La cyber security pone molte sfide all’Italia, la prima delle quali è costruire “un proprio modello di cyber security” che tenga conto delle best practice ma non le replichi semplicemente, perché “ogni Paese ha le sue peculiarità”.
A crederlo è il cosiddetto ‘cyber zar’ italiano, il professor Roberto Baldoni, nominato negli scorsi mesi vice direttore del Dipartimento delle Informazioni per la Sicurezza con delega alla cyber security e alla sua prima uscita pubblica dopo il nuovo incarico.
Intervenendo a Milano alla seconda edizione della conferenza ItaSec, che egli stesso ha ideato e co-organizzato prima di abbracciare il nuovo impegno, Baldoni ha chiarito che la sua nuova attività si articolerà principalmente “nella gestione del Nucleo per la sicurezza cibernetica (Nsc), cuore del coordinamento della cyber security nazionale” che andrà dalla prevenzione alla risposta in caso di crisi. In questo organismo, ha spiegato, ci sono diverse realtà tra le quali i ministeri che compongono il Comitato interministeriale per la sicurezza della Repubblica (Esteri, Interno, Difesa, Giustizia, Economia, Sviluppo Economico).
I PASSI DA COMPIERE
Baldoni ha poi posto l’accento sui passi da compiere per mettere la Penisola al sicuro dai cyber attacchi e poter esprimere tutte le sue potenzialità scientifiche e tecnologiche nella scena cyber, ovvero procedere alla “piena implementazione dell’architettura nazionale cyber derivante dalla strategia nazionale”. “Una solida ed efficace partnership pubblico-privato, il laboratorio di Crittografia, la crescita di un venture capital nazionale, l’unificazione dei Cert, il rafforzamento del Comando Interforze per le Operazioni Cibernetiche (Cioc), la creazione del Centro di Valutazione e Certificazione Nazionale presso il Mise cui sarà affidata la verifica dell’affidabilità delle componenti Ict destinate ad essere impiegate nei sistemi di soggetti sia pubblici sia privati nazionali, la distribuzione territoriale del Cnaipic della Polizia di Stato, sviluppo di progetti come il Cyber Range nazionale”, secondo il vice direttore Dis (dipartimento diretto dal prefetto Alessandro Pansa), “sono tutte azioni fondamentali per la sicurezza cibernetica nazionale”, da applicare coerentemente con il Dpcm Gentiloni del 17 febbraio 2017 che, “ne ero convinto prima come adesso”, ha aggiunto, “sorpassa alcune limitazioni del Dpcm Monti dovute all’esperienza accumulata nel tempo”.
PROPOSTE E COSE FATTE
Per il vice direttore del Dis non si parte da zero. Lo sviluppo di questi progetti e la possibile soluzione di altri problemi legati al settore cyber, ha segnalato Baldoni, sono peraltro stati analizzati nel Libro Bianco sulla cyber security presentato proprio durante ItaSec che egli stesso ha curato con i professori Paolo Prinetto del Politecnico di Torino (anche alla presidenza del Cini) e Rocco De Nicola (Imt di Lucca).
A questo, ha detto ancora, vanno sommate le cose fatte in questi anni sempre dall’accademia: il Framework Nazionale di cyber security, i controlli essenziali di sicurezza, la competizione per giovani talenti Cyberchallenge.IT, il focus sulla formazione e sull’awareness su tutto il territorio nazionale e, appunto, ItaSec.
IL DIBATTITO SULL’ETHICAL HACKING
Per quanto riguarda il dibattito sull’ethical hacking e il tema degli ‘hacker bianchi’, cioè di coloro che segnalano le vulnerabilità di software e sistemi senza trarne vantaggio (un argomento salito alla ribalta in Italia dopo i recenti casi di infiltrazioni informatiche che hanno coinvolto il mondo politico), Baldoni ha rimarcato che si dovrebbe “stimolare un dibattito per distinguere che cosa è buono e che cosa è cattivo nel cyber spazio. E dobbiamo perseguire chi commette reati ma anche chi, con i sistemi obsoleti, mette a rischio i dati”.
IL TEMA DELLE RISORSE
Sulla questione delle risorse, il vice direttore del Dis ha chiarito che “tutti gli attori istituzionali” dovrebbero comprendere “che la cyber security è una priorità e che ha bisogno di investimenti. Nessuno – ha aggiunto – è fuori dallo spazio digitale: infrastrutture, sanità, ministero dell’Istruzione. Ma anche i privati devono capire che un sistema resiliente non può essere a carico del governo. Ognuno deve fare la propria parte”.
L’ECOSISTEMA
“Serve creare – ha detto ancora il vice direttore del Dis – un ecosistema della cyber sicurezza, fatto da ricerca, industria, governo. La difficoltà sta principalmente nella parola coordinamento. Dobbiamo mettere a fattor comune i punti di forza e ragionare come squadra in un mondo dove fino ad ora tutti si erano isolati. Il Laboratorio nazionale di cyber security ne è un esempio di come questi problemi si possano superare se si vuole”.
IL RAPPORTO CON L’UE
Da non sottovalutare, ha rimarcato Baldoni, è anche il rapporto con le istituzioni europee. In questo senso, il vice direttore del Dis ha ricordato la direttiva Nis di recentissimo recepimento, ma anche il tema della certificazione e degli standard di sicurezza nei prodotti hardware e software relativi al Mercato unico digitale europeo e la presenza della Penisola nell’agenzia Enisa e nei nascenti centri di competenza. “Non dobbiamo subire, ma proporre una linea che sia rispettosa delle prerogative di Bruxelles ma chiara e leale per ciò che riguarda la tutela dei nostri interessi di sicurezza nazionale incluse le infrastrutture sensibili del Paese”.
