Roma, 1 giu. (askanews) - L'Italia vara il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica, sulla scia del recente decreto del presidente del Consiglio Paolo Gentiloni che il 17 febbraio scorso aveva sostituito il Dpcm Monti del 2013. Il documento, pubblicato ieri sera in Gazzetta Ufficiale, punta a sviluppare undici indirizzi operativi che riguardano in particolar modo l’operatività delle strutture nazionali di incident prevention, response e remediation, e il potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare.

GLI OBIETTIVI
Tra gli obiettivi fissati dal documento, frutto di un lavoro collegiale tra  tutte le amministrazioni che compongono l’architettura nazionale cyber (Comparto intelligence, ministeri degli Affari esteri, Interno, Difesa, Giustizia, Economia, Sviluppo economico, dall'Agenzia per l’Italia digitale (AgID), e Ufficio del Consigliere militare di Palazzo Chigi) vi sono: il potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese; il miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati; l’incentivazione della cooperazione tra istituzioni ed imprese nazionali; la promozione e diffusione della cultura della sicurezza cibernetica; il rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica; e il rafforzamento delle capacità di contrasto alle attività e contenuti illegali online.

IL PIANO D'AZIONE
Per effettuare il necessario 'cambio di passo' in termini di innalzamento dei livelli di sicurezza dei sistemi e delle reti del Paese – anche in vista del recepimento entro maggio 2018 della Direttiva Ue Network and Information Systems (Nis) per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione – nel Piano nazionale è indicato uno specifico 'piano d’azione' - una 'road map' - dedicato ad un nucleo essenziale di iniziative, cui attribuire carattere di priorità ed urgenza.

LA CENTRALITÀ DEL DIS
Le misure annunciate nel documento hanno l'obiettivo sia di implementare il coordinamento e l’interazione tra soggetti pubblici, privati e mondo della ricerca sia di accorciare e razionalizzare, rispetto al passato, la 'catena di comando' deputata alla gestione delle crisi. Per questo fine è stato attribuito al direttore generale del Dipartimento delle Informazioni per la Sicurezza (Dis) - oggi il prefetto Alessandro Pansa - un ruolo attivo e centrale nell’architettura nazionale di sicurezza cibernetica. Al vice direttore del Dipartimento, che sarà nominato nelle prossime settimane, spetterà invece il compito di occuparsi del Nucleo per la Sicurezza cibernetica, una centrale operativa aperta 24 ore su 24 per ricevere gli avvisi di attacchi cyber e per stabilirne nell'immediato gravità e dimensioni. La struttura esisteva già, ma il recente Dpcm Gentiloni l'ha spostata dall'Ufficio del consigliere militare di Palazzo Chigi al Dis, per l'appunto.


LE NOVITÀ
Le misure incluse nel documento toccano le attività di approntamento del sistema di difesa cyber, tra le quali il perimetro di copertura degli assetti di difesa comuni. Sono attesi: una più stretta interazione del CERT Nazionale e del CERT della Pubblica Amministrazione, anche nella prospettiva di una loro unificazione; la certificazione di soluzioni software e hardware, istituendo presso il Mise un centro di valutazione e certificazione nazionale per la verifica dell’affidabilità della componentistica Information and Communication Technology (Ict) destinata ad infrastrutture critiche e strategiche; l’identificazione delle funzioni manageriali/professionali critiche; l’obbligo di condivisione degli eventi cibernetici significativi (al superamento di determinate soglie di gravità); una più stretta cooperazione con gli atenei e il mondo della ricerca; il finanziamento di start-up e/o la partecipazione al capitale societario di realtà imprenditoriali d’interesse (venture capital); un 'Centro nazionale di Ricerca e Sviluppo in Cybersecurity', il cui ambito di azione potrebbe dispiegarsi, tra l’altro, nei settori della malware analysis, della security governance, della protezione delle infrastrutture critiche e della threat analysis systems, eccetera; un 'Centro nazionale di crittografia', impegnato nella progettazione di cifrari, nella realizzazione di un algoritmo e di una blockchain nazionali e in valutazioni di sicurezza. Si prevede anche un supporto alle iniziative del Ministero della Difesa volte a: istituire un Comando Interforze Operazioni Cibernetiche (Cioc), deputato alla protezione dei sistemi e delle reti di quel Dicastero nonché all'effettuazione delle operazioni in campo cibernetico; e la realizzazione, presso la Scuola Telecomunicazioni delle Forze Armate di Chiavari (Genova), di un poligono virtuale nazionale.

LE RISORSE
Il Dis avrà anche il compito di gestire i fondi assegnati dal governo per adottare queste misure. Nella Legge di stabilità 2016 erano stati stanziati 150 milioni di euro per contrastare la minaccia cyber, 15 dei quali andati al Servizio di Polizia Postale e delle Comunicazioni e il resto proprio al Comparto Intelligence. I soldi previsti per l'anno in corso sarebbero già stati destinati, almeno parzialmente, in particolare per l’assunzione di risorse professionali e alla realizzazione di progetti di Ict.

(Fonte: Cyber Affairs)

Metà delle imprese italiane danneggiate da attacchi. Mancano insegnanti. I talenti emigrano. Agli stati generali sulla sicurezza informatica dell’Italia, università, governo e aziende tentano il salto di qualità. “Uno stato sovrano deve avere controllo totale di alcune tecnologie chiave. Dunque va deciso quali debbano essere sviluppate a livello nazionale e quali invece reperite su mercato estero”. È questo il messaggio più politico emerso, per bocca di Paolo Prinetto, professore del Politecnico di Torino e presidente del Laboratorio nazionale di cybersecurity, espressione del Consorzio Interuniversitario Nazionale per l’Informatica (Cini), nel corso della presentazione del libro bianco “Il futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici”.

È martedì e siamo al Politecnico di Milano nel primo giorno di Itasec18, la seconda conferenza nazionale sulla sicurezza informatica organizzata proprio dal Laboratorio del Cini con l’obiettivo di riunire professionisti del mondo accademico, industriale e governativo. Come dire: i nostri “stati generali” sulla cybersicurezza. “Per tecnologie strategiche e necessario dotarsi di strumenti per la verifica sul software e l’hardware; ed essere in grado di assumerne pieno controllo”, ha proseguito Prinetto. In tempi di hacker statali, tecnologie delicate e invasive, timori di interferenze da intelligence straniere, attacchi che colpiscono strutture strategiche nazionali, ma anche guerre commerciali sul fronte tecnologico e non solo tra Usa, Russia e Cina, anche l’Italia cerca di posizionarsi.

O quanto meno di avviare una riflessione sulla capacità anche statale e governativa di utilizzare tecnologie che non rischino di essere opache o fuori dal proprio controllo. Tanto da evocare a un certo punto perfino un cloud nazionale, per ora però apparentemente ancora una prospettiva indistinta e che non convince, come vedremo, tutti gli addetti ai lavori presenti.

Il libro bianco sulla cybersicurezza e un piano straordinario – Non e l’unico messaggio uscito dal primo giorno di Itasec18. Ci sono infatti alcune raccomandazioni stilate dai 120 ricercatori di 40 diversi istituti e centri che hanno partecipato alla redazione del libro bianco, per rispondere alla sfida della trasformazione digitale in un’ottica di sicurezza. Tra queste l’accento è posto sulla formazione. Preoccupano infatti l’emigrazione di professionalità oltre che la scarsità di insegnanti. “Pochi i docenti in Italia in grado di insegnare cybersicurezza, pochi i percorsi formativi”, ha ammonito Prinetto.

Di qui la necessità di attivare nuovi corsi ma soprattutto di un piano straordinario per l’assunzione di ricercatori e professori universitari del settore, per la diffusione di competenze, per il reclutamento di talenti e anche più banalmente per l’attuazione dello stesso “Piano nazionale per la protezione cibernetica e la sicurezza informatica” varato dal governo lo scorso maggio, che prevede la creazione, fra le altre cose, di un Centro nazionale di ricerca e sviluppo in cybersecurity; un centro nazionale di crittografie; fondi per le startup. Insomma, non proprio bruscolini.

Ma gli autori del libro bianco si spingono anche oltre e delineano una visione ancor più ambiziosa, articolata in molteplici centri di ricerca, sia tematici che territoriali, in grado di diffondere conoscenze e supporto alle imprese e alla PA in modo capillare. E ancora, come ha sottolineato Donatella Sciuto, prorettore del Politecnico di Milano, la necessità di creare una cultura della resilienza digitale che non sia solo tecnologica ma che tenga conto del fattore umano, anello debole di ogni catena di sicurezza.

Dove stanno i soldi? – Una visione che però, va detto, richiede sostanziose risorse finanziarie, il convitato di pietra del convegno, dato che fino ad oggi tali risorse ancora scarseggiano. Né è chiaro quante ne arriveranno in futuro. Per ora stiamo ancora ai 150 milioni di euro stanziati dalla Legge di stabilità del 2016 (15 milioni alla Polizia Postale e 135 al Sistema di informazione per la sicurezza ovvero i servizi, di cui però si sa poco e niente).

“Certamente vi sono alcuni Paesi che già stanno investendo molto di più”, commenta diplomatico Rocco De Nicola, dell’IMT School for Advanced Studies di Lucca, nonché tra i curatori del volume insieme a Prinetto e a Roberto Baldoni, professore della Sapienza di Roma da poco nominato vicedirettore generale del DIS, (l’organo di coordinamento dei nostri servizi) con delega alla cybersecurity.

Un ruolo di coordinamento per cui in passato era stata ventilata la nomina di Marco Carrai, imprenditore vicino a Matteo Renzi e che è stato infine affidato a un accademico. Baldoni, professore di Sistemi distribuiti e direttore del Centro di ricerca in Cyber intelligence della Sapienza, oltre che tra gli ideatori di Itasec, dovrebbe presiedere il neonato Nucleo di Sicurezza Cibernetica, istituito dal decreto emanato lo scorso febbraio dal governo Gentiloni (il DPCM del 17 febbraio 2017).

Metà imprese italiane danneggiate da attacchi – Oltre alla questione dei fondi l’altro tema spinoso è quello dei dati. Pochi quelli affidabili e provenienti da fonti statali, che non siano cioè di vendor, produttori di software o servizi, i quali tendono ad avere campioni limitati, e anche interessi specifici nel settore. E ciò vale sia per l’Italia sia per il resto del mondo. Tuttavia almeno da noi qualcosa si sta muovendo.

Viene infatti in aiuto un’iniziativa di Banca d’Italia che si è messa a raccogliere dati sugli incidenti informatici a danno di imprese italiane, su un campione ampio e rappresentativo. In particolare, secondo uno studio a firma di Claudia Biancotti, ricercatrice di Bankitalia, ben il 45 per cento delle aziende nazionali sono state colpite da un qualche attacco nel corso di un anno, tra settembre 2015 e settembre 2016. “Colpite da attacco vuol dire che hanno subito qualche tipo di danno”, specifica Biancotti. Bersagliate soprattutto imprese del Centro e del Nordest, oltre che quelle con un alto numero di addetti, dai 200 in su.

In arrivo dati nazionali: le iniziative di Bankitalia e Istat – “In Italia stiamo creando un archivio con metodologie documentate sulla frequenza e sull’impatto economico degli impatti cyber. Saremo i primi in Europa, con la Gran Bretagna. I dati sono liberamente accessibili sul nostro sito”, commenta ancora Biancotti a La Stampa.

E a quanto pare, proprio sulla raccolta dati, sta per muoversi anche Istat sul fronte della pubblica amministrazione. Lo annuncia in plenaria il professor Antonio Schizzerotto, dell’università di Trento. “Non abbiamo dati sicuri sui cyberattacchi alla Pa. Ma nella prossima indagine Istat ci sarà una sezione ampia sulla cybersicurezza”.

Il parere delle aziende – Oltre alla visione però, di cui si parlava prima, c’è anche la realtà attuale. Ed è quella che emerge brutale quando si parla con le aziende, uno dei vertici del triangolo che compone Itasec18, insieme a governo e accademia. Storie di quotidiano orrore informatico che pervadono ancora parti consistenti sia del mondo imprenditoriale italiano sia di quello della Pa. E anche, più semplicemente, gli ostacoli all’attuazione di alcuni punti chiave ribaditi a più riprese dalla conferenza. Ad esempio, la collaborazione fra pubblico e privato. “Sono anni che se ne parla”, osserva in privato uno dei partecipanti ai panel. Una riflessione ribadita anche da Carlo Mauceli, NTO di Microsoft Italia: “Si fa ancora una fatica immensa a creare quelle relazioni tra pubblico e privato di cui tutti parlano”, commenta a La Stampa. E avanza anche perplessità su alcuni riferimenti alla creazione di un cloud nazionale. “Farne una questione di sovranità nazionale è anacronistico, dal momento che in Europa esiste la libera circolazione dei dati. Bisogna ragionare in un’ottica europea, non si può certo pensare di isolarsi. Il dato è proprietà delle persone e se sono titolate a muoversi liberamente in Europa, devono di conseguenza poter usufruire liberamente dei propri dati. Controproducente mettere confini”.

Le sfide del cybercrimine e non solo – Nel mentre, le attività cybercriminali sono passate da una dimensione più artigianale a una industriale, ricorda Giovanni Vigna, professore all’ University of California Santa Barbara (sul tema della professionalizzazione del cybercrime La Stampa ha scritto vari reportage. Per questo per colpirli “bisogna agire dove fa più male”, prosegue Vigna, “ovvero nei meccanismi di cash-out, di incasso dei soldi”. Di qui l’importanza di studi che modellino le economie underground per individuarne i punti critici. Ma gli attacchi informatici negli ultimi anni hanno anche alzato il tiro sul mondo dell’industria. L’Italia sarebbe al quarto posto tra i Paesi più colpiti in questo settore, con il 35,2 per cento di sistemi di sicurezza informatica industriale attaccati, secondo i dati presentati a Itasec da Vladimir Dashchenko, ricercatore di Kaspersky. Attacchi veicolati tramite internet nel 18,8 per cento dei casi, e subito dopo via mail nell’8,8 per cento (più del 5,1 della media europea).

Come non far scappare i talenti – Così, si ritorna al tema dei talenti. Prova a cercarli la Cyberchallenge, “programma di addestramento” per giovani delle scuole superiori e delle università, organizzato tra gli altri dallo stesso CINI, al suo secondo anno, e che nel 2018 conta su 1866 iscritti, annuncia sul palco il coordinatore Camil Demetrescu. Ma i talenti si trovano anche creando un clima di un certo tipo, mormorano nelle pause della conferenza molti addetti ai lavori, soprattutto i più giovani. Un clima che ad esempio non criminalizzi gli hacker che ricercano vulnerabilità e le rivelano in modo responsabile con il solo intento di rendere più sicuri i sistemi di aziende, organizzazioni, Pa.

Secondo quanto risulta a La Stampa, i nostri Cert, cioè le unità nazionali deputate al monitoraggio e alla risposta agli incidenti informatici, ricevono in continuazione segnalazioni di vulnerabilità. Spesso da anonimi. E in ogni caso da persone che temono di rischiare ripercussioni legali e che si muovono perlopiù per canali informali. “Le indicazioni su come gestire segnalazioni di vulnerabilità sono state codificate da tempo nel settore”, spiega a La Stampa Stefano Zanero, professore di sicurezza informatica al Politecnico di Milano e tra gli organizzatori di Itasec. “Bisogna solo applicarle”.

Proprio Zanero si era pubblicamente espresso a favore di Evariste Galois, lo pseudonimo usato da un giovane hacker che aveva segnalato al Movimento 5 Stelle, e poi pubblicamente, la presenza di alcune vulnerabilità e criticità del sistema Rousseau e che attualmente è indagato per accesso abusivo a sistema informatico. “Questa vicenda sta lanciando proprio il messaggio opposto a quello che servirebbe”, prosegue Zanero. A favore di Galois c’è anche una raccolta firme promossa da alcuni ricercatori di sicurezza.

di Carola Frediani – La Stampa, 9 febbraio 2018

Commenti

comments