Rafforzare le attività di indirizzo e controllo dell’Acn, prevedere l’introduzione di servizi di sicurezza avanzati e tecnologie e soluzioni di cybersecurity “made in Italy”. I consigli di Gerardo Costabile, presidente di IISFA – Associazione italiana Digital Forensics
Nelle ultime settimane, come noto, la cybersecurity italiana (e l’Agenzia per la cybersicurezza nazionale) sta vivendo pressioni a seguito di numerosi casi – non tutti recenti – di violazione dei sistemi, dossieraggio, trattamento illecito dei dati, poca efficacia delle misure e molto altro ancora. Il confine tra digitale e analogico si è molto assottigliato e si è fatta anche confusione, non oggi ma da tempo, tra la cybersecurity e la sicurezza delle informazioni.
Ciò detto, la famiglia professionale, abituata a gestire momenti di crisi e incidenti, sono certo che possa reagire anche a questo, imparando dai propri errori e mettendo in campo quello che cerca di trasferire alle altre professionalità: la resilienza. È il momento di passare dalla teoria alla pratica. Oggi è necessario ripartire nuovamente per rafforzare la postura del sistema-paese, con l’Agenzia per la cybersicurezza nazionale quale coordinatore e attore di alcune progettualità chiave ma all’interno di un sistema più ampio e federato.
Una nuova ripartenza si potrebbe basare almeno su tre pilastri fondamentali, che potrebbero essere implementati per garantire un futuro più sicuro per il Paese.
Il primo pilastro potrebbe prevedere il rafforzamento delle attività di indirizzo e controllo dell’Agenzia per la cybersicurezza nazionale. Questo potrebbe includere la definizione di standard (vincolanti) di sicurezza più elevati per le organizzazioni italiane pubbliche e private, lo sviluppo di linee guida e policy per la gestione dei rischi e, cosa che è più mancata come emerso di recente, azioni di controllo e audit per garantire la conformità alle norme di sicurezza.
L’Agenzia per la cybersicurezza nazionale, secondo gli addetti ai lavori, dovrebbe quindi investire di più su due ambiti in particolare. Per la parte di indirizzo, ci si aspetterebbe un maggiore rigore e indicazione di requisiti minimi di sicurezza per le infrastrutture di rete, di sistema, per le applicazioni e i servizi online, norme per la gestione degli incidenti di sicurezza e altro ancora. Questo non solo per quanto presente nel perimetro di sicurezza nazionale, ma anche per tutto il resto, vero tallone d’Achille di molte organizzazioni. Per la parte di controllo, invece, una delle attività più importanti del primo pilastro potrebbe essere l’implementazione di azioni di controllo e audit per garantire la conformità alle norme di sicurezza, meglio ancora se indicate dalla stessa Agenzia. Queste azioni potrebbero includere verifiche periodiche della conformità alle norme di sicurezza, audit delle infrastrutture di rete e di sistema, verifiche della gestione dei dati, valutazioni della sicurezza delle applicazioni e dei servizi online e altro ancora.
Un aspetto fondamentale e integrante del primo pilastro potrebbe essere il rafforzamento del già esistente Computer Security Incident Response Team (Csirt) italiano. Esso potrebbe essere dotato di maggiori azioni operative e strumenti per rispondere tempestivamente alle minacce di cybersecurity. Inoltre, potrebbe essere in grado di fornire supporto tecnico e consulenza alle organizzazioni italiane, nonché di coordinare le risposte alle minacce di cybersecurity a livello nazionale.
Il secondo pilastro potrebbe prevedere l’introduzione di servizi di sicurezza avanzati, quali gestione operativa e monitoraggio. L’Agenzia per la cybersicurezza nazionale non è e non può diventare un fornitore o un security operation center della pubblica amministrazione. Essa ha un ruolo fondamentale nella strategia di cybersecurity nazionale, ma il suo compito principale è quello di fornire indirizzo e coordinamento alle attività di cybersecurity – certamente ancora da rafforzare –, non di fornire servizi di sicurezza in modo diretto. Pertanto, sarebbe più opportuno organizzare una società ad hoc o utilizzare quelle già esistenti per rafforzare la loro offerta di cybersecurity verso la pubblica amministrazione. Questi servizi potrebbero essere implementati, quindi, tramite società a partecipazione pubblica, esistenti o da costituire, sul modello del Polo strategico nazionale per il cloud della pubblica amministrazione. L’utilizzo di società a partecipazione pubblica per fornire servizi di sicurezza avanzati potrebbe avere diversi vantaggi, tra cui una maggiore efficienza ed efficacia nella gestione delle attività di sicurezza, maggiore flessibilità e adattabilità alle esigenze delle organizzazioni italiane, possibilità di creare economie di scala e avere, non da ultimo, un maggiore presidio delle istituzioni sulla qualità e non solo sugli utili di fine anno.
Il terzo pilastro potrebbe ruotare intorno a un forte impegno nell’attività di ricerca e sviluppo, in linea per esempio con il punto 49 della Strategia nazionale di cybersicurezza 2022-2026 proposta dalla stessa Agenzia e approvata da Palazzo Chigi. Tale azione, ancora tutta da definire, potrebbe aiutare lo sviluppo di nuove tecnologie e soluzioni di cybersecurity “made in Italy”, portando alla creazione di un centro di eccellenza per progetti di cybersecurity nazionale, per supportare anche la pubblica amministrazione e le società a partecipazione pubblica nelle fasi di consulenza e progettazione. Vari i modelli di ispirazione, partendo da quelli più vicini quali, per esempio, Lorca (UK), il Campus Cyber (Francia) o il Fraunhofer SIT (Germania).
Intorno a questo progetto potrebbero nascere nuove idee, ma anche far crescere e rafforzare le competenze di cybersecurity. L’elemento delle competenze e professionalità è un punto delicato e debole della nostra infrastruttura nazionale. Mancano le dovute competenza ma ancora di più manca il cosiddetto middle management, quella spina dorsale tra alta dirigenza e supertecnici operativi del settore. Un progetto di questo tipo, oltre quanto già accennato, potrebbe aiutare a raccogliere le forze nazionali in una modalità più neutra e di scambio pubblico-privato-ricerca.
Questi spunti, certamente da approfondire nelle dovute sedi, insieme ad altre suggestioni degli addetti ai lavori, ritengo possano aiutare in un nuovo approccio, più pragmatico ed efficace per la cybersecurity in particolare – ma non solo – della pubblica amministrazione, oltre che promuovere la crescita economica del paese nel settore.
