Newsletter

Clicking moves left

Gli Speciali 2017

 

Forum HR

Cultura e regole nella gestione delle risorse umane, evoluzione sociale e digitale, organzizazione, leve motivazionali, contratti, lavoro...

Unione Bancaria e Basilea 3

L’evento dell'ABI su risk management, capitale e vigilanza europea. 120 relatori, 12 sessioni e una tavola rotonda per fare il punto sulla...

Banche e Sicurezza

Le banche tra sicurezza fisica e digitale, sotto il ritmo incessante della trasformazione tecnologica. Come difendersi dalle nuove minacce?

Funding & Capital Markets

I contenuti della IV edizione dell'evento ABI sugli strumenti di funding a disposizione di banche e imprese, sul mercato dei capitali e...

Dimensione Cliente

Il cliente non cerca più prodotti o servizi ma una Customer Journey. Si muove da questo imperativo la nuova edizione del convegno dedicato...

Forum ABI Lab

Bank to the future - Il viaggio nell'ecosistema digitale di ABI Lab nelle 2 giornate di Milano del 21 e 22 marzo - Le videointerviste e i...

Clicking moves right

Home > Sicurezza

Sicurezza
Invia Stampa
Cybersecurity: perché serve un'Agenzia nazionale

Cybersecurity: perché serve un'Agenzia nazionale

L’annuncio da parte del Premier Renzi della nascita di un organismo di coordinamento delle politiche di sicurezza informatica porta alla ribalta un tema prioritario in tutte le agende europee: digitalizzazione e protezione di cittadini, imprese e infrastrutture pubbliche. Ma come realizzerà il Governo le strategie di sicurezza e gli accordi di collaborazione transnazionali, come richiede la UE?
Mattia Schieppati
Come dice il motto, anche in questo caso anziché guardare la luna, ci si è concentrati (troppo) sul guardare il dito che la indica. Stiamo parlando dell'annuncio da parte del presidente del Consiglio Matteo Renzi, a inizio gennaio, relativo alla creazione di un'Agenzia per la cybersecurity nazionale. Il fatto che poche ore dopo questo annuncio tutti i media e il dibattito politico si concentrassero sull'indiscrezione secondo la quale a capo di tale struttura Renzi intendesse nominare Marco Carrai ha spostato appunto l'attenzione sul "dito". Proviamo allora a tornare a guardare alla "luna", ovvero all'ipotesi di avere un'Agenzia governativa che sovrintenda alle politiche nazionali di sicurezza informatica. Una questione non da poco ed estremamente urgente, se si considera, da una parte, il salto di qualità registrato negli ultimi tre anni dal crimine informatico e, dall’altro, la constatazione che ormai buona parte di quella che un tempo era l'attività di spionaggio "sul campo" viene ora effettuata attraverso la Rete dall'altra.
Come analizza bene Andrea Rigoni, ex consulente per la sicurezza informatica di Enrico Letta, in un approfondimento che dedica a questo tema (leggi qui), «va precisato che il termine cybersecurity può essere declinato in diversi modi, creando confusione. In genere, la cybersecurity nazionale è la protezione dei beni materiali e immateriali del Paese da minacce cyber; si tratta di proteggere i dati dei cittadini, i servizi della Pubblica Amministrazione, i servizi critici (come erogazione dell’energia elettrica, il gas, il raffinamento, le banche, le telecomunicazioni, il trasporto, gli impianti chimici e farmaceutici, ecc.), i brevetti e la proprietà intellettuale da minacce definite cyber, ovvero da minacce che utilizzano il cyberspace (Internet, le reti di telecomunicazioni, i sistemi informativi) quale strumento per sottrarre informazioni, compromettere dati e sistemi o per rendere non disponibili dei servizi. Alcune volte però», continua Rigoni, «si fa riferimento alla cybersecurity per indicare attività di individuazione e analisi di minacce tradizionali che operano tramite il cyberspace, come ad esempio gruppi criminali o terroristici. È un aspetto molto importante della sicurezza nazionale, con obiettivi complementari e diversi rispetto alla vera e propria cybersecurity. Mentre la seconda attività è principalmente inquadrata nell’ambito dei servizi di informazione per la sicurezza, la prima è trasversale a tutti i settori, inclusa la PA».

I passi del Governo

Il primo a prendere in mano questa matassa e cercare di darle un ordine è stato Mario Monti, durante il periodo del suo Governo, che con un decreto legge nel gennaio 2013 pone le basi per la definizione di una strategia nazionale di sicurezza cibernetica. Che definisce tre diversi livelli di intervento:
  • indirizzo politico e coordinamento strategico,
  • supporto e raccordo tra gli enti competenti,
  • gestione della crisi.
Tale decreto è stato poi inglobato, nel dicembre dello stesso anno, nel «Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico» (qui il testo completo), che fornisce una descrizione dei ruoli, dei compiti e delle interazioni dei diversi soggetti chiamati a giocare una partita in questo campo (vedi grafico).

Una questione che rimane in sospeso, tra le alterne vicende dell'Agenzia per il digitale e soprattutto la riorganizzazione dell'apparato dei vari servizi di sicurezza, fino alla direttiva emanata dal Governo Renzi il 1 agosto 2015 (qui il testo della direttiva), che individua «le azioni prioritarie propedeutiche allo sviluppo di un sistema in grado di garantire, sempre di più, la protezione cibernetica e la sicurezza informatica». In particolare, il documento «identifica le azioni che, all’interno di un’ampia collaborazione tra tutti i soggetti coinvolti, possono effettivamente contribuire alla sicurezza nazionale nella dimensione cyber». Viene considerato prioritario: «il consolidamento di un sistema di reazione in grado di operare, rapidamente e in maniera efficace, in caso di incidenti o azioni ostili nei confronti delle infrastrutture informatiche nazionali», obiettivo da raggiungere attraverso:
  • «un aumento della dotazione in termini di risorse umane e materiali presso le amministrazioni e gli organismi coinvolti;
  • la realizzazione di un coordinamento istituzionale, che garantisca la condivisione e la circolarità delle informazioni, potenziando l’operatività degli assetti trasversali previsti dal sistema di reazione, ovvero il Nucleo per la sicurezza cibernetica, il Cert (sigla che significa Computer Emergency Response Team) nazionale e il Cert-PA;
  • l’ulteriore sviluppo di un partenariato pubblico-privato;
  • una sempre maggiore collaborazione con Università e Centri di ricerca;
  • un coordinamento nazionale come pre-condizione per la cooperazione a livello internazionale che garantisca il raggiungimento di uno stesso livello di preparazione e interoperabilità».

L'UE lo vuole

Siamo insomma sempre alle linee di principio organizzative, ma in qualche modo la matassa sta cominciando a sbrogliarsi. Anche perché, non bastassero le minacce che corrono online, è la stessa Unione europea a chiedere a tutti i Governi nazionali strategie nazionali definite e ambiti di collaborazione transnazionali. In sede UE un accordo sulle linee guida per una direttiva in proposito è stato raggiunto nel dicembre 2015 e riguarda sia le politiche di sicurezza del fronte pubblico, sia delle aziende private (qui il documento), che va verso il superamento dell’attuale stato di frammentazione del comparto legislativo in tema di cybersecurity. «La fiducia e la sicurezza sono le fondamenta di un mercato unico digitale», ha dichiarato in proposito Andrus Ansip, vicepresidente della Commissione europea per il mercato unico digitale: «Se vogliamo che le persone e le aziende utilizzino e sfruttino al meglio i servizi digitali connessi, hanno bisogno di fidarsi e di essere sicuri in caso di attacco. Un blocco totale o parziale della rete anche per un periodo di tempo limitato crea dei danni che vanno al di là dei confini, i problemi in un Paese possono avere un effetto a catena nel resto d’Europa, questo è il motivo per cui abbiamo bisogno di soluzioni di sicurezza informatica a livello Ue. Questo accordo è un importante passo importante in questa direzione, ma non possiamo fermarci qui: abbiamo in programma un partenariato ambizioso con il settore nei prossimi mesi per sviluppare prodotti e servizi più sicuri».

Un «Libro bianco» fa da traccia

Molto interessante e documentato su questo tema, con le strade da intraprendere, è il Libro bianco dal titolo «Il Futuro della Cyber Security in Italia», realizzato da un team di esperti che fanno riferimento al Laboratorio Nazionale di Cyber Security - Consorzio interuniversitario nazionale per l’informatica e pubblicato lo scorso ottobre (qui per il download del testo completo). Un documento che fotografa la situazione attuale della cybersecurity italiana, dà suggerimenti per una possibile organizzazione di questo settore e porta gli esempi documentatissimi di alcuni Paesi in cui un'Agenzia per la cybersecurity è già operativa (tra i quali Stati Uniti, Francia, Russia). Anche perché un sistema di sicurezza informatica avanzato è un tassello chiave per la crescita del sistema Paese. Nell'introduzione del libro bianco si sottolinea infatti che «il miglioramento delle difese del cyberspace sarà pertanto uno dei requisiti che guiderà gli investimenti da parte di operatori internazionali, i quali non sono interessati a insediamenti industriali in assenza di un’adeguata organizzazione e capacità difensiva cyber. Ma tale miglioramento contribuirà anche ad assicurare una maggiore protezione della privacy dei cittadini e delle infrastrutture critiche che sempre più dipendono da strumenti informatici. Proprio per questa ragione, molti Paesi avanzati stanno progettando e realizzando piani strategici nazionali che coinvolgono pubblico, privato e ricerca e puntano a rafforzare la difesa delle infrastrutture critiche nazionali, delle organizzazioni governative, delle aziende e dei singoli cittadini dagli attacchi cibernetici». Nonostante questa importanza, prosegue il libro bianco, «analizzando la situazione sicurezza in Italia, emerge che, a differenza di molti altri Paesi, nel mondo imprenditoriale (fatta eccezione per le grandi banche e pochi grandi gruppi) e in quello della politica, per non parlare del vasto pubblico, la presa di coscienza dell’importanza della cyber security (cyber security awareness) è quasi completamente inesistente persino a livello dei manager aziendali. Politica digitale, crescita e sicurezza sono in realtà facce della stessa medaglia, in quanto una strategia digitale competitiva e orientata allo sviluppo non può non comprendere una dimensione security caratterizzata dai più elevati standard internazionali». Meglio uscire dalle polemiche sul toto-nomi, insomma (chi guiderà la nascente Agenzia?) e affrontare il tema in maniera seria.
16 Febbraio 2016

Articoli correlati

 

Guida Tassazione 2017

Sullo scaffale

Elenco degli Sportelli Bancari 2017

Elenco degli Sportelli Bancari 2017

In 640 pagine, il panorama più esauriente delle 28.000 filiali e dei 1.400 negozi finanziari operanti in Italia, contenente le principali informazioni ...

Convegni ABI

CREDITO AL CREDITO 2017

CREDITO AL CREDITO 2017

Roma, Palazzo Altieri - 26 e 27 ottobre 2017