Il direttore generale dell’Agenzia per la cybersicurezza nazionale mette in guardia da fornitori che potrebbero avere forti legami o impegni nei confronti dei governi nazionali: “Se quei governi non sono del tutto affidabili, quando non apertamente ostili, potrebbero manipolare le componenti software inserendo backdoor o software bomb durante le fasi di produzione e manutenzione per essere successivamente sfruttate dagli aggressori”
Le crescenti dipendenze spingono il tema della “resilienza della catena di approvvigionamento” in cima all’agenda politica di molti Paesi. E “in uno scenario caratterizzato da crescenti tensioni geopolitiche, attacchi informatici in evoluzione e rischi di interruzione della catena di approvvigionamento, il ruolo di ogni funzionario di alto livello della sicurezza informatica di una nazione è quello di ottenere il meglio dalla rivoluzione digitale per la società – in termini di benessere e prosperità economica – riducendo al minimo sia il rischio di subire attacchi dirompenti sia il costo delle misure di sicurezza aggiuntive applicate”. A scriverlo è Roberto Baldoni, direttore generale dell’Agenzia per la cybersicurezza nazionale, in un editoriale pubblicato sull’International Journal of Critical Infrastructure Protection diretto dal professor Roberto Setola.
Per comprendere la complessità di questo scenario, scrive Baldoni, “si pensi a catene di approvvigionamento critiche/strategiche di componenti hardware (lo stesso vale per i componenti software), visto che il loro processo di sviluppo si appoggia anche a terze parti, cioè a sviluppatori esterni. Terze parti che potrebbero avere forti legami o impegni nei confronti dei governi nazionali. Se quei governi non sono del tutto affidabili – quando non apertamente ostili – potrebbero manipolare le componenti software inserendo backdoor o software bomb durante le fasi di produzione e manutenzione per essere successivamente sfruttate dagli aggressori”, spiega.
È proprio l’Agenzia per la cybersicurezza nazionale a essere chiamata a valutare, tramite il Centro di valutazione e certificazione nazionale, la sicurezza di beni, sistemi e servizi ICT (anche 5G) destinati a essere impiegati nel contesto del Perimetro di sicurezza nazionale cibernetica.
La definizione del modello di governance dei rischi tecnologici possono essere affrontate da due prospettive diverse ma complementari, sostiene ancora Baldoni: il perimetro dei dati coinvolti e il perimetro della tecnologia utilizzata. Ecco cosa scrive a tal proposito.
Per quanto riguarda il primo, potrebbe essere utile considerare i dati come una commodity e classificarli in base alla loro rilevanza/impatto per gli interessi essenziali di un certo Stato (o organizzazione). Se i dati sono di importanza “strategica”, devono essere conservati ed elaborati in un ambiente digitale indubbiamente sicuro e affidabile, costituito da server e sistemi di archiviazione fisicamente ubicati nel territorio nazionale, realizzati con la massima percentuale possibile di tecnologie nazionali, forniti da fornitori nazionali e disciplinati da norme nazionali. Se i dati sono “di una certa rilevanza”, le operazioni di trattamento dovrebbero basarsi su tecnologie e ambienti digitali affidabili, mentre il livello di “fiducia” dovrebbe essere valutato in base a criteri specifici e oggettivi. Infine, nel caso in cui i dati siano solo “ordinari”, qualsiasi soluzione tecnologica certificata potrebbe funzionare. Secondo questa prospettiva – basata sul criterio di classificazione proposto – è possibile raggiungere un compromesso equilibrato, soprattutto se si considera che solo l’8-10% dei dati complessivi potrebbe essere classificato come “strategico”. Questo è quanto è emerso dall’inventario nazionale dei dati posseduti da oltre 20.000 pubbliche amministrazioni che è stato recentemente realizzato dall’Agenzia per la cybersicurezza nazionale italiana nell’ambito dell’implementazione della Strategia per il Cloud nazionale.
Per quanto riguarda il perimetro della tecnologia impiegata, il quadro diventa ancora più chiaro. Quando, per esempio, sono in gioco comunicazioni tra alti funzionari governativi o informazioni su aree altamente sensibili, le tecnologie fidate (o nazionali) dovrebbero essere preferite a qualsiasi altra tecnologia per elaborare, trasmettere e archiviare i dati per motivi di sicurezza nazionale. Al contrario, quando è in gioco l’apertura del mercato digitale o sono coinvolte aree poco sensibili, qualsiasi tecnologia dotata di certificazioni tecniche adeguate potrebbe essere adatta allo scopo. Anche in questo caso, un compromesso abbastanza equilibrato non è impossibile da raggiungere, se si considera che le tecnologie da utilizzare da alti funzionari governativi o in aree altamente sensibili contano per una quantità limitata – anche se non irrilevante – delle tecnologie da impiegare in altri contesti.
