Cybersecurity: perché serve un'Agenzia nazionale

Come dice il motto, anche in questo caso anziché guardare la luna, ci si è concentrati (troppo) sul guardare il dito che la indica. Stiamo parlando dell'annuncio da parte del presidente del Consiglio Matteo Renzi, a inizio gennaio, relativo alla creazione di un'Agenzia per la cybersecurity nazionale. Il fatto che poche ore dopo questo annuncio tutti i media e il dibattito politico si concentrassero sull'indiscrezione secondo la quale a capo di tale struttura Renzi intendesse nominare Marco Carrai ha spostato appunto l'attenzione sul "dito". Proviamo allora a tornare a guardare alla "luna", ovvero all'ipotesi di avere un'Agenzia governativa che sovrintenda alle politiche nazionali di sicurezza informatica. Una questione non da poco ed estremamente urgente, se si considera, da una parte, il salto di qualità registrato negli ultimi tre anni dal crimine informatico e, dall’altro, la constatazione che ormai buona parte di quella che un tempo era l'attività di spionaggio "sul campo" viene ora effettuata attraverso la Rete dall'altra.

Come analizza bene Andrea Rigoni, ex consulente per la sicurezza informatica di Enrico Letta, in un approfondimento che dedica a questo tema (leggi qui), «va precisato che il termine cybersecurity può essere declinato in diversi modi, creando confusione. In genere, la cybersecurity nazionale è la protezione dei beni materiali e immateriali del Paese da minacce cyber; si tratta di proteggere i dati dei cittadini, i servizi della Pubblica Amministrazione, i servizi critici (come erogazione dell’energia elettrica, il gas, il raffinamento, le banche, le telecomunicazioni, il trasporto, gli impianti chimici e farmaceutici, ecc.), i brevetti e la proprietà intellettuale da minacce definite cyber, ovvero da minacce che utilizzano il cyberspace (Internet, le reti di telecomunicazioni, i sistemi informativi) quale strumento per sottrarre informazioni, compromettere dati e sistemi o per rendere non disponibili dei servizi. Alcune volte però», continua Rigoni, «si fa riferimento alla cybersecurity per indicare attività di individuazione e analisi di minacce tradizionali che operano tramite il cyberspace, come ad esempio gruppi criminali o terroristici. È un aspetto molto importante della sicurezza nazionale, con obiettivi complementari e diversi rispetto alla vera e propria cybersecurity. Mentre la seconda attività è principalmente inquadrata nell’ambito dei servizi di informazione per la sicurezza, la prima è trasversale a tutti i settori, inclusa la PA».

Il primo a prendere in mano questa matassa e cercare di darle un ordine è stato Mario Monti, durante il periodo del suo Governo, che con un decreto legge nel gennaio 2013 pone le basi per la definizione di una strategia nazionale di sicurezza cibernetica. Che definisce tre diversi livelli di intervento:

Tale decreto è stato poi inglobato, nel dicembre dello stesso anno, nel «Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico» (qui il testo completo), che fornisce una descrizione dei ruoli, dei compiti e delle interazioni dei diversi soggetti chiamati a giocare una partita in questo campo (vedi grafico).


Una questione che rimane in sospeso, tra le alterne vicende dell'Agenzia per il digitale e soprattutto la riorganizzazione dell'apparato dei vari servizi di sicurezza, fino alla direttiva emanata dal Governo Renzi il 1 agosto 2015 (qui il testo della direttiva), che individua «le azioni prioritarie propedeutiche allo sviluppo di un sistema in grado di garantire, sempre di più, la protezione cibernetica e la sicurezza informatica». In particolare, il documento «identifica le azioni che, all’interno di un’ampia collaborazione tra tutti i soggetti coinvolti, possono effettivamente contribuire alla sicurezza nazionale nella dimensione cyber». Viene considerato prioritario: «il consolidamento di un sistema di reazione in grado di operare, rapidamente e in maniera efficace, in caso di incidenti o azioni ostili nei confronti delle infrastrutture informatiche nazionali», obiettivo da raggiungere attraverso:

Siamo insomma sempre alle linee di principio organizzative, ma in qualche modo la matassa sta cominciando a sbrogliarsi. Anche perché, non bastassero le minacce che corrono online, è la stessa Unione europea a chiedere a tutti i Governi nazionali strategie nazionali definite e ambiti di collaborazione transnazionali. In sede UE un accordo sulle linee guida per una direttiva in proposito è stato raggiunto nel dicembre 2015 e riguarda sia le politiche di sicurezza del fronte pubblico, sia delle aziende private (qui il documento), che va verso il superamento dell’attuale stato di frammentazione del comparto legislativo in tema di cybersecurity. «La fiducia e la sicurezza sono le fondamenta di un mercato unico digitale», ha dichiarato in proposito Andrus Ansip, vicepresidente della Commissione europea per il mercato unico digitale: «Se vogliamo che le persone e le aziende utilizzino e sfruttino al meglio i servizi digitali connessi, hanno bisogno di fidarsi e di essere sicuri in caso di attacco. Un blocco totale o parziale della rete anche per un periodo di tempo limitato crea dei danni che vanno al di là dei confini, i problemi in un Paese possono avere un effetto a catena nel resto d’Europa, questo è il motivo per cui abbiamo bisogno di soluzioni di sicurezza informatica a livello Ue. Questo accordo è un importante passo importante in questa direzione, ma non possiamo fermarci qui: abbiamo in programma un partenariato ambizioso con il settore nei prossimi mesi per sviluppare prodotti e servizi più sicuri».

Molto interessante e documentato su questo tema, con le strade da intraprendere, è il Libro bianco dal titolo «Il Futuro della Cyber Security in Italia», realizzato da un team di esperti che fanno riferimento al Laboratorio Nazionale di Cyber Security - Consorzio interuniversitario nazionale per l’informatica e pubblicato lo scorso ottobre (qui per il download del testo completo). Un documento che fotografa la situazione attuale della cybersecurity italiana, dà suggerimenti per una possibile organizzazione di questo settore e porta gli esempi documentatissimi di alcuni Paesi in cui un'Agenzia per la cybersecurity è già operativa (tra i quali Stati Uniti, Francia, Russia). Anche perché un sistema di sicurezza informatica avanzato è un tassello chiave per la crescita del sistema Paese. Nell'introduzione del libro bianco si sottolinea infatti che «il miglioramento delle difese del cyberspace sarà pertanto uno dei requisiti che guiderà gli investimenti da parte di operatori internazionali, i quali non sono interessati a insediamenti industriali in assenza di un’adeguata organizzazione e capacità difensiva cyber. Ma tale miglioramento contribuirà anche ad assicurare una maggiore protezione della privacy dei cittadini e delle infrastrutture critiche che sempre più dipendono da strumenti informatici. Proprio per questa ragione, molti Paesi avanzati stanno progettando e realizzando piani strategici nazionali che coinvolgono pubblico, privato e ricerca e puntano a rafforzare la difesa delle infrastrutture critiche nazionali, delle organizzazioni governative, delle aziende e dei singoli cittadini dagli attacchi cibernetici». Nonostante questa importanza, prosegue il libro bianco, «analizzando la situazione sicurezza in Italia, emerge che, a differenza di molti altri Paesi, nel mondo imprenditoriale (fatta eccezione per le grandi banche e pochi grandi gruppi) e in quello della politica, per non parlare del vasto pubblico, la presa di coscienza dell’importanza della cyber security (cyber security awareness) è quasi completamente inesistente persino a livello dei manager aziendali. Politica digitale, crescita e sicurezza sono in realtà facce della stessa medaglia, in quanto una strategia digitale competitiva e orientata allo sviluppo non può non comprendere una dimensione security caratterizzata dai più elevati standard internazionali». Meglio uscire dalle polemiche sul toto-nomi, insomma (chi guiderà la nascente Agenzia?) e affrontare il tema in maniera seria.