Desidero innanzitutto portare il saluto della Difesa e quello mio personale a tutti i partecipanti a questa terza Conferenza nazionale dedicata alla cyber-security e ringraziare, in particolare, il presidente del Cini (Consorzio interuniversitario nazionale per l’informatica) Paolo Prinetto, per il cortese invito che mi ha rivolto e che ho accettato con estremo piacere. Sono quindi particolarmente lieta di poter aprire la Conferenza ItaSec 2019, insieme al vice direttore generale del Dipartimento informazioni per la sicurezza della presidenza del Consiglio, il professor Roberto Baldoni, al presidente del Cnr Massimo Inguscio e a tante altre autorevoli presenze del mondo istituzionale, accademico, scientifico e di società prestigiose, impegnate nel campo della sicurezza cibernetica.
Il mondo del web è popolato da milioni di attori i quali, in buona parte, agiscono autonomamente e indipendentemente l’uno dall’altro. Questa è la grandezza e la potenza incredibile della rete, ma anche la sua più grande vulnerabilità. Per tale ragione, per continuare ad usufruire, pienamente, delle immense risorse che le nuove tecnologie ci mettono a disposizione, dobbiamo necessariamente dedicare la massima attenzione alla sicurezza dell’ambiente cibernetico, agendo in stretta sinergia per contrastare le minacce ad esso collegate. Oggi, il cyber-spazio, Internet, il web vengono comunemente definiti come “il mondo virtuale”. Ma, se riflettiamo, ci rendiamo subito conto di quanto la nostra quotidianità, nelle sue più diverse sfaccettature, si muova e appartenga sempre di più a questo mondo virtuale.
Sui circuiti informatici finanziari sono gestiti i nostri risparmi; sulle reti informatiche del nostro sistema sanitario ci sono quei dati, peraltro sensibili, che ci consentono di essere assistiti e curati; i mezzi di comunicazione di massa, sui quali spesso si fonda la nostra percezione del mondo e della realtà, utilizzano le reti. Gli stessi conflitti tra i popoli avvengono sempre più in una dimensione informatica, oltre che in quella tradizionale. Il cosiddetto “virtuale”, paradossalmente, è diventato “più reale del reale”, ovvero sempre più centrale per la nostra qualità della vita, la nostra sicurezza, la nostra prosperità, sia come singoli individui sia come collettività nazionali ed internazionali. Questa vastità e questa pervasività delle tecnologie informatiche, in ogni contesto delle società più evolute, ci dà quindi tutta la misura del problema da affrontare e delle minacce che ne derivano.
Qual è il ruolo dello Stato, degli Stati, in tutto questo?
Lo Stato è ovviamente un attore fondamentale per la sicurezza in generale, e ovviamente, deve esserlo anche per quella cibernetica. È compito dello Stato tutelare la collettività nella sua interezza, proteggerla tanto dalle violazioni delle regole che si verificano al suo interno quanto dalle offese provenienti dall’esterno. Ma nello spazio cibernetico esistono molte entità, assolutamente disgiunte da qualsiasi Stato nazionale o Organizzazione Internazionale ufficialmente riconosciuta, che possono liberamente muoversi ed agire, adattabili ed evolutive, capaci di seguire dinamicamente, se non di dettare, regole di funzionamento e di “vita” della rete globale, regole sempre più pericolosamente slegate da considerazioni di natura etica e solidale.
E proprio come avviene nel caso del mondo cosiddetto “reale”, non può essere solo lo Stato, nelle sue varie articolazioni, a tutelare la sicurezza del sistema e il rispetto delle regole. Gli attori privati sono altrettanto importanti. Lo sono i singoli cittadini, gli utenti, e lo sono, ovviamente in misura maggiore, le grandi realtà, quelle che gestiscono i dati e le grandi reti e quelle che producono il software che fa funzionare il tutto. Queste realtà, che sono private ma che hanno un’enorme responsabilità nella gestione e, quindi, nell’integrità di un servizio così fondamentale per tutti, devono essere associate, in tutto e per tutto, allo sforzo collettivo che dobbiamo fare, tutti insieme, per tutelare questo bene comune.
L’Italia è come tutti i Paesi esposta al rischio di attacchi di natura cibernetica. I dati mondiali sono allarmanti e stanno crescendo notevolmente, perché da un lato aumentano gli attacchi portati da criminali e da organizzazioni governative o paragovernative, e dall’altro aumentano gli utenti globali che entrano nelle rete. Si stima, ad esempio, che la perdita economica imputabile al cyber-crime, nel 2020 possa raggiungere i tremila miliardi di dollari e che gli attacchi informatici possano interessare il 74% del volume degli affari mondiali. Peraltro il 61% degli attacchi informatici è stato realizzato con tecniche relativamente semplici. E tra gli obiettivi di questi attacchi ci sono banche dati spesso non sufficientemente protette, come dimostrano anche le violazioni registratesi, nei mesi scorsi, nel nostro Paese.
In sostanza, quella cibernetica è la frontiera su cui si sta spostando sempre più e in misura più pervasiva la dinamica delle conflittualità tra Stati e tra soggetti. L’Italia ha un’architettura che vede il potere centralizzato nella presidenza del Consiglio, attraverso il Dipartimento informazioni per la sicurezza, per un quadro complessivo della minaccia cibernetica. L’organo di vertice è il presidente del Consiglio, cui seguono un livello di indirizzo politico e di coordinamento strategico, il Comitato interministeriale per la sicurezza della Repubblica (Cisr), mentre per la gestione delle crisi cibernetiche, ai sensi del Dpcm 17 febbraio 2017 è stato istituito, presso il Dipartimento per le informazioni e la sicurezza (Dis), il Nucleo sicurezza cibernetica (Nsc) presieduto proprio dal professor Baldoni e per il quale ho voluto nominare, in rappresentanza della Difesa, uno dei miei Consiglieri.
Ciò a dimostrazione della mia sensibilità nei confronti di questo tema, all’interno del quale la Difesa svolge un ruolo fondamentale nell’azione di sviluppo e rafforzamento del perimetro di sicurezza nazionale. Essa oggi è impegnata su un duplice fronte, in quanto da un lato garantisce il proprio contributo alla sicurezza nazionale, inserendosi appunto nell’organizzazione che fa capo alla presidenza del Consiglio dei ministri, e dall’altro ha la specifica esigenza di sviluppare la capacità di pianificare e condurre cyber-operations, vale a dire azioni di contrasto agli attacchi condotti in tale dimensione, sia sul network nazionale della Difesa sia su quello esteso nei teatri operativi.
Questo è il motivo per cui la rilevanza della minaccia cyber è stata posta al centro delle Linee programmatiche del Dicastero che ho illustrato alle Commissioni congiunte di Camera e Senato il 26 luglio scorso: “La minaccia cyber è un imprescindibile fattore di rischio per il Paese ma anche di grandi opportunità di investimento, aumentando il nostro grado di difesa e sicurezza”. Partendo da questo assunto, e in linea con il processo di sviluppo delle tematiche di Cyber defense in ambito Nato, Ue e in generale con i programmi di “trasformazione digitale”, la Difesa ha delineato le esigenze operative per rafforzare la sicurezza dello spazio cibernetico. In tale quadro, come noto, è stato costituito il Comando interforze per le operazioni cibernetiche (Cioc), posto alle dirette dipendenze del capo di Smd, quale Cyber command nazionale abilitato a svolgere operazioni militari nel dominio cibernetico.
Questa capacità cyber sarà implementata anche nei teatri operativi in cui sono impegnati i nostri contingenti, nell’ambito dei comandi militari delle forze proiettate, attraverso Cellule operative cibernetiche (Coc). Esse opereranno anche in sistema con il Cioc in madrepatria e garantiranno, da un lato, la protezione degli assetti militari, ormai sempre più digitalizzati e, dall’altro, la condotta delle possibili operazioni cibernetiche nell’area delle operazioni militari, secondo la missione istituzionale, le direttive operative e le regole di ingaggio stabilite. La Difesa, inoltre, sta mettendo in campo le proprie capacità con potenzialità dual use tese ad incrementare la resilienza nel contesto cyber, ovvero la capacità di reagire e ripristinare le reti/infrastrutture critiche a seguito del verificarsi di una minaccia/attacco cyber. In tale contesto, posso annunciarvi che ho autorizzato la creazione di un tavolo tecnico, presieduto dal sottosegretario di Stato alla Difesa, Angelo Tofalo, che avrà l’obiettivo di valutare ulteriori forme di sviluppo della componente cyber in ambito Difesa.
Associata alla rafforzamento di una capacità operativa cyber nazionale, la Difesa sta sviluppando anche una strategia di cooperazione con il mondo scientifico e universitario per la ricerca di competenze umane di alto livello che ci aiutino a sviluppare le conoscenze di cui abbiamo bisogno. Sappiamo che le soluzioni tecnologiche non possono assicurare, da sole, la sicurezza di un sistema. Sono competenze che non si improvvisano e non si sviluppano in poco tempo. Non è un’azione facile, perché si tratta di selezionare e addestrare personale con altissime competenze specialistiche; ma è un passo fondamentale, perché solo facendo convergere sul dominio cibernetico figure professionali in possesso di specifiche capacità tecniche sarà possibile garantirne un’efficace gestione nei suoi molteplici aspetti.
In tale ottica abbiamo già testato il primo step del Cyber Range Unavox, eccellenza nazionale per lo sviluppo di attività formative e addestrative, che potranno essere rese disponibili – in ottica sistema Paese – alle altre Pubbliche amministrazioni e al settore privato. Vorrei fare ora una rapido accenno allo sviluppo in atto delle tematiche di Cyber defense anche in ambito Nato ed Ue, trattandosi di una necessità fortemente sentita a livello internazionale, e nelle considerazione che in una dimensione internazionale abbiamo il dovere di contribuire ad una “sicurezza condivisa” che, già oggi, non può prescindere dalla sicurezza degli spazi cibernetici. Tante sono le decisioni importanti assunte e le azioni già intraprese in merito.
In particolare, la Nato, avendo riconosciuto lo spazio cibernetico quale nuovo dominio operativo, ha riconosciuto anche un concetto generale secondo cui, in certe condizioni, un attacco cibernetico potrebbe determinare l’invocazione dell’“Art. 5”, possibilità ripresa anche dal G7 nell’ambito dei lavori dell’Ise-Shima Cyber Group, quale violazione dell’art. 51 della Carta dell’Onu. In tale ambito, ricordo anche la pubblicazione “Tallin Manual 2.0” del Nato Cooperative cyber defence centre of excellence che, oltre a fornire un’analisi complessa dei problemi giuridici legati alle operazioni cibernetiche, si pone lo scopo di come applicare la giurisprudenza internazionale esistente alle sfide poste alla sicurezza nel cyberspazio.
Restando in orbita Nato, tale organizzazione richiede ai paesi membri di spendere il 2% del loro prodotto interno lordo per la Difesa. Come ho già più volte affermato, ritengo che in tale percentuale debbano essere ricondotti anche gli investimenti non militari destinati alla sicurezza civile. Ci sono parti della nostra spesa che sono correlate alla Difesa ma che non sono incluse nel bilancio della Difesa. Per questo sono fermamente convinta e mi sono fatta promotrice di una soluzione che consenta di includere nel 2% anche gli investimenti in Cyber security. Visto e considerato che la solidità in termini di sicurezza cyber di ciascun membro della Nato ha riflessi positivi sulla sicurezza cibernetica di tutta l’Alleanza Atlantica.
In ambito Ue, l’Italia, assieme a Germania e Gran Bretagna, è nel gruppo di testa degli Stati membri che hanno concretamente dato seguito agli adempimenti della cosiddetta Direttiva Nis, lo strumento dell’Unione che ha definito le misure necessarie a conseguire un più elevato livello di sicurezza delle reti e dei sistemi informativi in Europa. Un documento che ha il grande merito di aver innescato, in tutti i Paesi membri, uno sviluppo che, prima che tecnico ed ordinamentale, è soprattutto di natura culturale, dando vita ad un’architettura europea di cyber-security che rende concreti alcuni dei principi cardine attorno a cui ruota la Strategia nazionale in materia: approccio coordinato, aumento della consapevolezza, partnership pubblico-privato. Sull’onda dell’iniziativa europea, il sistema-Paese si sta dunque strutturando per essere più resiliente rispetto a minacce che già oggi insidiano la sicurezza nazionale e la crescita dell’Italia.
Il settore cyber sta conoscendo uno sviluppo rapidissimo. Quello che oggi serve al Paese per fare sistema è una strategia cibernetica comune e, in tal senso, sarà necessario individuare protocolli di cooperazione tra gli enti pubblici che fanno parte dell’architettura nazionale di cyber-security e gli operatori privati ai quali è affidata la gestione delle infrastrutture di rete maggiormente critiche e strategiche. Sarà importantissimo il dialogo con l’industria, cioè con quelle realtà del mondo produttivo che saranno capaci di innovare e sviluppare nuove tecnologie, hardware e software. E soprattutto occorre che maturi una maggiore consapevolezza della minaccia cibernetica e una diffusione della cultura della Difesa e della Sicurezza Nazionale, creando momenti di incontro, di dialogo, nonché esercitativi fra operatori del settore, anche in una prospettiva, quanto mai, internazionale.
“Non dobbiamo restare indietro”, e accontentarci di raggiungere la semplice “capacità di sopravvivenza” ad una aggressione cibernetica. Per prevenire, dobbiamo conoscere. Per questo motivo ritengo che occasioni come quella di oggi debbano ripetersi sempre più spesso in futuro, e debbano incontrare sempre il favore, il supporto ed il sostegno del governo.