, aiuta a portare avanti il programma, che gli studenti non conoscono. Ma il suo ruolo non è limitato a questo. Per leggere un libro di storia, non serve conoscere la storia, ma serve conoscere la grammatica e la sintassi.
La didattica a distanza oltre a veicolare i contenuti formativi specifici, deve aprire la porta sull’universo digitale, dove gli studenti spesso ne sanno più dei docenti. Ma ciò che conoscono è l’uso delle app, la navigazione nei social network, le attività di post, like etc. Un bambino di dieci anni davanti al cruscotto dell’auto impara che cosa fanno tutti i pulsanti e gli screen prima di sua madre o di suo padre, ma questo non significa che sappia guidare, ossia che conosca i limiti del mezzo, le sue prestazioni, le interazioni con gli altri guidatori e le regole d’uso delle infrastrutture, strade, autostrade, parcheggi, gallerie etc.
Il cambiamento che ci attende in direzione della digitalizzazione è alle porte, pena la perdita di competitività, anche nei settori che -come le banche- credevamo radicati sul territorio e protetti da norme e regole fatte più per limitare la competizione che per proteggere i consumatori.
Il Paese ha estremo ed urgente bisogno di una crescita della sua preparazione digitale, a partire dai livelli iniziali della scuola, secondo linee simili a quelle predisposte nel Regno Unito, paese assai più avanti di noi, che ha predisposto linee guida per l’intero sistema scolastico britannico, tradotte e pubblicate da questa rivista nell’articolo sopra citato.
Conclusioni
Non siamo meno esposti del Regno Unito o degli stessi Stati Uniti per il fatto che siamo un paese più marginale. La proporzionalità, in questo caso, non vale. L’esposizione dell’Italia agli attacchi cyber è analoga, o quanto meno dello stesso ordine di complessità di quella sperimentata da paesi di maggiore dimensione. Anche in queste settimane rese concitate dall’urgenza della gestione sanitaria della pandemia, la difesa delle infrastrutture e dei servizi dagli attacchi cyber è di importanza decisiva, come insegna la vicenda recentissima dell’ondata ransomware contro gli ospedali in Francia.
È opportuno, quindi, che il nuovo governo definisca una strategia per la sicurezza digitale promuovendo gli investimenti con il nuovo Recovery Plan. La credibilità internazionale dell’esecutivo guidato da Mario Draghi è sicuramente un buon viatico per proporre nelle diverse sedi (UE, G7 e G20) una più stretta cooperazione internazionale.
_____________________________________________________________________________________
- ) CLUSIT, Rapporto Clusit 2020 sulla sicurezza ICT in Italia, nuova edizione ottobre 2020, Milano 2020. ↑
- ) I documenti pubblicati dalla CSC (Cyberspace Solarium Commission) sono: CSC Final Report, March 2019; Cybersecurity Lessons from the Pandemic, CSC White Paper #1, May 2020; Cybersecurity Lessons from the Pandemic: Legislative Proposals, August 2020; CSC White Paper #2; Growing a Stronger Federal Cyber Workforce, CSC White Paper #3, September 2020; Building a Trusted Supply Chain, CSC White Paper #4, October 2020; Transition Book for the Incoming Biden Administration, CSC White Paper #5, January 2021. ↑
