Ecco la prima relazione annuale dell’Agenzia cyber

Se da una parte “è sicuramente cresciuta l’attenzione dell’opinione pubblica verso incidenti e attacchi di varia origine e intensità, dall’altra la piena consapevolezza dei rischi cyber – specie se comparata al livello di pervasività che le tecnologie dell’informazione hanno raggiunto nella nostra vita quotidiana – è di là da venire”. Lo scrive il prefetto Bruno Frattasi, che a marzo ha assunto la direzione dell’Agenzia per la cybersicurezza nazionale nella Relazione annuale al Parlamento 2022 dello stesso organrismo. Il contesto geopolitico di policrisi e in cui l’accesso alle tecnologie contribuisce a determinare la gerarchia internazionale continuerà, si legge ancora, “a condizionare la sicurezza delle catene di approvvigionamento e influenzare i livelli di rischio cibernetico”. Per questo, assicurare che lo spazio cibernetico sicuro e resiliente è “elemento irrinunciabile per la crescita economica, il benessere della popolazione e la tenuta dei valori democratici”, continua il direttore. Serve consapevolezza, come ha spiegato il direttore in una recente intervista a Formiche.net: una necessità che ha indicato la via per il nuovo sito dell’Agenzia stessa.

LE PAROLE DI MANTOVANO

La salvaguardia degli interessi nazionali nello spazio cibernetico “è accompagnata da un processo di trasformazione digitale, influenzato anche dalla comparsa di nuove tecnologie, tutte bisognose di cautele operative”, evidenzia nella prefazione Alfredo Mantovano, Autorità delegata per la sicurezza della Repubblica. Per questo, “il necessario adeguamento ai continui mutamenti che l’ambiente impone non va disgiunto da un’azione programmatica di lungo termine, che sostenga lo sviluppo di capacità tecnologiche nazionali all’interno di un ecosistema virtuoso, anche ai fini del perseguimento di un’autonomia strategica di settore”, scrive ancora il sottosegretario.

LA PRIMA RELAZIONE

Il 2022 è stato di fatto il primo anno di piena operatività dell’Agenzia per la cybersicurezza, nata a metà 2021 con il governo Draghi (Autorità delegata era il prefetto Franco Gabrielli) e sotto la direzione del professor Roberto Baldoni. Nel secondo semestre dell’anno è stato avviato il vero e proprio processo di pianificazione strategica per il triennio 2023-2025, si legge nella relazione di 140 pagine. Nel corso del 2023, invece, in linea anche con la Strategia nazionale di cybersicurezza 2022-2026 , si concluderà la fase di definizione degli obiettivi strategici e delle relative linee d’azione, che riguardano i diversi ambiti di intervento dell’Agenzia. Il 2022 è stato anche l’anno di avvio del Centro di valutazione e certificazione nazionale: nei primi sei mesi di attività, ha gestito 63 procedimenti scaturiti da altrettante comunicazioni di affidamento da parte dei soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica. Dal punto di vista finanziario, al termine del 2022 sono stati registrati introiti per complessivi 104.048.942 di euro, spiega il documento: a bilancio ci sono l’anticipo del 10 per cento del finanziamento di 623 milioni di euro a valere sui fondi del Pnrr e 41 milioni di finanziamento ordinario dello Stato.

I NEOASSUNTI

Dei 57 neoassunti a seguito di concorso pubblico (48) e di vacancy (9), per la quasi totalità in possesso di competenze tecniche cyber, il 92% proviene dall’ambito privato e della ricerca e un significativo 11% rientra da posizioni lavorative all’estero. Quest’ultimo dato, spiega il documento, va correlato alla percentuale di domande effettuate per i concorsi e le vacancy da parte di appartenenti alla PA, che risulta essere di poco inferiore al 30%. Due anni fa, quando il governo Draghi preparava la legge istitutiva dell’Agenzia, su Formiche.net scrivevamo: “Particolare attenzione viene posta sui talenti italiani, con sforzi per scongiurare fughe all’estero o che il pubblico rimanga indietro. Ecco perché è previsto che i contratti siano equiparati a quelli della Banca d’Italia”.

LA GUERRA IN UCRAINA

Nel 2022, con l’invasione russa dell’Ucraina, l’attività di natura operativa dell’Agenzia “si è intensificata, e ciò ha determinato una crescita delle comunicazioni verso i soggetti della constituency”, si legge. Nel periodo compreso tra il 26 febbraio e il 29 marzo 2022 sono state inviate circa 19.500 comunicazioni dirette prevalentemente a soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica. In altri due periodi – i giorni del 17 e 18 maggio 2022 e il 28 giugno 2022 (con i leader G7 riuniti in Germania) – sono state inviate circa 1.000 comunicazioni aventi rispettivamente ad oggetto l’individuazione di attività di preparazione ad attacchi Distribuited Denial of Service (DDoS) contro soggetti nazionali e attacchi DDoS ai danni di organizzazioni europee. In questo contesto, spiega ancora la relazione, sono stati condivisi elementi informativi tecnici “al fine di sensibilizzare la constituency relativamente a possibili attacchi di tipo DDoS” la cui incidenza “straordinaria”, osservata a maggio 2022, “lasciava ipotizzare che detti attacchi, nell’ambito di un conflitto ibrido, potessero essere una conseguenza del sostegno italiano all’Ucraina in ambito Ue e Nato”.

GLI ATTACCHI RANSOMWARE

Nel 2022 il ransomware si è confermato tra le minacce più impattanti, recita la relazione. Sono stati 130 gli eventi ransomware in danno a Pubbliche amministrazioni e operatori privati osservati dall’Agenzia. Che però precisa: è “solo una parte del numero complessivo di attacchi ransomware effettivamente avvenuti, poiché in taluni casi le vittime – specie se appartenenti al tessuto produttivo delle Piccole Medie Imprese, spesso sprovviste di know-how e strutture interne dedicate – sono inclini a non segnalare l’evento, gestendolo in autonomia”. Nell’82% dei casi le vittime appartengono al settore privato, a fronte di un rimanente 18% di vittime appartenenti alla Pubblica amministrazione. Per quanto attiene alla dimensione aziendale dei soggetti privati colpiti, il 31% degli eventi ransomware ha interessato grandi imprese, il 28% ha visto coinvolte medie imprese, mentre il restante 41% ha riguardato le piccole imprese. Classificando le vittime in base ai settori di attività economica, emerge come il settore manifatturiero sia stato il più colpito, seguito da quello tecnologico, dal retail e dal settore sanitario. Da un punto di vista geografico, le zone più interessate dal fenomeno corrispondono alle grandi aree metropolitane di Roma, Milano, Torino e ai distretti manifatturieri del Nord Ovest e Nord Est. “Tale contesto è presumibilmente determinato dalla maggiore presenza, in tali zone, di imprese operanti nel settore manifatturiero”, spiega il documento.

I RAPPORTI INTERNAZIONALI

La cooperazione internazionale e il posizionamento nelle organizzazioni intergovernative di cui fa parte l’Italia sono elementi essenziali per il rafforzamento della cybersicurezza del Paese, si legge. Sono cruciali, infatti, per “amplificare la conoscenza di minacce e vulnerabilità, attraverso lo scambio informativo che avviene sia a livello bilaterale, sia all’interno di reti di Csirt”. Ma anche per la “definizione delle policy e degli atti normativi che avranno un impatto sul territorio nazionale”. Evento importante del 2022 per l’Agenzia per a cybersicurezza nazionale è stata la Nato Cyber Defence Pledge Conference 2022 di novembre. Un’occasione per discutere cosa “fare di più per renderci più resistenti”, aveva spiegato David van Weel, assistente segretario generale della Nato per le sfide emergenti in materia di sicurezza, in un’intervista con Formiche.net. Nel 2022 l’Agenzia ha svolto cinque missioni internazionali di vertice (Bruxelles, due volte negli Stati Uniti, Israele, Canada), 19 incontri bilaterali con rappresentanti di autorità di cybersecurity estere o rappresentanti governativi e quattro meeting con rappresentanti di organizzazioni intergovernative.

L’AUTONOMIA STRATEGICA E IL CLOUD

Il raggiungimento di un’autonomia strategica è non solo uno dei compiti dell’Agenzia ma anche uno degli obiettivi della Strategia dell’Unione europea in materia di cybersicurezza per il decennio digitale a livello europeo, ricorda la relazione. Tra le misure c’è la Strategia Cloud Italia: da settembre l’Agenzia è subentrata all’Agenzia per l’Italia digitale nella qualificazione dei servizi cloud per la Pubblica amministrazione secondo il processo definito dal regolamento “Cloud per la PA”.

IL LAVORO SUL GOLDEN POWER

Nel 2022 l’Agenzia ha fornito supporto tecnico nella fase istruttoria di 64 notifiche Golden Power, di cui 16 relative a tecnologia 5G. Come ricorda la relazione, la disciplina dei poteri speciali sui servizi 5G è cambiata l’anno scorso: l’oggetto delle notifiche riguarda ora piani annuali di sviluppo, e non singole acquisizioni di componenti specifici. Ciò ha prodotto un ridotto numero di notifiche ma anche “una maggiore complessità delle stesse”. Con riferimento ai casi trattati dall’Agenzia, in sette occasioni il Governo ha esercitato i poteri speciali nella forma di prescrizioni, che l’Agenzia ha contribuito a redigere, per gli aspetti di propria competenza, insieme all’amministrazione referente e alle altre amministrazioni del Gruppo di coordinamento, mentre in un caso è stato esercitato il potere di veto.

GLI OBIETTIVI PER IL 2023