22 Ottobre 2018 / 09:16
Cybersecurity: perché serve un'Agenzia nazionale

 
Sicurezza

Cybersecurity: perché serve un'Agenzia nazionale

di Mattia Schieppati - 16 Febbraio 2016
L’annuncio da parte del Premier Renzi della nascita di un organismo di coordinamento delle politiche di sicurezza informatica porta alla ribalta un tema prioritario in tutte le agende europee: digitalizzazione e protezione di cittadini, imprese e infrastrutture pubbliche. Ma come realizzerà il Governo le strategie di sicurezza e gli accordi di collaborazione transnazionali, come richiede la UE?
Come dice il motto, anche in questo caso anziché guardare la luna, ci si è concentrati (troppo) sul guardare il dito che la indica. Stiamo parlando dell'annuncio da parte del presidente del Consiglio Matteo Renzi, a inizio gennaio, relativo alla creazione di un'Agenzia per la cybersecurity nazionale. Il fatto che poche ore dopo questo annuncio tutti i media e il dibattito politico si concentrassero sull'indiscrezione secondo la quale a capo di tale struttura Renzi intendesse nominare Marco Carrai ha spostato appunto l'attenzione sul "dito". Proviamo allora a tornare a guardare alla "luna", ovvero all'ipotesi di avere un'Agenzia governativa che sovrintenda alle politiche nazionali di sicurezza informatica. Una questione non da poco ed estremamente urgente, se si considera, da una parte, il salto di qualità registrato negli ultimi tre anni dal crimine informatico e, dall’altro, la constatazione che ormai buona parte di quella che un tempo era l'attività di spionaggio "sul campo" viene ora effettuata attraverso la Rete dall'altra.
Come analizza bene Andrea Rigoni, ex consulente per la sicurezza informatica di Enrico Letta, in un approfondimento che dedica a questo tema (leggi qui), «va precisato che il termine cybersecurity può essere declinato in diversi modi, creando confusione. In genere, la cybersecurity nazionale è la protezione dei beni materiali e immateriali del Paese da minacce cyber; si tratta di proteggere i dati dei cittadini, i servizi della Pubblica Amministrazione, i servizi critici (come erogazione dell’energia elettrica, il gas, il raffinamento, le banche, le telecomunicazioni, il trasporto, gli impianti chimici e farmaceutici, ecc.), i brevetti e la proprietà intellettuale da minacce definite cyber, ovvero da minacce che utilizzano il cyberspace (Internet, le reti di telecomunicazioni, i sistemi informativi) quale strumento per sottrarre informazioni, compromettere dati e sistemi o per rendere non disponibili dei servizi. Alcune volte però», continua Rigoni, «si fa riferimento alla cybersecurity per indicare attività di individuazione e analisi di minacce tradizionali che operano tramite il cyberspace, come ad esempio gruppi criminali o terroristici. È un aspetto molto importante della sicurezza nazionale, con obiettivi complementari e diversi rispetto alla vera e propria cybersecurity. Mentre la seconda attività è principalmente inquadrata nell’ambito dei servizi di informazione per la sicurezza, la prima è trasversale a tutti i settori, inclusa la PA».

I passi del Governo

Il primo a prendere in mano questa matassa e cercare di darle un ordine è stato Mario Monti, durante il periodo del suo Governo, che con un decreto legge nel gennaio 2013 pone le basi per la definizione di una strategia nazionale di sicurezza cibernetica. Che definisce tre diversi livelli di intervento:
  • indirizzo politico e coordinamento strategico,
  • supporto e raccordo tra gli enti competenti,
  • gestione della crisi.
Tale decreto è stato poi inglobato, nel dicembre dello stesso anno, nel «Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico» (qui il testo completo), che fornisce una descrizione dei ruoli, dei compiti e delle interazioni dei diversi soggetti chiamati a giocare una partita in questo campo (vedi grafico).

Una questione che rimane in sospeso, tra le alterne vicende dell'Agenzia per il digitale e soprattutto la riorganizzazione dell'apparato dei vari servizi di sicurezza, fino alla direttiva emanata dal Governo Renzi il 1 agosto 2015 (qui il testo della direttiva), che individua «le azioni prioritarie propedeutiche allo sviluppo di un sistema in grado di garantire, sempre di più, la protezione cibernetica e la sicurezza informatica». In particolare, il documento «identifica le azioni che, all’interno di un’ampia collaborazione tra tutti i soggetti coinvolti, possono effettivamente contribuire alla sicurezza nazionale nella dimensione cyber». Viene considerato prioritario: «il consolidamento di un sistema di reazione in grado di operare, rapidamente e in maniera efficace, in caso di incidenti o azioni ostili nei confronti delle infrastrutture informatiche nazionali», obiettivo da raggiungere attraverso:
  • «un aumento della dotazione in termini di risorse umane e materiali presso le amministrazioni e gli organismi coinvolti;
  • la realizzazione di un coordinamento istituzionale, che garantisca la condivisione e la circolarità delle informazioni, potenziando l’operatività degli assetti trasversali previsti dal sistema di reazione, ovvero il Nucleo per la sicurezza cibernetica, il Cert (sigla che significa Computer Emergency Response Team) nazionale e il Cert-PA;
  • l’ulteriore sviluppo di un partenariato pubblico-privato;
  • una sempre maggiore collaborazione con Università e Centri di ricerca;
  • un coordinamento nazionale come pre-condizione per la cooperazione a livello internazionale che garantisca il raggiungimento di uno stesso livello di preparazione e interoperabilità».

L'UE lo vuole

Siamo insomma sempre alle linee di principio organizzative, ma in qualche modo la matassa sta cominciando a sbrogliarsi. Anche perché, non bastassero le minacce che corrono online, è la stessa Unione europea a chiedere a tutti i Governi nazionali strategie nazionali definite e ambiti di collaborazione transnazionali. In sede UE un accordo sulle linee guida per una direttiva in proposito è stato raggiunto nel dicembre 2015 e riguarda sia le politiche di sicurezza del fronte pubblico, sia delle aziende private (qui il documento), che va verso il superamento dell’attuale stato di frammentazione del comparto legislativo in tema di cybersecurity. «La fiducia e la sicurezza sono le fondamenta di un mercato unico digitale», ha dichiarato in proposito Andrus Ansip, vicepresidente della Commissione europea per il mercato unico digitale: «Se vogliamo che le persone e le aziende utilizzino e sfruttino al meglio i servizi digitali connessi, hanno bisogno di fidarsi e di essere sicuri in caso di attacco. Un blocco totale o parziale della rete anche per un periodo di tempo limitato crea dei danni che vanno al di là dei confini, i problemi in un Paese possono avere un effetto a catena nel resto d’Europa, questo è il motivo per cui abbiamo bisogno di soluzioni di sicurezza informatica a livello Ue. Questo accordo è un importante passo importante in questa direzione, ma non possiamo fermarci qui: abbiamo in programma un partenariato ambizioso con il settore nei prossimi mesi per sviluppare prodotti e servizi più sicuri».

Un «Libro bianco» fa da traccia

Molto interessante e documentato su questo tema, con le strade da intraprendere, è il Libro bianco dal titolo «Il Futuro della Cyber Security in Italia», realizzato da un team di esperti che fanno riferimento al Laboratorio Nazionale di Cyber Security - Consorzio interuniversitario nazionale per l’informatica e pubblicato lo scorso ottobre (qui per il download del testo completo). Un documento che fotografa la situazione attuale della cybersecurity italiana, dà suggerimenti per una possibile organizzazione di questo settore e porta gli esempi documentatissimi di alcuni Paesi in cui un'Agenzia per la cybersecurity è già operativa (tra i quali Stati Uniti, Francia, Russia). Anche perché un sistema di sicurezza informatica avanzato è un tassello chiave per la crescita del sistema Paese. Nell'introduzione del libro bianco si sottolinea infatti che «il miglioramento delle difese del cyberspace sarà pertanto uno dei requisiti che guiderà gli investimenti da parte di operatori internazionali, i quali non sono interessati a insediamenti industriali in assenza di un’adeguata organizzazione e capacità difensiva cyber. Ma tale miglioramento contribuirà anche ad assicurare una maggiore protezione della privacy dei cittadini e delle infrastrutture critiche che sempre più dipendono da strumenti informatici. Proprio per questa ragione, molti Paesi avanzati stanno progettando e realizzando piani strategici nazionali che coinvolgono pubblico, privato e ricerca e puntano a rafforzare la difesa delle infrastrutture critiche nazionali, delle organizzazioni governative, delle aziende e dei singoli cittadini dagli attacchi cibernetici». Nonostante questa importanza, prosegue il libro bianco, «analizzando la situazione sicurezza in Italia, emerge che, a differenza di molti altri Paesi, nel mondo imprenditoriale (fatta eccezione per le grandi banche e pochi grandi gruppi) e in quello della politica, per non parlare del vasto pubblico, la presa di coscienza dell’importanza della cyber security (cyber security awareness) è quasi completamente inesistente persino a livello dei manager aziendali. Politica digitale, crescita e sicurezza sono in realtà facce della stessa medaglia, in quanto una strategia digitale competitiva e orientata allo sviluppo non può non comprendere una dimensione security caratterizzata dai più elevati standard internazionali». Meglio uscire dalle polemiche sul toto-nomi, insomma (chi guiderà la nascente Agenzia?) e affrontare il tema in maniera seria.
CONTENUTI CORRELATI

Il lato oscuro delle intelligenze artificiali

Gli algoritmi ci stanno regalando conquiste positive in tanti campi, compreso quello della finanza e dei pagamenti. Ma bisogna stare attenti ai...

Tutte le novità di Banche e Sicurezza 2018

Per affrontare il nuovo scenario caratterizzato da confini sempre più labili tra sicurezza fisica e digitale, le aziende propongono nuove soluzioni...

Branch Transformation e sicurezza fisica

L’evoluzione della sicurezza fisica nelle banche italiane sotto la spinta del digitale e le nuove misure per il contenimento dei rischi, come il...

Lo zen e l’arte della sicurezza

Nell’ambito del progetto Events in Art di ABIServizi, finalizzato a unire il mondo finanziario con quello artistico, i temi di Banche e Sicurezza...
ALTRI ARTICOLI

 
Pagamenti

Senza il contante, il retail cambia pelle

Al Salone, il punto di vista di grande e piccola distribuzione sugli orizzonti che i digital payment possono aprire: nuova esperienza di acquisto e il...

 
Fintech

Così portiamo il territorio nel digitale

Ventis, il marketplace di Iccrea, è uno strumento di relazione e un modello evoluto di fare banca. Mettendo a disposizione delle imprese clienti...

 
Pagamenti

PA e fintech driver dei pagamenti digitali

Il rapporto del Comitato Pagamenti della Banca d'Italia fotografa per il 2017 una crescita del 6% dei pagamenti alternativi al contante, soprattutto...
Melissa Peretti di Amex spiega le strategie di sviluppo della società: servizi d'eccellenza in ogni fase del...
Maggiore protezione dei clienti e un miglioramento della relazione con banche e assicurazioni. Sono questi,...