Sì, l’Italia è stata attaccata, come accade a tutti i Paesi. Ma i nostri organi preposti alla cyber difesa hanno reagito prontamente e efficacemente. Lo ha detto il Generale di Divisione Carmine Masiello, Consigliere militare del Presidente del Consiglio dei ministri, nel corso della recente audizione in Commissione Difesa della Camera svolta nell’ambito dell’indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico in Italia.
La notizia dell’attacco subito dai ministeri della Difesa e degli Affari esteri da parte di hacker russi a caccia di informazioni riservate della Nato era uscita a inizio anno e, benché il generale rimandi ai ministeri interessati per i dettagli, assicura che ad oggi “non si è mai arrivati a una crisi cibernetica vera e propria con l’attivazione del Nisp cibernetico” (Nucleo interministeriale situazione e pianificazione). Anzi, l’attacco cyber alla Difesa “non è stato l’unico”: ce n’è stato un altro che ha interessato “un’amministrazione”, anche questo “prontamente gestito”.
I TRE LIVELLI
Masiello ha spiegato la complessa architettura che gestisce in Italia la sicurezza informatica e cibernetica, specialmente per quanto riguarda la protezione delle infrastrutture critiche. Al Generale in particolare fanno capo il Nucleo per la sicurezza cibernetica (Ncs) e il Nucleo interministeriale situazione e pianificazione (Nisp); quest’ultimo interviene solo in caso di crisi.
L’Italia ha una struttura di risposta a tre livelli, come previsto dal Dpcm 24 gennaio 2013: si passa prima per il Cisr (Comitato interministeriale per la sicurezza della Repubblica), poi per l’Ncs e infine per il Nisp; quest’ultimo è il “massimo organismo di coordinamento in situazioni di crisi”, che mette insieme tutti gli enti preposti alla reazione, sincronizza la risposta e informa il presidente del Consiglio dei ministri. A questo terzo livello l’Italia non è mai arrivata. Negli attacchi subiti dai nostri ministeri, infatti, “sono state raccordate le informazioni e individuate le soluzioni per porre fine” all’attività degli hacker.
Il Dpcm del 2013, detto anche decreto Monti, per il Generale Masiello è una legge che “coglie la portata sistemica della sicurezza cyber e razionalizza la strategia di intervento pubblico-privato in quadro strategico nazionale” affidando a ciascuno ruoli e responsabilità per la prima volta: “Il Dpcm 2013 definisce in un contesto unitario l’architettura per la sicurezza nazionale delle infrastrutture critiche materiali e immateriali”. Con un occhio particolare alla sicurezza cibernetica e informatica, vengono definiti i meccanismi per la riduzione delle vulnerabilità, la risposta ai rischi e il ripristino in caso di crisi.
LO SCAMBIO DI INFORMAZIONI
Masiello ha chiarito che Ncs e Nisp non svolgono attività direttamente ma hanno funzione di raccordo e coordinamento, di facilitatore di scambio di informazioni. “L’ufficio del Consigliere militare è un forte catalizzatore di attività e favorisce il convogliamento delle energie verso vari attori”, ha detto il Generale. L’Ncs per esempio “valuta e promuove procedure di condivisione delle informazioni anche con attori privati e acquisisce informazioni su eventuali intrusioni e perdita di informazioni; coordina attività di simulazione di eventi di natura cibernetica e fa da raccordo con altri enti dell’Ue e della Nato che si occupano di cyber sicurezza”.
Lo scambio delle informazioni è centrale per il funzionamento dell’architettura italiana che coinvolge una serie di attori, tra cui i Cert nazionale, della Difesa e della pubblica amministrazione e il Cnaipic. Il complesso di queste strutture serve a garantire la sicurezza in tutti gli ambiti, dal pubblico al privato, e ad avere un raccordo in ambito Ue e Nato.
Tutto bene dunque? Sì, ma si può sempre migliorare. Il Generale, parlando di “confidence building”, ha sottolineato che occorre rafforzare la fiducia tra gli attori coinvolti: le amministrazioni devono “rompere la ritrosia, naturale, a mettere in piazza i problemi, come quello di aver avuto subito un attacco”. Necessario poi l’adattamento del quadro procedurale per permettere una perfetta sincronia con la continua evoluzione della sfida cibernetica. Spazi di miglioramento anche per quel che riguarda le partnership pubblico-privato: anche qui occorre fidarsi di più gli uni degli altri perché solo uniti si possono fronteggiare sfide complesse e globali. “In questo senso le esercitazioni congiunte e i momenti formativi rafforzano il comune sentimento di collaborazione”, ha osservato Masiello.
CYBER SICUREZZA, FATTORE DI CIVILTA’ E CRESCITA ECONOMICA
“Il mantenimento delle funzioni vitali della società e la tutela della salute e del benessere economico e sociale dei cittadini non possono prescindere dalla salvaguardia delle infrastrutture critiche nazionali”, ha sottolineato Masiello. “Assicurare il corretto funzionamento delle infrastrutture critiche della nazione va inteso non solo come un indicatore di civiltà e modernità del Paese, ma anche come fattore di buon governo”.
Le infrastrutture critiche, inoltre, hanno “rilevanza fondamentale come fattore di sviluppo tecnologico, perché le infrastrutture moderne sono caratterizzate da settori interconnessi, interdipendenti nello spazio fisico e nel cyber spazio. Oltre al fatto che sono gestiti attraverso una governance che coinvolge attori pubblici e privati, vari livelli di autorità e responsabilità. Le reti elettriche e Ict, ad esempio, sono denominatori comuni, che creano interdipendenze fra i settori telecom, aereo, ferroviario, acqua, gas e finanza, solo per citarne alcuni. Rilevanza fondamentale, infine, anche quale fattore di sviluppo economico, in quanto gli investimenti in infrastrutture critiche possono sostenere, oltre allo sviluppo delle infrastrutture stesse, anche quello socio-economico delle aree nelle quali le stesse insistono. Tali investimenti non rappresentano meri costi, bensì un’opportunità per sostenere il Sistema Paese nel complesso. In ambito Unione europea, la capacità di intercettare i fondi disponibili costituisce una valida opportunità per ammodernare le infrastrutture, colmare gli eventuali gap tecnologici, valorizzare competenze e quindi costruire indotti ed eccellenze locali e nazionali, agevolando in ultima analisi la creazione di occupazione“.
GAP ITALIANI?
Dopo le domande dei deputati Paolo Bernini, 5 Stelle, e Daniele Marantelli, PD, è arrivata qualche ulteriore considerazione da parte di Masiello. Nessun commento specifico sulla spesa dell’Italia in cyber sicurezza – 150 milioni di euro stanziati a fine 2015 contro un miliardo circa per Germania e Francia, a detta di Bernini – ma Masiello ha assicurato che i nostri organi di difesa sono in grado di fornire risposta alle minacce, anche per quel che riguarda i furti di proprietà intellettuale alle imprese, non solo di segreti militari. “Sulle imprese che si rivolgono al Cert posso dire che siamo in grado di gestire gli attacchi, ma esiste anche un problema culturale di investimenti cyber nelle aziende”, ha tuttavia osservato il Generale.
Altro tema messo sul tavolo: il sistema italiano di cyber difesa non è troppo macchinoso e complesso? Con tutti quegli organi che devono intervenire, ognuno col suo ruolo, e devono dialogare, non si creano rallentamenti o sovrapposizioni? “Al momento non ci sono modifiche normative in vista in questa struttura”, ha risposto Masiello, ma da militare ha osservato: “Sempre meglio avere una riserva: la ridondanza non è necessariamente un male, può essere anche garanzia di continuità di funzionamento”.