Combattere il ransomware, garantire la risposta del Paese davanti agli attacchi cibernetici, formare una nuova generazione di esperti nella sicurezza digitale. La nuova intervista di Technopolicy alla vice direttrice dell’Agenzia per la Cybersicurezza Nazionale, Nunzia Ciardi. Che racconta come è iniziata la sua carriera nella Polizia
________________
Clicca qui per vedere l’episodio integrale su Business+, la tv on demand
Clicca qui per ascoltare il podcast
________________
Technopolicy, il podcast di Formiche.net
All’incrocio tra tech e politica, tra innovazione e relazioni internazionali, tra digitale e regolazione, abbiamo deciso di creare un nuovo “contenitore”, Technopolicy.
Ogni settimana incontrerò esperti, accademici, manager, giuristi, per discutere di un tema specifico e attuale. Ciascuno di questi incontri diventerà un video su Business+, la nuova piattaforma tv on demand; un podcast su Spreaker, Spotify, Apple e gli altri canali audio; un articolo su Formiche.net. Perché ognuno ha il suo mezzo preferito per informarsi e a noi interessa la sostanza e non la forma. Gli episodi sono stati scritti e prodotti insieme a Eleonora Russo.
________________
Technopolicy – Nunzia Ciardi, Come cambia la cybersecurity italiana
La cyber sicurezza è oggi uno dei capitoli di spesa più importanti all’interno del nostro Pnrr. Quasi tutti i giorni su quotidiani, social network e documenti istituzionali compaiono termini come “cyberwar”, “ransomware” e “infrastrutture critiche”. Un settore in costante evoluzione, che richiede tecnologie, nuove competenze e formazione per recuperare terreno. A gestire questa partita oggi c’è l’Agenzia per la Cybersicurezza Nazionale. Con la vice direttrice Nunzia Ciardi abbiamo parlato dell’operatività di questa nuova istituzione, nata nel 2021. Ma anche del suo contributo nella prevenzione degli attacchi online e nel rispondere alla carenza di competenze in ambito tecnologico.
Ci racconta il suo percorso professionale?
Dopo la laurea in Giurisprudenza mio padre mi disse che era uscito un bando per il concorso da funzionario di Polizia, cosa che a me a dire la verità non interessava molto. Ma come spesso accade nella vita ci si ritrova a fare qualcosa per puro caso e, inaspettatamente, ci si appassiona profondamente. Entrai così in Polizia, una realtà che offre l’opportunità di confrontarsi con una grande varietà di percorsi professionali. Nel 2009 sono approdata alla Polizia Postale, cioè quel segmento che si occupa di crimine cyber. Era un’area del tutto nuova, così come nuove a quel tempo erano l’idea di società digitale e di crimine digitale.
Durante la mia permanenza ne ho diretto alcuni uffici, tra cui quello di Roma fino a dirigere tutta la Polizia Postale nazionale, per cinque anni. E’ stata un’esperienza entusiasmante perché riguardava un mondo che si andava modellando giorno per giorno. Ho potuto comprendere cosa significa lo sviluppo convulso dei fenomeni digitali e quanto la sicurezza online rappresenti il tema dei nostri anni. La vita di oggi si sviluppa seguendo una trama che è digitale e, molto spesso, non comprendiamo quanto la sicurezza digitale sia di fatto la sicurezza delle nostre vite. Quando è nata l’Agenzia per la Cybersicurezza Nazionale (Acn) ho accettato questa sfida perché la trovo di primaria importanza per il Paese.
Oggi l’Acn è l’avamposto della sicurezza digitale italiana. Un ruolo che prima della sua costituzione era “distribuito” tra diverse istituzioni. Ci spiega che cos’è e quali sono le competenze dell’Agenzia?
Per sua stessa definizione, l’Agenzia rappresenta nel suo complesso la sicurezza cyber del nostro Paese. E’ un organo molto giovane, nato pochi mesi fa, ed è senz’altro il prodotto di un salto culturale che si colloca in un affresco preesistente. Sebbene infatti l’Agenzia sia nata in ritardo rispetto a quanto fatto in altri Paesi europei, come Francia e Germania, è stata istituita a partire da un quadro già definito. Perché la sicurezza digitale è un tema trasversale che tocca tanti aspetti organizzativi della sicurezza, con una serie di realtà che ne gestivano i vari profili critici. Ho parlato della mia esperienza in Polizia Postale, il settore che per ragioni storiche ha la competenza più radicata nel contrasto al cybercrime e nella Cyber Investigation.
Ma queste attività, per alcuni aspetti, erano svolte anche dall’Intelligence che ha svolto una funzione di supplenza. L’Agenzia nasce come spin-off dell’Intelligence, che conserva invece quelle competenze “naturali” come la Cyber Difesa. L’Acn pone l’accento su un tema specifico: la resilienza del Paese, riconoscendo il ruolo strategico della prevenzione nel percorso di transizione digitale del Paese. L’ecosistema digitale è qualcosa di estremamente vulnerabile che ha bisogno di cure e interventi perché l’investigazione da sola non basta.
Con la rete che ha travolto ogni confine spazio-temporale, determinare l’individuazione dell’attacco e dell’attaccante è molto complesso. Per questo la determinazione del rischio e dei pericoli online va alimentata su con resilienza. E l’Acn si occupa di tutto questo attraverso diversi organi interni all’agenzia stessa. Tra questi Csirt Italia, il centro che si occupa del monitoraggio, prevenzione e supporto nella remediation di incidenti informatici e il Cvcn, centro di valutazione e certificazione nazionale.
Inoltre l’Agenzia, in qualità di autorità delegata alla sicurezza cibernetica, fornisce supporto al Presidente del Consiglio, si occupa di formazione e diffusione di consapevolezza cyber, di crescita delle professionalità del settore. Fa quindi crescere nel nostro Paese la cultura della cybersicurezza. E’ anche in costante collegamento con il Centro europeo di Bucarest, uno degli enzimi per potenziare l’indipendenza tecnologica europea. Tra le competenze dell’Acn c’è anche il potenziamento della ricerca in ambito cyber: attraverso il monitoraggio dei principali fenomeni che interessano la rete, vuole essere un vettore per gli investimenti in ricerca. E anche questo, se vogliamo, è resilienza. E la resilienza ha tante facce. Per questo l’Agenzia cerca di essere in prima linea su tutte queste dimensioni.
Parliamo ora di formazione. Oggi, non solo in Italia, c’è una grandissima richiesta di competenze in ambito tecnologico, anche per la carenza di programmi specifici finalizzati all’inserimento professionale. Uno dei compiti dell’Acn in effetti è proprio quello di contribuire alla formazione e all’aggiornamento delle professionalità di questo settore. Quali sono i principali progetti che avete messo in campo?
La formazione è un tema fondamentale, non a caso è una delle competenze dell’Agenzia. Nel settore della tecnologia ci troviamo di fronte ad un grande deficit di professionalità. E questo non riguarda solo l’Italia ma l’intero contesto, perché la rivoluzione tecnologica è avvenuta in un tempo relativamente breve con una portata che è più antropologica e culturale che tecnica.
In uno scenario in costante mutamento, la metabolizzazione da parte delle società di questi fenomeni non ha potuto svilupparsi con i tempi naturali necessari e ha impattato profondamente sulle professionalità del settore. Per contribuire ad ovviare questa difficolta, l’ambizione dell’Agenzia è quella di stimolare la crescita professionale dei giovani nel settore delle tencologie per poter assicurare al mercato figure con competenze chiave e, al contempo, indirizzare quei tanti giovani disorientati per la difficoltà di trovare un lavoro.
Questo lo si può fare solo offrendo una visione, una prospettiva. La carenza di professionalità, inoltre, riguarda sia il settore pubblico sia il privato. Recentemente abbiamo concluso un accordo con la regione Lazio che istituisce una scuola post diploma per fornire una preparazione in ambito tecnologico. La nostra attività nel campo della formazione include rapporti costanti con l’università e con le istituzioni pubbliche per organizzare corsi di preparazione e aggiornamento anche a livello di pubblica amministrazione, sia a livello di vertici sia di funzionari.
Sicuramente è fondamentale spingersi fino all’orientamento dei giovani nelle scuole superiori per offrire ai ragazzi un’idea concreta di cosa significa avere un expertise in questo campo e quali sono i tanti sbocchi professionali che il mercato offre. Altra questione molto importante è ridurre quel drammatico divario di genere che continua ancora ad interessare anche la tecnologia.
Lo scorso anno c’è stato un caso diventato paradigmatico, cioè l’attacco ransomware al Ced e ai servizi informatici della Regione Lazio in piena emergenza sanitaria. Questa categoria di attacchi, in particolare, comprende l’installazione di malware e programmi informatici per ottenere il controllo dei portali o la sottrazione di dati e informazioni cruciali per l’organizzazione vittima in cambio di un vantaggio economico. Sia essa un’istituzione o una grande azienda. Come si fa a combattere il ransomware?
Ho seguito questo aspetto nella mia precedente vita professionale oltre che in questa e posso dire che il ransomware è oggi una delle minacce in assoluto più insidiose che sono configurabili in ambito digitale. Si tratta di un fenomeno che ha avuto una crescita enorme: secondo alcune statistiche quasi il 35% degli attacchi di oggi è costituito da ransomware. La pericolosità è data dal fatto che rende indisponibili le informazioni detenute cifrandone i dati in cambio di un riscatto. Ma non è tutto. Oggi abbiamo registrato un’evoluzione del ransomware che consiste nel rendere pubblici i dati per ottenere un vantaggio economico facendo leva sulla reputazione.
Questo aspetto si realizza ad esempio travasando i dati in rete sul Dark web per vendere le informazioni affinché vengano utilizzate per commettere altri crimini. Anche perché in rete non si butta via niente. Le aziende, di fronte a queste minacce, sono sottoposte a una pressione psicologica molto forte perché rendere pubblico un attacco informatico significa una grave perdita in termini reputazionali ed economici. E in questi casi l’interesse a tenere nascosti gli attacchi ransomware per evitare che vengano diffuse informazioni cruciali per l’organizzazione è tale da arrivare ad accettare di pagare somme molto ingenti.
Ma questo sistema finisce con il foraggiare ulteriormente una criminalità informatica agguerritissima. Durante le mie esperienze professionali ho notato che gli investimenti in sicurezza informatica avvengono quasi sempre a valle di un attacco. Ecco, questo oggi non deve più accadere. Perché una delle prime armi per combattere il ransomware è l’investimento in misure di prevenzione e di aggiornamento che consentono di blindare i portali delle organizzazione. Anche perché ad attacco avvenuto il danno diventa di difficile attribuzione, specialmente se il raggiro informatico proviene dall’estero e da Paesi che non collaborano. La soluzione è prevenire e investire investire in sicurezza. Questo è il tema del nostro tempo.
Ci consiglia qualcuno da leggere o da seguire?
“Etica dell’Intelligenza Artificiale” di Luciano Floridi, una riflessione secondo me molto importante sull’AI che in realtà affronta un ragionamento generale sulla digitalizzazione. C’è poi il libro di Carlo Rovelli “Helgoland” sulla fisica quantistica, un ambito che sembra lontano dalla conversazione di oggi ma che in realtà si può applicare all’universo cyber.