L’approvazione del decreto-legge sul perimetro nazionale della sicurezza cibernetica rappresenta un primo necessario passo per poter partecipare fattivamente alla costituzione di una rete di sistemi di certificazioni di prodotti e servizi ICT come previsto dal Cybersecurity Act europeo, colmando un ritardo di quasi 10 anni rispetto ad altri Paesi quali Francia, Germania, Regno Unito e Olanda.
Il provvedimento dimostra altresì che l’attenzione del Governo è stata diretta a munirsi di uno strumento essenziale nell’ambito della difesa strategica per gli attacchi cyber.
La sfida, per il nostro Paese, non è semplice e in questo breve contributo mi piacerebbe fornire ai lettori alcuni spunti di riflessione.
Come sono cambiate le minacce alla sicurezza negli anni
Fino a pochi anni fa, le minacce di cui un Paese doveva preoccuparsi erano gli attacchi aerei, marittimi, terrestri. Grazie al lavoro svolto dai servizi dell’Intelligence, è spesso stato possibile anticipare e prevenire i pericoli, individuare i luoghi e le tempistiche degli attacchi e, soprattutto, riconoscere il Paese in cui sono generati.
Attualmente, quando parliamo di attacchi virtuali, molti cittadini non hanno invece la percezione della pericolosità del fenomeno, ritenendo la minaccia cibernetica una sorta di gioco in rete con cui i nerd possono trovare sfogo. In realtà, negli ultimi anni, i cyber attacchi sono aumentati e ad oggi rappresentano la principale minaccia a cui è necessario trovare risposte e contro cui occorre attuare adeguate contromisure. Se solo si considerano l’enorme difficoltà nell’individuare la fonte da cui deriva l’attacco cibernetico, il soggetto che lo ha generato e l’infrastruttura attaccata, è facile comprendere come ancora oggi la sicurezza cyber abbia bisogno di svilupparsi.
Proprio per l’importanza che il settore della cyber security sta acquisendo a livello mondiale, negli ultimi anni sono aumentati i corsi e gli approfondimenti dedicati a questo tema, mentre sempre più spesso si sente parlare di cultura digitale o cultura informatica. È ormai chiaro ed evidente, quindi, che la conoscenza di questo mondo riveste un ruolo fondamentale nell’attuale società.
Il mondo informatico ha infatti “invaso” tutti gli aspetti della nostra vita; non esiste ambito ormai in cui non sia previsto almeno uno strumento informatico al fine di agevolare il lavoro: medicina, economia, pubblica amministrazione, edilizia, fonti energetiche ecc. Ogni settore, quindi, può essere più o meno strategico e impattare in maniera più o meno significativa sulla sicurezza del nostro Paese (basti pensare agli incalcolabili danni che potrebbe procurare un attacco cibernetico portato ad una fonte energetica nazionale).
Punti cardine del decreto
Il Disegno di Legge (n. 105/2019), come già anticipato, è finalizzato ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza per minimizzare i rischi.
Con il nuovo provvedimento è confermato il ruolo fondamentale del Centro di Valutazione e Certificazione Nazionale (d’ora in avanti CVCN), che ha l’obiettivo di garantire la sicurezza e l’assenza di vulnerabilità dei prodotti, hardware e software, impiegati sulle reti, sui sistemi informativi e i servizi informatici degli attori del perimetro di sicurezza cibernetica. Proprio per l’importanza dei compiti assegnati, il CVCN, secondo quanto stabilito da decreto, potrà avvalersi del supporto di lavoratori accreditati nello svolgimento del proprio lavoro e nell’elaborazione di schemi di certificazione cibernetica qualora quelli attualmente in vigore non risultassero adeguati a tutelare la sicurezza nazionale.
Infine, il provvedimento sottolinea l’importanza anche del tema del 5G. Nell’art. 3, in riferimento al Golden Power (poteri speciali), si esplicita la fondamentale importanza di tutelare tutte le attività strategiche del Paese, le infrastrutture, i servizi critici e gli ambiti tecnologici di particolare rilevanza per il presente e il futuro dei nostri concittadini. Inoltre, sempre grazie al provvedimento, si rafforza il ruolo del Parlamento: infatti, il Governo sarà tenuto, secondo la legge, a trasmettere alle Camere, ed in particolare alle Commissioni pertinenti in materia, nel termine di 30 giorni, ogni schema di regolamento inerente all’ambito della cyber security.
Per quanto riguarda invece le misure restrittive la libertà personale e la presunzione di non colpevolezza, il CVCN, valutando i rischi sulla sicurezza, può imporre delle sanzioni sulla base di una valutazione del rischio, in relazione ad un’ottica di gradualità. Il sistema sanzionatorio previsto nel decreto prima del voto finale in Aula prevedeva la possibilità di punire gravi violazioni anche con misure carcerarie da 1 a 3 anni; in seguito all’approvazione di un emendamento, tale possibilità è stata invece modificata pretendendo di contro un regime sanzionatorio più equilibrato.
Problematiche principali
Dal mio punto di vista è innanzitutto fondamentale essere consapevoli che saranno necessari diversi anni prima che l’Italia possa raggiungere il medesimo livello di sicurezza informatica di altri paesi europei e che, soprattutto, le criticità connesse alla sicurezza informatica rappresentano di fatto una questione praticamente irrisolvibile. Per queste ragioni nutro delle perplessità riguardo alla tempistica (10 mesi) entro cui le aziende dovranno uniformarsi a quanto previsto dal decreto.
Un ulteriore aspetto che a mio avviso deve essere considerato è che i destinatari degli attacchi informatici non sono le tecnologie bensì le persone, e la conseguenza di questa diversa prospettiva deve portarci a prevedere o a rivedere tutte le iniziative volte a promuovere la cultura digitale, puntando a coinvolgere soprattutto coloro i quali lavorano o hanno lavorato in un contesto prevalentemente analogico.
Un’ altra problematica riguarda i prodotti ICT, che sono costantemente soggetti ad aggiornamenti: infatti, un prodotto ICT già verificato e che dovrà essere sottoposto ad ulteriore verifica nel tempo comporterebbe necessariamente un sovra lavoro ed un costo difficilmente non del tutto irrilevante.
Infine, segnalo due questioni emerse durante l’audizione del professor Michele Colajanni, che ritengo cruciali per per lo sviluppo del nostro Paese e della sua sicurezza informatica.
La prima riguarda il tema delle pesanti sanzioni previste dal decreto, che si rischiano non solo nel caso in cui un’azione dolosa di un OSE (Operatori di Servizi Essenziali) abbia causato una grave interruzione di servizio a detrimento della sicurezza nazionale e della salvaguardia dei cittadini, ma anche nel caso ipotetico in cui un rischio di questo tipo sia ravvisato in seguito all’acquisizione di un dispositivo vulnerabile di cui l’OSE potrebbe non aver avuto neanche contezza nel procurement di una grande infrastruttura.
Sarebbe invece importante consolidare il rapporto di fiducia tra lo Stato e i suoi OSE che, insieme, possono fare fronte comune nei confronti di fornitori malevoli, incompetenti o eccessivamente orientati al profitto, a scapito della sicurezza dei propri prodotti e servizi. Solo così, gli OSE, i suoi dirigenti e tecnici, potranno sentirsi sereni nell’agire di concerto con lo Stato segnalare minacce e vulnerabilità senza alcun timore ritorsivo e sanzionatorio.
La seconda riguarda un comportamento purtroppo ricorrente nella nostra cultura, che consiste nel pretendere personale altamente qualificato senza prevedere una remunerazione congrua, creando di fatto le condizioni per la fuga all’estero dei nostri professioni più preparati. Infatti nel CVCN si richiede l’assunzione di settantasette persone per le quali sono previsti compensi annui compresi tra i 32.600 e i 40.000 euro.
Se è verosimile che inizialmente le migliori professionalità del nostro Paese possano accettare l’incarico propostogli, lo è altrettanto la possibilità che una volta acquisite le competenze necessarie possano ricollocarsi all’interno di un più redditizio mercato privato nazionale o, peggio, internazionale.
La cultura digitale
Come accennato precedentemente, la maggior parte degli attacchi informatici avviene sfruttando la vulnerabilità delle persone e non della tecnologia.
Per questa ragione è sempre più importante diffondere la cultura del digitale, soprattutto per quelle persone che lavoreranno nelle aziende definite dal perimetro.
Bisogna quindi, anche in questo caso, ripensare e rivedere l’aspetto dell’alfabetizzazione digitale, tenendo sempre presente come l’utilizzo consapevole e corretto della tecnologia non possa che incidere positivamente sulla sicurezza del contesto nel quale le nostre aziende agiscono.
Impedire la fuga dei cervelli
Nell’affrontare la questione della rilevanza del fattore umano, è opportuno riprendere un concetto precedentemente esposto, ovvero l’impossibilità di risolvere il problema della sicurezza informatica. Pensiamo a quante volte un sistema informatico, dopo essere stato descritto come ‘il più sicuro al mondo’, non sia stato in grado di difendersi dall’attacco di un hacker.
È veramente difficile infatti che, nonostante i continui aggiornamenti cui è sottoposto, un sistema non presenti delle vulnerabilità, e ciò si deve al fatto che, in estrema sintesi, dietro ad ogni singola macchina c’è sempre un uomo che disegna un algoritmo o assembla delle componenti. È quindi assolutamente imprescindibile che nel campo della sicurezza informatica agiscano esperti che permettano al nostro Paese di fare il salto di qualità, ed è importantissimo che questi esperti siano trattenuti in Italia nel tempo.
Per questo motivo, anche con riferimento alla criticità sopra esposta relativamente al fattore stipendiale, ho richiesto, per il tramite di un Ordine del giorno, che il Governo si impegnasse ad adottare iniziative normative finalizzate ad incrementare la spesa, e di conseguenza gli stipendi dei professionisti che verranno impiegati nel settore della sicurezza nazionale cibernetica, nonché a valorizzare le professionalità italiane che vogliono rimanere a lavorare per il futuro del nostro Paese.
Conclusioni
Il decreto oggetto di questa mia breve riflessione rappresenta quindi il primo passo di un processo che dovrà necessariamente permettere al nostro Paese di recuperare il gap che oggi lo divide dalle altre realtà europee, che si deve per lo più ad anni di ritardo nell’applicazione delle norme.
La sfida non è semplice, ma serve uno sforzo da parte di tutti, dello Stato, degli OSE, dei fornitori, degli esperti del CVCN, di tutto il personale che dovrà e immettersi in gioco e aumentare la propria cultura digitale, che non possiamo catalogare come una disciplina a sé, ma come una nuova visione del mondo, un nuovo approccio alla vita che si basa sulla partecipazione, la digitalizzazione, la sicurezza e l’uso delle informazioni.
Il punto di forza del nostro Stato deve essere quello di permettere a tutti i cittadini di fruire di una cultura digitale agile in un contesto caratterizzato da aziende in rapida evoluzione ed istituzioni in grado di rafforzare il proprio processo decisionale ai fini di cogliere rapidamente ed efficacemente le nuove esigenze ed opportunità.
