La visione strategica dell’Italia dal punto di vista della sicurezza nazionale cibernetica ha una nuova forma, aggiornata al 2022 e alle nuove sfide che il mondo ci sta ponendo. Sfide che l’ACN, Agenzia per la Cyber security Nazionale, ha identificato nel documento programmatico appena presentato al Comitato Interministeriale Cyber per l’approvazione insieme con il piano attuativo.
La strategia per la cybersicurezza nazionale sarà presentata il 25, anche se nei giorni scorsi tra gli addetti ai lavori ha circolato un documento che l’agenzia ha poi bollato come “non definitivo”.
Il testo va preso quindi con le pinze, ma permette di approfondire almeno i concetti cardine di questa svolta.
I punti chiave della strategia cyber nazionale
Transizione al digitale in modo sicuro e resiliente per PA e tessuto produttivo, autonomia digitale nazionale, gestione delle crisi cyber e conoscenza anticipata della minaccia, contrasto alla disinformazione: questi i cinque punti ritenuti prioritari per superare la sfida e traguardare il futuro con serenità. Un futuro vicino temporalmente, visto che parliamo di obiettivi a quattro anni, ma da raggiungere colmando alcuni gap tecnologici.
Strategia cyber dell’Italia: a che servirà e quali sono i rischi di flop
Tre binari strategici
Rispetto ai gap da colmare, l’ACN si è posta alcuni obiettivi strategici che si muovono su tre binari, Protezione, Risposta, Sviluppo.
Protezione
Nel primo spicca il tema della certificazione di prodotto per la sicurezza informatica che, insieme con le certificazioni di processo per la sicurezza cyber, ormai consolidate in tutto il mercato, porterà questa disciplina al definitivo consolidamento. Una professione e non un’arte, la cyber security, che dovrà divenire tale appoggiandosi a meccanismi di verifica e scrutinio organizzati, misurabili e ripetibili e non più solo all’estro artigianale o talvolta artistico di pochi eletti. Accanto a questo obiettivo strategico di lunga gittata, nel quale è completamente immersa anche l’Unione Europea in adempimento al cyber security act, fa da padrone anche il quadro giuridico che ha rappresentato il primo grande canyon mirabilmente superato dalla ACN con una produzione delle norme previste per gli adempimenti del PSN, Perimetro di Sicurezza Nazionale Cibernetica, in perfetto tempismo e con esauriente e chiara visione.
Colpisce anche una voce dedicata al contrasto alla disinformazione, piaga ormai endemica a livello mondiale. L’ACN, parte di un meccanismo istituzionale di risposta alla minaccia cibernetica che si sostanzia con quattro attori principali, forze di polizia, intelligence e difesa oltre alla ACN stessa, vede dunque un ruolo tecnico e tecnologico, oltre che di impostazione giuridica, nella lotta alla disinformazione, realizzabile anche con una corretta, capillare, costante e completa comunicazione informativa al Sistema Paese.
Risposta
Nella voce Risposta spicca la deterrenza che, in assenza di team offensivi ufficializzabili o capacità offensive reattive ugualmente ufficializzabili è ad oggi l’unico schema di contrasto attuabile nella scacchiera della conflittualità, simmetrica o asimmetrica. La gestione della crisi cibernetica, quale che essa sia, passerà sempre per squadra latamente specializzate, multidisciplinari, preparate ed esercitate con continuità che siano capaci di fronteggiare qualsiasi situazione facendo riferimento a procedure e metodologie perfettamente assimilate e provate.
La risposta si basa anche sulla condivisione delle informazioni e a tal proposito troviamo finalmente nella strategia la creazione degli ISAC, Information Sharing and Analysis Centre, con una conformazione a stella che si ripete anche per l’hyper-SOC, con la centro la ACN e intorno una costellazione di hub per scambi informativi a vario livello, tecnologico e di contesto.
Sviluppo
Infine parola chiave sviluppo, legata alla creazione del centro nazionale di coordinamento, in raccordo con l’omologo europeo ECCC e con i DIH, digital innovation hub, di recente creazione in Italia e in Europa e alla creazione di un parco nazionale per la sicurezza cibernetica, anch’esso con configurazione a stella, legato ad hub locali integrati nel territorio. L’ACN si vede come un punto di aggregazione e coordinamento e si propone come attivatore di iniziative anche geograficamente distribuite e con prossimità verso tutto il Sistema Paese.
Nella voce sviluppo spicca ovviamente la creazione di una autonomia digitale nazionale che il Presidente Draghi cita anche nella introduzione come unico metodo per arrivare a una solidità di indipendenza, e quindi di sovranità, per dirla in una parola, nazionale ed europea nelle tecnologie digitali. Ancora una volta autonomia software e hardware con una fortissima connessione europea per essere più forti e soprattutto sostenibili verso obiettivi da raggiungere tempestivamente e completamente.
Nuovi finanziamenti
A cappello di tutto il programma troviamo la previsione economica con i finanziamenti straordinari del PNRR e misure ulteriori legate ai progetti europei e ad investimenti nazionali, oltre che a possibili defiscalizzazioni per le aziende.
Il documento parla di ben 1,2 per cento di risorse lorde statale da destinare alla cyber, ma vedremo quanto di questo si tradurrà in legge.
L’ACN gestirà le voci del PNRR legate alla cyber security e propone la divisione dei 623 milioni su tre voci principali di spesa legate alla PA resiliente , ai servizi nazionali cyber e ai laboratori di valutazione e certificazione, base di lancio verso il futuro appena descritto.
Le sfide diventano obiettivi e l’alba del nuovo mondo si vede prima di tutto dalla postura, consapevole e ottimista, che vede, nei problemi attuali e storici, solo opportunità per un lavoro coordinato, consapevole, smart.
