Parlando di sicurezza delle reti e delle infrastrutture primarie, la parola chiave da associare a quella di cyber security è certamente quella di sicurezza nazionale. Il Governo Conte bis, come noto, embra aver posto l’accento su questi temi, ma ci sono delle criticità da risolvere principalmente in termini di visione strategico-attuativa, di regole di ingaggio e competenze mancanti in materia di cyber security.
Le mosse del Governo
Come premessa fondamentale ed orientativa, possiamo dire che il primo atto del nuovo governo Conte bis sottolinea l’importanza attribuita agli scenari attuativi del decreto Golden Power.
Esercitando i poteri speciali nei confronti di società connesse alle forniture di sistemi di telecomunicazione 5G ed in particolare a quelle cinesi, il nuovo governo ha posto in essere un primo atto di importanza strategica per la sicurezza nazionale ed europea. Inoltre nella prima riunione del Consiglio dei Ministri del 19 settembre si è provveduto ad approvare le “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica” (decreto-legge).
Il decreto punta ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso “l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure idonee a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi consentendo, al contempo, la più estesa fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione”.
Il testo integra e adegua il quadro normativo in materia di esercizio dei poteri speciali da parte del Governo, con particolare riferimento a quanto previsto dal decreto-legge 15 marzo 2012, n. 21, in modo da coordinare l’attuazione del Regolamento (UE) 2019/452, sul controllo degli investimenti esteri, e apprestare idonee misure di tutela di infrastrutture o tecnologie critiche ad oggi non ricadenti nel campo di applicazione del decreto-legge 15 marzo 2012, n. 21.
Cosa prevedono le nuove norme
Le nuove norme, prevedono:
- il coinvolgimento del Comitato interministeriale per la sicurezza della Repubblica (CISR) nella fase attuativa ed istituiscono un security procurement per i soggetti inclusi in tale perimetro.
- che l’esercizio dei poteri speciali in relazione alle reti, ai sistemi informativi e ai servizi strategici di comunicazione a banda larga basati sulla tecnologia 5G sia effettuato previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità da parte dei centri di valutazione individuati dalla nuova normativa e, con riferimento alle autorizzazioni già rilasciate ai sensi del decreto-legge 15 marzo 2012, n. 21, la possibilità di integrare o modificare le misure prescrittive già previste alla luce dei nuovi standard.
 |  |
Dettaglio delle misure stabilite per l’elevato livello di sicurezza delle reti del decreto – (estratto)
In Italia gli indicatori mostrano un buon trend attuativo del complesso delle normative sia nazionali sia europee ad esempio per la normativa europea NIS (Network Information Security) attraverso il decreto legislativo 18 maggio 2018, n. 65 (in attuazione della direttiva UE 2016/1148) affiancato da un primo modello nazionale di Framework per la cyber security basato su specifiche americane NIST e l’implementazione del nuovo regolamento europeo per la protezione dei dati personali (GDPR).
La normativa NIS nella sua applicabilità alle infrastrutture critiche vede attualmente l’individuazione di Operatori di Servizi Essenziali e Fornitori di Servizi Digitali sottoposti al coordinamento del DIS (Dipartimento Informazioni per la Sicurezza) riguardanti “le più significative attività di approntamento del sistema di difesa cibernetica, tra cui il perimetro di copertura degli assetti di difesa comuni tramite i CERT/CSIRT, la certificazione di soluzioni SW/HW tramite laboratori qualificati, l’identificazione delle funzioni manageriali/professionali critiche, l’obbligo di condivisione degli eventi cibernetici significativi” (Information Sharing).
Criticità da risolvere
Esistono tuttavia alcuni livelli di criticità da risolvere, prima di tutto la continuità attuativa messa in discussione dalle differenti crisi di governo. In secondo luogo, ma non meno importante, il mancato impiego di risorse economiche nazionali come incipit alla ripresa economica. L’Italia nel contesto europeo rappresenta una eccellenza sotto tutti i punti di vista. Nei settori strategici legati all’innovazione tecnologica, alla ricerca e alla sicurezza nazionale di cui quella cyber è certamente emergente, occorre una “visione strategico-attuativa di un sistema paese moderno” che deve necessariamente puntare su livelli di formazione avanzati valorizzando le eccellenze emergenti nel dominio delle nuove capacità delle generazioni di giovani impegnate in studi scientifici interdisciplinari con particolare riferimento alle scienze dell’informazione e cybersecurity.
Early warning e kill chain
Tutto ciò necessita di investimenti concreti e non solo dichiarazioni di merito a soli fini politici. Inoltre a completamento di una strategia di difesa nazionale il potenziamento dei livelli di Early Warning e dei profili professionali su settori civili e militari consentirebbe l’implementazione di una Kill Chain governativa fortemente dinamica. Per quanto riguarda gli aspetti cyber abbiamo già fatto presente è necessario riscrivere nuove regole di ingaggio che integrino le già adeguate risoluzioni cinetiche.
(OODA: Observe,Oriented Decide Act) Model – Fonte: Practical Cyber Intelligence – Wilson Bautista Jr. – Oreilly
Una kill chain è una serie di step che tracciano le attività di un attacco informatico dalle prime fasi di ricognizione all’esfiltrazione dei dati. La catena del valore ci aiuta a comprendere e combattere ransomware, violazioni della sicurezza e attacchi persistenti avanzati (APT).
Lockheed Martin (LM) è stata la prima società al mondo che ha disegnato una architettura Kill Chain per modelli militari su scenari di conflitto tradizionale per identificare, prepararsi ad attaccare, ingaggiare e distruggere bersaglio nemici. Attualmente LM ha implementato una versione cyber della
I programmi formativi come profilo di base
Un primo passo verso questo modello è stato fatto con i programmi della Cyber Challenge organizzati dal CINI in collaborazione con alcune Università-Nodo (attualmente 18) ed alcuni istituti superiori afferenti a tali nodi con risorse economiche provenienti per lo più da sponsorizzazioni private, mentre il programma dovrebbe trasformarsi in un vero e proprio Piano Addestrativo Nazionale con finanziamenti pubblici strutturati e risorse da investire in poligoni addestrativi e simulativi (Cyber Range) da utilizzare in tutte le scuole ed università italiane.
Da questo punto di vista il cosiddetto “Piano Nazionale Scuola Digitale” non sembra idoneo a coprire le reali esigenze di sviluppo del Sistema Paese e della domanda di specialisti cyber da parte delle imprese nazionali ed europee, d’altra parte il neonato ministero “senza portafoglio” dell’Innovazione Tecnologica e Digitalizzazione affidato alla torinese Paola Pisano dovrà certamente procurarsi risorse straordinarie per ottemperare alle emergenti sfide imposte dalla reali esigenze di innovazione made in Italy, probabilmente ricorrendo non solo a fondi speciali (di difficile reperimento europeo) ma come ipotesi concreta a un nuovo disegno di rivalutazione economica scritturale inteso come misura del valore indotto dai nuovi asset economico-strategici per la sicurezza nazionale, ridefiniti proprio sui settori tecnologici emergenti come le infrastrutture critiche nazionali o questa nuova tipologia di poligoni di addestramento. Tali operazioni rivalutative, da attuare con estrema urgenza, ricordano quanto fu fatto negli anni ottanta dal ministro Andreatta con l’approvazione della normativa sul Franco Oro per la valutazioni economico scritturale di infrastrutture di telecomunicazione nazionali in particolari Aree Strategiche di Affari.
Oggi con le esigenze della Golden Power potrebbe profilarsi una situazione analoga a quella gestita negli anni ottanta dal governo italiano. In questi scenari di sviluppo dove si deve sottostare alle stringenti regole europee e ai diktat della BCE, e nello stesso tempo agli attacchi organizzati di gruppi hacker filo governativi di altre potenze economiche emergenti, la mossa di aumentare il gettito fiscale con l’aumento dell’IVA non sembra essere la più idonea per la stabilità di governo e per la competitività delle aziende, occorre invece implementare meccanismi di rivalutazione ponderata degli asset strategici nazionali con opportune misure economico-scritturali che potrebbe rappresentare la vera soluzione vincente rispetto alla situazione attuale di stallo imposta dall’Europa.
Colmare il Cyber Security Skill Shortage
Uno degli asset strategici sui quali puntare è riferito al concetto di “Awareness”. Colmare il cosiddetto Cyber Security Skill Shortage (CSSS) potrebbe essere una postura fondamentale per l’italia e per questo neo governo. Il modello inglese, con stanziamenti pubblici strutturali, potrebbe rappresentare una valida fonte di ispirazione. Tra il 2011 e il 2016, il Regno Unito ha investito ad esempio ben 32,8 milioni di sterline per i programmi di formazione ed educazione in cyber security; il nuovo Cyber Discovery Program è stato creato per innovare i processi di formazione degli studenti nelle materie di Cyber Security e con il risultato che ben 23.000 studenti hanno aderito rispetto alle poche migliaia dei programmi di Cyber Challenge italiani che come dicevamo vengono finanziati dalle sole sponsorizzazioni di aziende private.
Tutto ciò necessita la creazione di un partenariato tra governo, industria e sistema educativo per ideare una soluzione nazionale al CSSS inclusiva di tavoli progettuali estesi al MIUR al MISE e al neonato Ministero dell’Innovazione Tecnologica e Digitalizzazione. Successivamente progettare e finanziare le infrastrutture di addestramento. In Italia alcune università ed enti pubblici sono attualmente coinvolti in due programmi di ricerca Horizon 2020, stiamo parlando di SPARTA ed ECHO ma questi finanziamenti europei per i quali l’Italia gestirà una aliquota intorno al 30% circa su 32 milioni di euro complessivi stanziati, sono ben poca cosa rispetto a quanto deve essere fatto con urgenza a tutela della sicurezza del nostro paese. Gli scenari di utilizzo delle nuove professionalità emergenti nella sicurezza cyber sono raffigurate nelle schema seguente:
