La cyber-security è uno sport di squadra che necessita di collaborazione e interdipendenza, interna ed estera, mentre la missione dell’Intelligence è salvaguardare strettamente e in prima battuta gli interessi nazionali. Forse, è arrivato il momento che il Dipartimento che è stato il cuore della cyber-security italiana faccia ora crescere la pianta da sola. Leonardo invece dovrebbe essere il regista naturale. L’analisi di Marco Braccioli, co-direttore Cybersec della Fondazione Icsa
Lentamente ma inesorabilmente, l’Europa sta costruendo una sua agenzia cyber. Il Centro di competenza europeo di Bucarest (Eccc) sarà infatti il centro-stella per le agenzie e gli Csirt nazionali. Da capire come dovrà poi interagire con l’Enisa, che è a tutti gli effetti l’Agenzia per la cyber-sicurezza europea, la quale ha ufficialmente lanciato “Cyclone” (Cyber crisis Liaison organisation network), la rete di risposta rapida alle crisi e agli incidenti cibernetici transfrontalieri su larga scala.
Gli obiettivi comuni da raggiungere sono chiari e condivisi: aumentare la resilienza digitale; costruire strumenti di diplomazia digitale lavorando sull’attribuzione di un eventuale attacco; migliorare la difesa digitale dalla criminalità e dai gruppi sponsorizzati di Stati avversari; avviare un loop positivo per la ricerca e l’innovazione anche in collaborazione con le industrie “cleared”; e incentivare la formazione e l’orientamento dei giovani e dei professionisti verso un “saper fare” digitale in materia cyber. Il tutto per un obiettivo preciso: rendere sicuro il cyber-spazio europeo, sviluppando una “capacità europea/Nato”, contrastare la criminalità digitale e sviluppare l’economia digitale continentale.
Tutti i centri di competenza europea dovranno per forza interpolarsi con il centro Eccc, quindi ogni Paese dovrà definire in fretta la postura con cui intende interagire in questa operazione di non facile realizzazione. Le recenti discussioni dovute all’atteggiamento cyber del nuovo governo porterebbero a pensare che l’integrazione con l’Europa anche in materia di cyber sia un “must”, che le competenze debbano essere integrate e compattate e non sparpagliate tra vari decisori istituzionali, attraverso un contenitore che possa costruire una policy adeguata potendo gestire in maniera integrata ogni aspetto del problema.
Il tema centrale è che l’Italia non ha una struttura integrata e aperta anche ai privati, alle industrie e agli Stati membri. La posizione italiana al momento è ibrida, essendo il Csirt posizionato all’interno del Dipartimento delle informazioni per la sicurezza (Dis), che ha il grande merito di averlo protetto e fatto crescere anche con il rispetto tecnologico internazionale, attraverso il contributo insostituibile del professor Baldoni (Nis e Nis2). L’ Eccc di Bucarest e la rete dei centri di competenza sarà finanziato con fondi nazionali e fondi europei (Digital Europe pari a 2 miliardi di euro e Horizon Europe per 2,8 miliardi di euro).
In realtà, quello a cui probabilmente dovremmo tendere è un agenzia tipo la Cisa (la Cybersecurity & infrastructure aecurity agency americana, per chi voglia approfondire, vale la pena una visita) che coopera fortemente non solo con lo Stato, ma anche con tutte le aziende americane tecnologicamente strategiche, a prescindere dalla dimensione.
Ma cerchiamo di capire in maniera eclettica quali sono i modelli dominanti in Europa che ruotano poi ognuno intorno ad alcuni campioni nazionali: Thales in Francia, BAE Systems nel Regno Unito (nonostante la Brexit), Rohde & Schwarz in Germania, Airbus e via dicendo.
In Francia, l’Anssi coordina la sicurezza informatica di tutto lo Stato. Ha al suo interno lo Csirt, e la struttura per la protezione delle infrastrutture critiche si occupa di prevenzione delle minacce informatiche, anticipazione, protezione, rilevamento, attribuzione e reazione informatiche. Risponde a due catene di comando, una assegnata al primo ministro, e l’altra al presidente della Repubblica. Presso la Difesa nascerà il “campus cyber”, destinato ad affrontare in modo “olistico” il tema. Forte sarà anche l’impegno nell’aggregare Pmi e startup del settore sotto i grandi alberi della tecnologia nazionale. Il fatto nuovo è che lo Stato deterrà il 49% delle quote della struttura lasciando ai privati la maggioranza. In più, la Francia è già al lavoro per una rete di “Cyber competence center” europei.
La missione di sicurezza informatica del Regno Unito è guidata dal National cyber security center (Ncsc), che fa parte di Gchq (Government communication head-quarter). Il centro aiuta a proteggere i servizi critici del Regno Unito dagli attacchi informatici, gestisce gli incidenti gravi e migliora la sicurezza sottostante di Internet attraverso miglioramenti tecnologici e consulenza a cittadini e organizzazioni. Supporta le organizzazioni più critiche nel Regno Unito, il settore pubblico più ampio, l’industria e le piccole e medie imprese. Quando si verificano incidenti, l’Ncsc fornisce una risposta efficace agli incidenti per ridurre al minimo i danni al Regno Unito, aiuta con il recupero e apprende lezioni per il futuro.
Nel 2016, il Regno Unito ha deciso di investire nella strategia di protezione cyber circa 1,9 miliardi di sterline in cinque anni, istituendo il Ncsc, autorità nazionale per la cyber-security. Nel 2018, il governo britannico ha anche varato una Cyber security export strategy (Cses) per valorizzare le competenze di eccellenza nel settore della, promuovere le società britanniche che offrono servizi e prodotti specifici all’estero e rafforzare le capacità di difesa nel paese e nelle nazioni alleate. Altre iniziative nel Regno Unito includono un sistema di voucher per piccole e medie imprese con fondi fino a cinquemila sterline per servizi di consulenza sulla sicurezza informatica e possibilità di formazione online, volti a rafforzare la sicurezza e resilienza delle Pmi.
La Germania nel 2020 ha varato la sua agenzia “Bundesamt für Sicherheit in der Informationstechnik” (Bsi, l’ufficio federale per la sicurezza informatica) per la cyber sicurezza, finanziata con 350 milioni di euro e dotata di molti ricercatori esperti nelle nuove tecnologie “disruptive”, al comando di un professore esperto di intelligenza artificiale. Il compito dell’agenzia è difendere con tecnologie proprie le infrastrutture critiche integrandosi al mondo industriale. Affiancata all’agenzia è stata costituita la Zitis, investimento importante e risorsa tecnologica al servizio di tutte le agenzie di sicurezza della Germania. Il governo vuole espanderne la forza lavoro a 400 unità entro il 2022. I compiti della nuova agenzia includeranno anche la “scienza forense digitale”, per sviluppare nuovi metodi per raccogliere prove provenienti da internet. Inoltre, la Zitis ricercherà ed elaborerà nuove strategie di sorveglianza delle telecomunicazioni per conto di altre agenzie.
Il quadro si completa con l’agenzia americana Cisa, già accennata. I suoi compiti principali sono: costruire la capacità nazionale di difendersi dagli attacchi informatici e collaborare con il governo federale per fornire strumenti di sicurezza informatica, servizi di risposta agli incidenti e capacità di valutazione per salvaguardare le reti “.gov” che supportano le operazioni essenziali dei dipartimenti e delle agenzie partner; coordinare gli sforzi per la sicurezza e la resilienza utilizzando partnership di fiducia nei settori pubblico e privato, e fornire assistenza tecnica e valutazioni alle parti interessate federali, nonché ai proprietari di infrastrutture e agli operatori a livello nazionale; fornire approfondimenti ed esami delle tecnologie emergenti per fissare la domanda di necessità future, sia nel breve che nel lungo termine.
All’interno di Cisa risiede il National risk management center (Nrmc), un centro di pianificazione, analisi e collaborazione che lavora per identificare e affrontare i rischi più significativi per le infrastrutture critiche della nazione. Lavora in stretto coordinamento con il settore privato e altri stakeholder-chiave nella comunità delle infrastrutture critiche per: identificare, analizzare e gestire i rischi di interruzione, corruzione o disfunzione di infrastrutture critiche pubbliche e private che avrebbero un impatto debilitante sulla sicurezza in generale, sulla sicurezza economica nazionale, sulla salute pubblica nazionale o sicurezza nazionale in qualsiasi combinazione.
In definitiva, ci sono molti modelli per definire una postura nazionale, che però non può più prescindere dalla collaborazione e integrazione europea, né dalla collaborazione pubblico-privata, con la scelta di un campione nazionale di riferimento che addensi intorno a sé le migliori risorse vitali cyber, anche nel mondo Pmi e starttup creando un ecosistema di cyber-economia.
Concentrare le competenze in un’unica agenzia che basti a sé stessa evitando overlap e doppioni di competenza, riportare alla presidenza del Consiglio la competenza e il controllo, e investire nella cyber-sicurezza vuol dire rendere il Paese più sicuro. E avere un Paese digitalmente sicuro è un must per gli investitori, italiani, europei e occidentali.
La cyber-security è uno sport di squadra che necessita di collaborazione e interdipendenza, interna ed estera, mentre la missione dell’Intelligence è salvaguardare strettamente e in prima battuta gli interessi nazionali. Forse, è arrivato il momento che il Dipartimento che è stato il cuore della cyber-security italiana faccia ora crescere la pianta da sola.
Leonardo invece dovrebbe essere il regista naturale, il nostro campione nazionale per supportare la nascente agenzia, purché regoli la propria supply chain in base al merito e si comporti da partner anche nei confronti delle Pmi e delle startup.
