Intervista esclusiva con il direttore dell’Agenzia per la cybersicurezza nazionale. “È ora di pensare a percorsi di formazione al cyber più veloci di quelli tradizionali e utilizzare tecnologie come l’intelligenza artificiale per ridurre il carico di lavoro”. Parlando di 5G: Golden power, Cvcn e Perimetro “assicurano una elevata capacità di monitoraggio nel settore critico delle reti mobili di nuova generazione”. Sul ransomware afferma: “È sempre sbagliato pagare un riscatto”
L’Agenzia per la cybersicurezza nazionale continua a crescere mentre lavora su diversi dossier, dal Pnrr al 5G, dagli appalti alla resilienza. Tanto che serve una nuova sede? “C’è un’ipotesi trasferimento, che stiamo valutando”, dice Bruno Frattasi, direttore generale dell’Agenzia per la cybersicurezza nazionale, in questa intervista esclusiva con Formiche.net.
Come procede l’implementazione del Pnrr per quanto riguarda gli investimenti seguiti dall’Agenzia per la cybersicurezza nazionale?
Utilizzando i fondi del Pnrr, 623 milioni di euro totali, di cui ne abbiamo impegnati circa la metà, abbiamo già raggiunto i primi obiettivi relativi: ai servizi nazionali di cybersecurity; all’avvio della rete dei laboratori di screening e certificazione; all’attivazione di un’unità centrale di audit per le misure di sicurezza previste dalla normativa sul Perimetro di sicurezza nazionale cibernetica (Psnc) e dalla direttiva Nis; al potenziamento delle strutture di sicurezza. Entro dicembre 2024, queste azioni arriveranno a conclusione con diverse iniziative come, per esempio, il sostegno al potenziamento delle strutture di sicurezza T2, il dispiego integrale dei servizi nazionali di cybersecurity, il completamento della rete dei laboratori e dei centri di valutazione e certificazione della cybersecurity, nonché la piena operatività dell’unità di audit per le misure di sicurezza Psnc e Nis con il completamento di almeno 30 ispezioni.
All’interno dell’Agenzia per la cybersicurezza nazionale si trova il Centro di valutazione e certificazione nazionale, piattaforma rivolta ai soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica per le forniture di beni, sistemi e servizi Ict. Come assicurare sicurezza e tempestività assieme?
Il Cvcn è attivo dal 1° luglio 2022 e ha già ricevuto diverse centinaia di notifiche da parte dei soggetti inclusi nel Perimetro. La procedura per lo scrutinio tecnologico dei prodotti oggetto di notifica è stata studiata per ridurre al minimo l’impatto sui processi di acquisto effettuati dai soggetti interessati. Le analisi preliminari che vengono svolte nella prima fase della procedura, prima ancora che si avvii il processo formale di gara e acquisto (in particolare, l’analisi del rischio), permettono di calibrare correttamente il tipo e la severità dei test da condurre sulle forniture successivamente selezionate. Il tema dei tempi richiesti per la valutazione e la gestione di situazioni particolari – quali emergenze, guasti, contratti quadro con fornitura non perfettamente definita etc. – è stato affrontato in numerose interlocuzioni attivate dalle parti coinvolte. Le analisi condotte e le soluzioni elaborate sono pubblicate all’interno del portale del Cvcn, nell’apposita sezione delle Faq, la cui consultazione è riservata ai soggetti del Perimetro. Una volta consolidati i processi di valutazione e certificazione, inclusa la partecipazione attiva dei Laboratori di prova in fase di accreditamento, sarà possibile un affinamento delle procedure sotto il profilo tecnico e organizzativo, come previsto dalla normativa, per migliorarne ulteriormente l’efficacia e l’efficienza. In sintesi, il bilanciamento tra i tempi necessari per garantire un adeguato scrutinio di sicurezza per le forniture IT e la tempestività dei processi impiegati, è sempre stato elemento cardine per la regolamentazione del Cvcn e per il suo mandato.
Parlando di 5G e dei fornitori extra-Ue, crede che il Perimetro di sicurezza nazionale cibernetica e il Centro di valutazione e certificazione nazionale siano sufficienti ad assicurare la sicurezza del Paese e a rassicurare i nostri alleati e partner?
Perimetro e Cvcn non sono gli unici strumenti disponibili in materia. La normativa Golden Power (D.L. 21 del 15 marzo 2012) è quella che si può definire un presidio primario. Il Golden Power è infatti un potere speciale che il governo può esercitare per bloccare, o sottoporre a vincoli, operazioni riguardanti asset considerati strategici, qualora sussistano minacce di grave pregiudizio per gli interessi essenziali della difesa e della sicurezza nazionale – compresi i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G – anche con riferimento ai settori dell’energia, dei trasporti, delle comunicazioni e in quelli ad alta intensità tecnologica. In tale contesto, le valutazioni effettuate dal Gruppo di coordinamento Golden Power (tavolo cui l’Agenzia per la cybersicurezza nazionale partecipa per le materie di competenza), in uno con le speciali misure organizzative e tecniche previste per i soggetti del Perimetro e le attività di scrutinio in capo al Cvcn, assicurano una elevata capacità di monitoraggio nel settore critico delle reti mobili di nuova generazione.
Nelle scorse settimane lei ha dichiarato che si deve “correre” per aumentare il personale dell’Agenzia per la cybersicurezza nazionale fino a 300 unità. A che punto siete?
Siamo arrivati a 180 unità di personale in servizio. Sono abbastanza fiducioso che entro la fine dell’anno arriveremo alle 300 unità previste. A breve comincerà lo scrutinio di 60 giovani diplomati che hanno superato una prima selezione. Tra di loro ci sono tecnici di laboratorio, esperti di hardware e software.
L’Italia è in grado di fornire i talenti necessari?
L’Italia si sta impegnando per farlo e tuttavia con l’attuale ritmo dell’innovazione tecnologica rischiamo di rimanere sempre indietro rispetto alle necessità dell’industria e della Pubblica amministrazione. Forse è ora di pensare a percorsi di formazione al cyber più veloci di quelli tradizionali per preparare i giovani che vogliono lavorare nel settore. Ma è anche ora di utilizzare tecnologie avanzate, penso all’intelligenza artificiale, in grado di ridurre il carico di lavoro per gli esperti umani che in tal modo potranno dedicarsi ad attività più creative e analitiche.
A proposito, state cercando una nuova sede per contenere tutte le 300 unità, che entro il 2027 dovranno diventare 800?
C’è un’ipotesi trasferimento, che stiamo valutando.
Nel nuovo Codice appalti è entrata per la prima volta la cybersicurezza. Perché è un passo avanti importante?
Ci aiuterà a far capire che la cybersicurezza è un investimento sul futuro e non solo un costo. È facile dire che bisogna pensare alla cybersecurity by design, ossia in fase di progettazione, ma per farlo occorre investire.
Sono passati più di 15 mesi dall’inizio dell’invasione russa dell’Ucraina che ha avuto ripercussioni anche nel cyber-spazio. L’Italia è ancora nel mirino degli hacker russi o legati alla Russia?
L’Italia è stata bersagliata da gruppi di hacktivisti filorussi in concomitanza con alcuni momenti delicati della situazione internazionale. Si è trattato di alcuni attacchi DDoS che non hanno impensierito più di tanto i soggetti colpiti, anche se sono stati usati dagli hacktivisti per fare propaganda a fini di coesione interna.
Se quella russa è la prima minaccia statuale all’Italia nel cyber-spazio, quali sono le altre?
Non userei parole tanto nette. Sono diversi i Paesi che utilizzano nation-state hacker per conseguire i propri obiettivi di propaganda, disinformazione e sabotaggio. Alcuni li usano per rubare segreti militari e industriali. Spesso questi “hacker statali” sono lasciati liberi di fare scorribande di tipo finanziario, e viceversa è accaduto che criminali informatici siano stati reclutati per azioni di carattere politico, ideologico o semplicemente dimostrativo. Gli APT, le minacce persistenti avanzate, e i paramilitari cibernetici, parlano farsi, cinese, coreano, spagnolo e inglese, e non è mai facile ricondurli a singoli governi. L’attribuzione è sempre la parte più complessa da operare in caso di attacco cibernetico anche a causa delle false flag, i depistaggi, per intenderci.
Recentemente lei ha parlato di cyber-attacchi “invisibili”, individuabili se non con molto ritardo o frutto di una certa riluttanza a dire di essere attaccati per timore di un danno reputazionale. Come contrastare questo fenomeno?
È molto importante notificare un evento cibernetico quando si verifica. Lo dice la legge. Ma è anche importante creare una cultura in cui la qualità di un’organizzazione venga valutata a partire da come gestisce la risposta a un attacco e non dal fatto che ne è rimasta vittima. La reputazione dipende grandemente dalla capacità di comunicare con i propri stakeholder in maniera chiara a trasparente.
Nelle scorse settimane, l’Insurance Council of Australia, l’organizzazione che unisce gli assicuratori australiani, si è detta contraria all’imposizione di un divieto assoluto di pagare riscatti nei casi di ransomware. Che ne pensa?
È sempre sbagliato pagare un riscatto, vale nel mondo analogico e vale ancora di più nel mondo digitale. Anzitutto non esiste la certezza di potersi liberare dal ransomware una volta pagato il riscatto, inoltre, i proventi di questi crimini vengono spesso reinvestiti dai delinquenti per azioni più efferate e, in aggiunta, inducono fenomeni imitativi nell’underground criminale. Anche negli Usa c’è un forte dibattito su questo tema, ma mi sembra di poter dire che la linea sia già tracciata: non si scende a patti coi criminali.