Anche l’Italia ha il suo “cyber zar”: è il professor Roberto Baldoni, (in foto), nominato oggi dal Cisr (Comitato interministeriale per la sicurezza della Repubblica) come nuovo vicedirettore generale del Dipartimento delle Informazioni per la Sicurezza (Dis) con delega alla cyber security.
LA CARRIERA E LE AZIONI
La scelta di un profilo come quello di Baldoni, di elevato livello accademico (è, tra le altre cose, professore ordinario di Sistemi distribuiti presso la Facoltà di Ingegneria dell’Informazione e direttore del Centro di ricerca in Cyber intelligence dell’Università degli studi Sapienza di Roma) è in linea con quanto accade già da tempo in Paesi considerati ‘benchmark’ sul fronte della sicurezza cibernetica come Stati Uniti, Regno Unito e Israele. Come direttore del Laboratorio nazionale di cyber security del consorzio Cini e coordinatore del Comitato nazionale per la ricerca in cyber security (che riunisce università e Cnr), Baldoni è uno dei massimi punti di riferimento italiani sulla sicurezza cibernetica. Ha ideato e organizzato ItaSec (conferenza italiana sulla cyber security la cui seconda edizione è in programma dal 6 al 9 febbraio a Milano) nonché lanciato e co-realizzato numerose iniziative come l’Italian Cybersecurity Report, il Framework Nazionale per la Cyber security (sul modello del framework del Nist americano), la competizione per giovani talenti cyber Cyberchallenge.IT e il Libro Bianco sulla cyber security.
I COMPITI
In base alla nuova catena di comando delineata nel recente Dpcm Gentiloni emanato a febbraio scorso, a Baldoni dovrebbe spettare il compito di presiedere il Nucleo per la Sicurezza Cibernetica – che la direttiva del presidente del Consiglio in carica ha spostato dall’Ufficio del Consigliere militare di Palazzo Chigi al Dis -, riportando direttamente al direttore generale, oggi il prefetto Alessandro Pansa (altre due nomine nel Comparto Intelligence hanno invece riguardato Carmine Masiello, che da consigliere militare del presidente Gentiloni è diventato anch’egli vicedirettore del Dis, e Giuseppe Caputo, fino ad ora capo di Gabinetto dell’Aise guidata Alberto Manenti e da oggi vicedirettore della stessa agenzia).
Il Nsc – composto dal vicedirettore cyber, dal consigliere militare e da un rappresentante rispettivamente del Dis, dell’Aise, dell’Aisi, dei ministeri degli Affari esteri, dell’interno, della Difesa, della Giustizia, dello Sviluppo economico e dell’Economia e delle finanze, del Dipartimento della protezione civile e dell’Agenzia per l’Italia digitale – è chiamato ad assicurare una risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia.
LE SFIDE E I PROGETTI DEL PIANO
Ma a Baldoni dovrebbe toccare, anche, porre le condizioni per raggiungere gli obiettivi identificati nel nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica pubblicato a fine maggio in Gazzetta Ufficiale. Tra le misure inserite nel documento ci sono: il potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese; il miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati; l’incentivazione della cooperazione tra istituzioni ed imprese nazionali; la promozione e diffusione della cultura della sicurezza cibernetica; il rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica; e il rafforzamento delle capacità di contrasto alle attività e contenuti illegali online.
E, per effettuare il necessario “cambio di passo” in termini di innalzamento dei livelli di sicurezza dei sistemi e delle reti del Paese – anche in vista della piena implementazione entro maggio 2018 della Direttiva Ue Network and Information Systems (Nis) per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione – nel Piano nazionale è indicato uno specifico “piano d’azione” – una “road map”- dedicato ad un nucleo essenziale di iniziative, cui attribuire carattere di priorità ed urgenza.
In particolare, le misure incluse nel documento toccano le attività di approntamento del sistema di difesa cyber, tra le quali il perimetro di copertura degli assetti di difesa comuni. Sono attesi: una più stretta interazione del Cert Nazionale e del Cert della Pubblica amministrazione, anche nella prospettiva di una loro unificazione; la certificazione di soluzioni software e hardware, istituendo presso il Mise un centro di valutazione e certificazione nazionale per la verifica dell’affidabilità della componentistica Information and Communication Technology (Ict) destinata ad infrastrutture critiche e strategiche; l’identificazione delle funzioni manageriali/professionali critiche; l’obbligo di condivisione degli eventi cibernetici significativi (al superamento di determinate soglie di gravità); una più stretta cooperazione con gli atenei e il mondo della ricerca; il finanziamento di start-up e/o la partecipazione al capitale societario di realtà imprenditoriali d’interesse (venture capital); un “Centro nazionale di Ricerca e Sviluppo in Cybersecurity”, il cui ambito di azione potrebbe dispiegarsi, tra l’altro, nei settori della malware analysis, della security governance, della protezione delle infrastrutture critiche e della threat analysis systems, eccetera; un “Centro nazionale di crittografia”, impegnato nella progettazione di cifrari, nella realizzazione di un algoritmo e di una blockchain nazionali e in valutazioni di sicurezza.
Si prevede anche un supporto alle iniziative del Ministero della Difesa volte a: istituire un Comando Interforze Operazioni Cibernetiche (Cioc), deputato alla protezione dei sistemi e delle reti di quel Dicastero nonché all’effettuazione delle operazioni in campo cibernetico; e la realizzazione, presso la Scuola Telecomunicazioni delle Forze Armate di Chiavari (Genova), di un poligono virtuale nazionale.
LE PRIORITÀ
Baldoni non ha mai nascosto quelle che egli stesso considera le azioni prioritarie da realizzare per consentire all’Italia di restare nel novero dei Paesi che contano anche dopo che la rivoluzione digitale si sarà definitivamente compiuta. In un recente convegno promosso da Formiche e dall’agenzia specializzata Cyber Affairs, il nuovo vicedirettore cyber del Dis ha evidenziato che “si deve lavorare per creare una piattaforma in grado di generare nuove imprese nel settore. Se non saremo in grado”, ha rimarcato, “di creare un nuovo ecosistema nella cyber security sarà difficile riuscire a generare nuove imprese per creare centri di competenza e sviluppo e metterli a rete”. Il cyberspazio e l’economia, aveva aggiunto, “tendono a diventare una cosa sola e, in un futuro ormai prossimo, la competitività dei campioni nazionali e del sistema-Paese dipenderanno sempre di più dagli investimenti in cyber security”.
IL PERCORSO
Il percorso che ha oggi portato alla nomina di Baldoni non è stato tuttavia breve e semplice. Matteo Renzi, da presidente del Consiglio, aveva il progetto di insediare presso la Presidenza del Consiglio una struttura che avrebbe dovuto avere un ruolo di coordinamento sulla cyber security e che avrebbe dovuto fare capo o prevedere un ruolo di consulenza per un amico dell’ex premier, il manager e imprenditore Marco Carrai. La notizia, diffusasi a gennaio 2016 sui media a seguito di alcune indiscrezioni, sollevò però diverse critiche che portarono a un definitivo ripensamento. L’esecutivo guidato dall’attuale segretario del Pd pose comunque in essere due azioni rilevanti in campo cyber: nel 2015 il premier stesso fu autore di una direttiva che individuava alcune azioni propedeutiche e prioritarie per la protezione cibernetica e la sicurezza informatica, mentre nella Legge di stabilità stanziò 150 milioni di euro per rafforzare la sicurezza cibernetica del Paese (15 andarono alla Polizia postale, i restanti al Comparto Intelligence).
Successivamente, con l’arrivo a Palazzo Chigi di Paolo Gentiloni, i progetti di riforma della governance in campo cyber hanno ripreso a muoversi. Così, a febbraio 2017, è stato firmato il già citato Dpcm contenente disposizioni per la cyber security nazionale, che chiarisce le prerogative del vicedirettore cyber (il provvedimento ha di fatto sostituito un decreto sullo stesso tema del 2013 realizzato da Mario Monti). A maggio di quest’anno, invece, è stato varato il Piano nazionale che chiarisce gli obiettivi a breve e medio termini che dovranno essere adottati. Oggi, infine, la nomina di Baldoni.
