É stata presentata a Pisa, durante Itasec 2019, la prima bozza della strategia italiana per la sicurezza cibernetica che, con ogni probabilità, verrà pubblicata nel mese di settembre. La relazione del professore Roberto Baldoni, vicedirettore del Dipartimento per le informazioni sulla sicurezza (Dis), a capo del Nucleo di sicurezza cibernetica (Nsc) che vigila sulle infrastrutture critiche e sullo spazio cibernetico italiano, ha indicato e descritto i criteri e gli obiettivi strategici del piano.
Gli obiettivi del piano
Il principale obiettivo, in linea con la strategia europea, è senza dubbio quello di aumentare sensibilmente le difese dello spazio cibernetico nazionale, attraverso una sempre progressiva riduzione delle vulnerabilità e, in generale, la mitigazione del rischio cyber in un contesto di scenario caratterizzato da una maggiore pervasività degli attacchi, talvolta capziosamente preordinati alla destabilizzazione dei sistemi democratici.
Scenario confermato anche dal ministro della Difesa, Elisabetta Trenta, intervenuta alla giornata di apertura dell’Itasec 2019, la conferenza italiana sulla sicurezza informatica. Secondo il Ministro, la perdita economica imputabile al cybercrime nel 2020 viene stimata in tremila miliardi di dollari e gli attacchi informatici potrebbero interessare il 74% del volume degli affari mondiale. Per queste ragioni, ha affermato Baldoni, è fondamentale “isolare un perimetro nazionale di sicurezza cibernetica, per tutelare i fornitori e proteggere i servizi la cui interruzione comprometterebbe la sicurezza nazionale”.
In tale contesto, sarà altrettanto strategico che la direttiva europea Nis sulla cybersicurezza (network information security) recentemente attuata in Italia, incontri il più ampio e generalizzato commitment delle aziende ed operatori per realizzare un sempre più fitto scambio di informazioni nella cornice di una sana e costruttiva collaborazione pubblico-privato.
Cyber security Act
Il passaggio ulteriormente evolutivo viene dettato dal Cyber security Act che, a regime, introdurrà un sistema di certificazione delle tecnologie informatiche al fine di assicurare il pedissequo rispetto degli standard nazionali ed europei. Specularmente al nuovo potenziato ruolo dell’Enisa (European Network and Information Security Agency) nel contesto del Cyber securuty Act, in ambito nazionale, verrà affidato al centro di valutazione e certificazione nazionale (CVCN) il controllo delle tecnologie informatiche.
“Il cybercrime subirà un’accelerazione”
Baldoni ha proseguito il suo intervento evidenziando che, in seguito ai recenti gravi attacchi subiti dal nostro paese, si è registrato un incremento dal 30 all’83% di password cambiate negli accounts delle pubbliche amministrazioni evidenziandosi una evidente capacità di resilienza agli attacchi informatici. L’architettura normativa, tra Regolamento GDPR e Direttiva NIS, con il decreto attuativo di quest’ultima dello scorso maggio, a cui si aggiungono le norme sull’antiterrorismo e il golden power contro gli investimenti predatori, sono certamente strumenti efficaci di contrasto alla minaccia cibernetica. Tuttavia, afferma Baldoni, il cybercrime “subirà un’accelerazione che proseguirà nei prossimi anni con l’intelligenza artificiale”.
Il Dis ha individuato le 465 aziende pubbliche e private che possono essere classificate come operatori dei servizi essenziali (ose) e fornitori di servizi digitali. Si tratta di aziende che forniscono servizi strategici indispensabili per il paese (come quelli afferenti alle cosiddette infrastrutture critiche, reti elettriche, trasporti, ospedali, etc) la cui procurata interruzione potrebbe mettere a repentaglio anche la sicurezza nazionale di cittadini e aziende. Inevitabilmente queste aziende ed operatori, dovranno innalzare le misure di difesa non appena saranno diffuse le linee guida. Obiettivo strategico è dunque fare in modo che il sistema di certificazione delle tecnologie informatiche rappresenti a regime l’organizzazione virtuosa delle aziende.
Si punta a riuscire a definire, già prima delle elezioni europee, una direttiva sulla certificazione informatica.
Secondo Baldoni “la direttiva costituirà un elemento importante per il settore industriale del sistema paese, che impatterà su medicale, energia, manifattura”. Per questo, continua Baldoni, “servirà un’autorità nazionale che proponga schemi di certificazione alle Ue, che li dovrà accettare”. Un ufficio a cui si potrebbe anche affidare l’analisi delle tecnologie sul 5G, su cui una importante partita è in corso tra Stati Uniti e Cina. Ciò verrà esteso anche al sistema degli appalti pubblici, dichiara Baldoni: “la sicurezza informatica sarà un parametro dirimente per vincere un’asta.
Intanto, nell’ultima assemblea delle Nazioni Unite Russia e Stati Uniti, con due distinte risoluzioni hanno creato due diversi gruppi di lavoro sulle minacce del cyberspazio. E in questo scenario anche l’Europa dovrebbe mettere a punto uno strumento sanzionatorio contro chi attacca gli spazi informatici dei paesi membri. Si tratta, come afferma Baldoni, di condurre “una battaglia di difesa ed economica”. A questo proposito, l’ambasciatore Francesco Maria Talò, coordinatore della partita della cyber security al ministero degli Esteri, ha dichiarato che “oggi le aziende italiane esportano tra 80 e 120 miliardi di euro, ma c’è spazio per crescere e arrivare a 180 miliardi entro il 2020”.
Il ministro Trenta ha affermato il proprio incondizionato sostegno ad “una soluzione che consenta di includere nel 2%” del prodotto interno lordo che i paesi Nato versano all’alleanza atlantica “anche gli investimenti in cyber security”, non necessariamente destinati ai bilanci militari, ma anche per interventi civili. Anche il Sottosegretario di Stato alla Difesa, Angelo Tofalo, è intervenuto per rappresentare l’istituzione di un tavolo tecnico per aumentare gli investimenti in ambito cyber e, tra le proposte, anche l’ipotesi di una mini-leva per fare formazione in sicurezza informatica, come ha riferito in audizione alle commissioni Difesa di Camera e Senato il generale Francesco Vestito, a capo del Comando interforze per le operazioni cyber. Secondo Baldoni ai centri di competenza potrebbe essere affidata l’individuazione dei criteri per la certificazione delle tecnologie informatiche, nonché la formazione di esperti in grado creare sistemi di difesa cyber meno vulnerabili e più resilienti.
