Con questo PNRR l’Italia dichiara esplicitamente al mondo intero, ma probabilmente lo sapevano già tutti, di essere in forte ritardo sulle tematiche di cybersecurity.
Questo il dato che emerge chiaramente dalla lettura delle 18 righe di testo che il PNRR dedica alla cybersecurity, che tra l’altro si limita a includerla esclusivamente nell’ambito della componente “Digitalizzazione, innovazione e sicurezza nella PA” come se il problema non fosse dell’intero paese.
Cyber security, servono più investimenti pubblici: le azioni urgenti
Quando si ha paura, si rafforzano le proprie difese e si innalzano barriere. Questo è in soldoni quanto previsto dal PNRR in tema di Cybersecurity. Se analizziamo le 4 linee di intervento, che riformuliamo secondo una nostra interpretazione:
- Rafforzare la rete dei CERT coinvolti nel perimetro nazionale;
- Istituire una qualche realtà in grado di svolgere security analysis per apparati HW/SW utilizzati per l’erogazione di servizi critici da parte di soggetti che esercitano una funzione essenziale;
- Rafforzare le dotazioni anche di personale dei comparti cyber delle forze dell’ordine;
- Questo punto è di difficile interpretazione, lo riportiamo quindi integralmente: irrobustire gli asset e le unità cyber incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber.
Un’idea superata di cybersecurity
Ci accorgiamo che 3 delle 4 misure sono mirate a rafforzare i sistemi di difesa cyber nelle loro diverse componenti, tra l’altro solo i sistemi in qualche modo attinenti al perimetro nazionale. Tutto abbastanza scontato e prevedibile. Quando il pericolo si fa incombente e ci si trova sguarniti per prima cosa si cerca di “mettere al riparo” gli asset critici, il resto si vedrà. Non è proprio l’approccio che ci viene indicato dagli standard e dalle buone pratiche internazionali in tema di cybersecurity, ma in genere viene quasi sempre adottato in situazioni emergenziali. È una strategia poco ortodossa ma in parte condivisibile.
Cyber security, certificazioni e sanzioni: come prosegue l’adeguamento alle norme Ue
La ragionevolezza avrebbe voluto che le misure previste nel PNRR fossero già state predisposte e si potesse sfruttare l’occasione offerta per fare quel salto di qualità che sta caratterizzando l’approccio alla cybersecurity in tutti i paesi più avanzati in cui si parla da alcuni anni “active cyber defense”. Per fare però active cybersecurity è necessario avere alle spalle competenze ed esperienza, ma la cybersecurity non è mai stata una priorità per la nostra classe dirigente e molto probabilmente quel poco che stiamo vedendo ora è il frutto di sollecitazioni che arrivano dai tavoli internazionali a cui l’Italia siede vale a dire UE e NATO. Una cosa un po’ triste per un paese che è stato tra i promotori di ENISA (l’agenzia europea per la cybersecurity).
Appurato che se mancano le strutture di base è necessario procedere con la loro acquisizione e/o rafforzamento, è indubbio che ci sono diversi modi per affrontare il problema, e riteniamo che quello adottato dai nostri decisori non sia tra i più efficaci. Per cercare di spiegare il perché facciamo un parallelo con un tema particolarmente noto: la lotta al Covid. Nella lotta alla diffusione del Covid ci sono diverse misure che possono essere adottate: vaccini, mascherine, tamponi, medici, infermieri, centri vaccinali, posti letto negli ospedali; a poco valgono però queste misure se non le si integra con il coinvolgimento diretto dei cittadini, che con il loro comportamento possono anche completamente annullare ogni effetto benefico delle misure di cui sopra. Infatti, al fine di evitare che ciò avvenisse sono state avviate una serie di campagne di educazione mirate alla promozione della cultura dell’igiene e di comportamenti virtuosi che tutti noi siamo chiamati a adottare nella lotta alla pandemia.
Tornando ora alla cybersecurity e mantenendo il parallelo con il Covid, possiamo dire che i nostri decisori nella stesura delle richieste da inserire nel PNRR hanno optato per l’acquisto di vaccini, mascherine e così via, e per il potenziamento del personale medico sanitario. Purtroppo anche per la cybersecurity vale quanto detto per la lotta contro il Covid, senza il coinvolgimento degli utenti finali anche il più robusto dei sistemi di protezione può soccombere. Infatti, se c’è un dato su cui i diversi cybersecurity report di cui è costellata la rete sono d’accordo è il fatto che da più di dieci anni a questa parte la maggior parte degli attacchi informatici avviene attraverso la manipolazione e il coinvolgimento di utenti poco consapevoli e “poco educati” al corretto uso delle tecnologie.
Una manciata di milioni di euro dedicati a promuovere la cultura dell’uso corretto delle tecnologie non avrebbe guastato, e forse sarebbe stato più efficace di qualche investimento in tecnologie e strumenti. A questo riguardo vorrei ricordare che il solo approccio difensivo non paga. La storia, anche la più recente, ci dice che anche i grandi sistemi di difesa prima o poi soccombono. Un anno fa circa l’attacco SolarWinds ha “spazzato via” il programma di difesa Einstein predisposto dalla Cybersecurity and Information Security Agency costato all’amministrazione statunitense circa sei miliardi di dollari (circa dieci volte l’investimento previsto dal nostro PNRR sulla cybersecurity). In questa fase storica, l’attaccante va anticipato, le sue mosse previste e per fare questo però ci vogliono tanto studio e tanta ricerca. Forse il PNRR non era lo strumento più adeguato ad affrontare questi problemi ma si poteva usare per attivare dei processi virtuosi a livello di sistema paese che avrebbero potuto avere importanti riflessi sull’evoluzione della disciplina e mi riaggancio qui alla prossima considerazione.
Niente cybersecurity per il sistema produttivo?
La cybersecurity è il fattore abilitante per l’erogazione di un qualunque servizio, non prevedere un intervento sul tema nella componente 2 della missione 1 “Digitalizzazione, innovazione e competitività nel sistema produttivo” è sicuramente una delle più gravi mancanze del PNRR. Il tessuto produttivo italiano è per il 95% costituito da piccole e medie imprese di cui la stragrande maggioranza non coinvolte nella difesa della sicurezza nazionale, eppure sono il nervo del nostro sistema produttivo e probabilmente da diversi anni sono, a loro insaputa, oggetto di spionaggio industriale che mina la loro competitività e conseguentemente quella del paese. Queste realtà vanno incentivate e sostenute nell’affrontare le problematiche di cybesecurity, non vanno dimenticate. Vanno previste misure incentivanti sia in termini finanziari che di competenze per chi di loro si avvicina alla tematica.
Attivare l’interesse del mondo produttivo alla cybersecurity significa anche vivacizzare il mondo della ricerca, non necessariamente accademica, e conseguentemente promuovere un movimento di idee ed interessi intorno alla problematica, in poche parole contribuire alla creazione di una cultura della cybersecurity nel nostro paese. Non dimentichiamoci che in una rete altamente connessa come internet chiunque può involontariamente diventare un cavallo di troia per un attacco di vaste proporzioni. Queste idee sembrano però molto lontane da chi ha scritto il PNRR che sembra invece focalizzato su un’idea di cybersecurity oramai superata.
Conclusioni
Se ha senso intervenire subito a coprire le falle più grosse e occuparsi di sicurezza nazionale, va contemporaneamente avviata una strategia di medio/lungo termine che abbia al proprio centro la competitività del sistema paese, e questa strategia non può prescindere dalla cybersecurity. La cosa più urgente di cui avrebbe bisogno il paese è la promozione di una rete che a partire dalle Università e dalle poche realtà che fanno ricerca nel settore si sviluppi sino a diventare un sistema distribuito di centri di competenza in cybersecurity, ognuno con le sue peculiarità, caratteristiche e autonomia. Non è pensabile accorpare in un’unica entità tutte le competenze necessarie ad affrontare i diversi problemi che la cybersecurity pone. Di questo ci sarebbe piaciuto non dico leggere ma almeno intravedere nel PNRR, ma come paese non siamo ancora pronti.
In conclusione, nel contesto della cybersecurity il PNRR mira all’essenziale per affrontare la situazione emergenziale in cui si trova il paese, evitando ogni auspicabile fuga in avanti. Qualcuno potrebbe dire, per ora accontentiamoci questo è l’inizio. Sono due i numeri che ci preoccupano in prospettiva, e che a nostro modo di vedere sono indicatori significativi della rilevanza che il tema, nonostante tutto, continua ad avere nell’agenda dei nostri decisori: 18 righe in 300 pagine di documento, un investimento di 0,62 miliardi di euro sui 220 previsti dal piano, cioè lo 0,2%. Non proprio un trattamento d’attenzione. Sulla cybersecurity siamo maledettamente in ritardo e non sarà il PNRR a farcelo recuperare.
