Dopo il varo dell’Agenzia per la cybersicurezza nazionale, sono almeno tre gli aspetti da implementare per assicurare al Paese piena resilienza: normativi, strutturali e sul fronte del rafforzamento dei controlli. Il commento di Pasquale Preziosa, presidente dell’Osservatorio Sicurezza dell’Eurispes, già capo di Stato maggiore dell’Aeronautica militare
La nuova Agenzia per la cybersicurezza nazionale ha preso le prime sembianze istituzionali. L’Agenzia non poteva far parte dei servizi segreti, il cui focus è rivolto prevalentemente alle crisi regionali, alle minacce all’economia nazionale, all’eversione e gli estremismi, alla minaccia ibrida, al terrorismo jihadista, all’immigrazione clandestina, alla criminalità organizzata, alla minaccia cibernetica ed altro.
Purtroppo, il nostro Paese continua ad essere al quinto posto in Europa per il numero degli attacchi informatici. L’Agenzia, quando a regime, completerà la resilienza nazionale già definita con l’istituzione del Perimetro cibernetico di sicurezza nazionale, con l’obiettivo dichiarato di accrescere la promozione della cultura della sicurezza cibernetica, attraverso un’ampia autonomia normativa, amministrativa, patrimoniale, organizzativa, contabile e finanziaria.
L’istituzione dell’Agenzia non sarà l’ultima modifica strutturale per la protezione informatica del nostro Paese, perché sarà necessario potenziare urgentemente il settore della prevenzione cibernetica non attuabile, al momento, con il quadro normativo in vigore.
Il dominio cyber, insieme agli altri domini consolidatisi nel tempo, sottende la competizione strategica in atto e rappresenta lo strumento indispensabile per poter essere rilevanti nel nuovo ordine mondiale. Viene impiegato sia da organismi statuali sia non statuali, ed è uno strumento pervasivo, silenzioso, quasi sconosciuto nella parte deep e dark, in grado di incrementare di molto le prestazioni nel settore di applicazione come pure di poterlo distruggere. Come tutti i domini ha bisogno dei pilastri organizzativi per poter operare ovvero la policy, la strategia e la tattica.
Se l’obiettivo di policy è rappresentato dalla mitigazione del rischio per la Sicurezza cibernetica di un ente, la strategia avrà il compito di allineare tutti i mezzi a disposizione (normativi, finanziari, strumentali e di capitale umano) per abbassare il rischio che attacchi cibernetici possano degradare l’efficienza e l’efficacia dell’ente. Il punto di partenza in ogni dominio è la conoscenza di chi è interessato a noi e con quali scopi e quali possibili mezzi, è la conoscenza che consente la migliore preparazione dei mezzi di contrasto della minaccia anche cibernetica.
In altri termini, dobbiamo avere la cosiddetta “situational awareness (SA)” per il nostro campo di interesse informatico, momento per momento aggiornato, ovvero essere in grado di produrre analisi “Intelligence Cyber”, dobbiamo avere la capacità di prevenire un attacco informatico, un eventuale sabotaggio lanciato contro le nostre capacità produttive.
Il mondo cibernetico statuale non nostrano ha già creato strumenti di offesa (cyber bomb e traps) per arrecare danni irrimediabili agli avversari. La cyber war è già in atto sia tra gli Stati sia nel campo privato. Non la possiamo controllare solo con l’apparato giudiziario, le cui investigazioni sono già molto complesse nel campo reale, ma nel campo cibernetico diventano impossibili per la difficoltà di “attribution” dell’attacco subito.
Un attacco informatico mirato può portare al fallimento delle aziende. Se anche le cripto valute (settore non ancora normato) sono state, di recente, prese di mira con un grosso colpo da 600 milioni di dollari (Poly Network), nessuno può ritenersi immune dalla possibilità di subire attacchi informatici. Senza una solida capacità di prevenzione dei crimini informatici e senza una struttura di verifica delle vulnerabilità delle reti informatiche, i livelli di rischio per la Nazione saranno elevatissimi con impatti importanti sui livelli di Sicurezza nazionale.
L’intelligence cyber non è una esclusiva del campo pubblico, con la caduta del muro di Berlino si è allargata al settore privato ed è alla base della competizione industriale in atto. La prevenzione degli attacchi informatici si basa sul cyber exploitation ed eventualmente il cyber attack, anche preventivo, attività che devono essere previste dalla Legge dello Stato per gli organismi autorizzati nello specifico settore. Già molti Stati hanno provveduto ad autorizzare le menzionate funzioni per le proprie agenzie di sicurezza. Il nostro Paese ha l’esigenza urgente di colmare questo vuoto normativo che non consente all’Intelligence cibernetica di esercitare la funzione preventiva (di conoscenza) attraverso il cyber exploitation, e questo spiega in parte perché siamo al quinto posto in Europa per la mole di attacchi cibernetici contro il nostro Paese e dobbiamo far ricorso ai Paesi alleati per conoscere la provenienza degli attacchi.
Nel mondo cibernetico dobbiamo tener presente che non esistono barriere etiche: tutti spiano tutti. Sul versante dei controlli, molto è stato già fatto dall’Agenzia per l’Italia Digitale ma non è ancora sufficiente. Le misure minime di sicurezza ICT pur organizzate su tre livelli, si basano prevalentemente sull’autocertificazione degli enti (Modulo di implementazione) purtroppo di non elevata efficacia. L’Agid prevede anche l’ABSC 4 ovvero la valutazione e correzione continua della vulnerabilità anche attraverso gli Stress Test. L’adozione con maggiore frequenza di verifiche da parte di terzi qualificati (White Hat) per i sistemi informatici potrà conferire una maggiore confidenza per le capacità di resilienza della rete.
Dopo il varo dell’Agenzia, per raggiungere la minima sufficienza e allinearci agli altri stati europei, sono quindi almeno tre gli aspetti da implementare: normativi, strutturali, in termini di Intelligence cyber e di rafforzamento di efficacia dei controlli.
