In Regno Unito hanno delineato una strategia cyber chiara, in quattro punti, nove anni fa. Noi guardiamo ai benchmark europei, mentre dovremmo guardare prima agli interessi del nostro Paese e poi farli valere in Europa. L’analisi di Michele Colajanni, professore di sicurezza informatica presso il Dipartimento di Ingegneria “Enzo Ferrari” dell’Università di Modena e Reggio Emilia
Il genius saeculi del 2000 è digitale. Bello averlo visto nascere, preoccupante viverci. Il digitale è una rivoluzione continua, impetuosa, destinata a travolgere tutte le organizzazioni, mercati, ruoli. Abbiamo iniziato dai servizi e dai beni immateriali o resi immateriali, e abbiamo raggiunto il mondo fisico con l’Industria 4.0, le città e gli oggetti smart. Mentre completiamo la conquista di questi territori, stiamo già affrontando la frontiera del nostro corpo e delle nostre menti, con il malcelato segreto di integrare tutto. Alla guida, ci sono le grandi multinazionali digitali, non gli Stati.
L’uomo non si è mai trovato di fronte a una sfida così complessa, pervasiva, inarrestabile. Solo i folli e gli ignoranti possono sentirsi tranquilli, soprattutto perché allo sviluppo della società digitale non ha corrisposto un’analoga maturità della sicurezza informatica. Abbiamo creato una Ferrari e ci siamo volutamente dimenticati dell’impianto frenante. Del resto, chi desiderava investire sui freni nel meraviglioso parco giochi digitale che stavamo creando?
Informazione libera, app per tutti, giochi e servizi gratis o quasi, interconnessioni diffuse, tutti performer, video-maker, comunicatori. Scontiamo venticinque anni di ritardo, ma adesso il divario è evidente a tutti. Purtroppo, solo gli attacchi più gravi arrivano agli onori della cronaca nazionale e saremo sempre grati a Maurizio Molinari, primo direttore di giornale che ce lo ricorda, ma gli esperti del settore conoscono la caporetto dei bollettini di guerra. Eppure, perseveriamo negli errori di prospettiva.
Continuiamo a guardare alle minacce, mentre dovremmo focalizzarci sulle vulnerabilità che caratterizzano noi e quello che abbiamo creato. Ci sarebbero molte opportunità nella sicurezza by design dei nostri prodotti manifatturieri in cui potremmo diventare leader mondiali.
Guardiamo ai benchmark europei, mentre dovremmo guardare prima agli interessi del nostro Paese e poi farli valere in Europa, così come fanno tutti gli altri. Invidio l’Inghilterra non (solo) per i suoi centri di competenza e i finanziamenti in formazione e ricerca cyber, ma perché nel 2011 ha delineato con chiarezza la propria strategia Paese. “The UK Cyber Security Strategy: Protecting and promoting the UK in a digital world” è un documento snello, quattro obiettivi dichiarati e perseguiti, che partono dalla consapevolezza della realtà economica del Paese e dei loro interessi internazionali.
Certo, poi hanno scelto la Brexit, a dimostrazione che la perfezione non è di questo mondo. Francia, Inghilterra, Stati Uniti hanno priorità differenti dalle nostre. Israele è in guerra dal 1947. È impossibile confrontarci, ed errato provare a perseguire le stesse strade di chi ha fondamentali economici e interessi strategici differenti. La nostra posizione euro-atlantica, la nostra scelta democratica e la nostra costituzione non offensiva rimangono cardini. Il cyber è parte della strategia Paese e, mi si perdoni il riferimento, “della politica effettuata con altri mezzi”. Quindi dovremmo partire dalle nostre priorità, dai nostri princìpi, dai nostri punti di forza e di debolezza.
Abbiamo una società e una Pubblica amministrazione digitalmente arretrata, da quartultimi nell’indice Desi (Digital Economy and Society Index). C’è da partire dai fondamentali, ed è bene che l’Agid, il Ministro dell’Innovazione e il Mise lo ribadiscano. Ad esempio, siamo un Paese turistico, ma subiamo un’incredibile concorrenza da parte del commercio elettronico. Si può fare di meglio per promuovere e tutelare.
Viceversa, con tutti gli scongiuri possibili, è bene ricordare che siamo stati l’unico grande Paese non coinvolto in atti terroristici di matrice islamica. Partiamo dal dare atto alle nostre forze dell’ordine, dell’intelligence e della difesa che sanno operare bene e con la discrezione che si conviene a certe attività. Qui c’è da potenziare, non da rifondare.
Siamo un Paese manifatturiero e del design. Progettiamo, realizziamo ed esportiamo ovunque. Le nostre idee, le nostre aziende, le nostre infrastrutture critiche devono essere tutelate con la massima priorità, magari aiutandole se non riescono a raggiungere un livello di sicurezza adeguato ai parametri europei che hanno ben altra maturità. Non è tempo di sanzioni che, nel terribile periodo della nostra economia, andrebbero sospese immediatamente. È tempo di incentivare la creazione di prodotti sicuri by design per la nostra società e per i loro clienti. C’è e ci sarà un vasto mercato. Considerando che il nostro Paese produce tra i migliori hacker etici del mondo e tra le migliori manifatture, potremmo creare sconfinate opportunità in casa, prima che i nostri giovani vengano valorizzati da altri.
Più il digitale diventa pervasivo più ci saranno problemi di sicurezza che andrebbero affrontati prioritariamente dal lato delle vulnerabilità, non delle imperscrutabili e sfuggenti minacce internazionali. Non è il nostro ruolo nello scenario politico internazionale, almeno non per ora. Sappiamo che per la prevenzione cyber servirebbero molte più attività sotto copertura in ambiti “dark” a fini preventivi, e anche più capacità offensive, ma la nostra sensibilità politica è differente.
Non abbiamo risorse analoghe a quelle dei nostri grandi alleati, ma soprattutto non abbiamo le stesse Leggi. A partire dalle cosiddette “garanzie funzionali” che in ambito cyber –possiamo dirlo? – sono inadeguate a fronteggiare le minacce odierne. Quindi, il primo passo è capire chi siamo, da quale livello di maturità partiamo e dove vogliamo e possiamo andare. Bastano tre-quattro strategie chiare, raggiungibili, “all’inglese”, che possano operare a due livelli: verticalizzare le competenze cyber a livello tecnico e manageriale ove necessario e possibile; estendere le competenze cyber fondamentali a tutte, ma proprio tutte le organizzazioni e aziende, a partire da quelle più critiche.
Evitando i soliti errori: troppi obiettivi, obiettivi irraggiungibili rispetto alla scarsa maturità, mancata definizione dei ruoli. La tanto auspicata “pioggia” che cadrà sul nostro deserto digitale verrà dispersa in mille rivoli se non sapremo individuare responsabilità chiare a livello politico, strategico e operativo, con chiari indicatori di successo di ciascuna organizzazione che avrà l’onere e l’onore di presidiare lo spazio cyber a tutela degli interessi Paese.