Il 5G, la rete mobile ultraveloce di nuova generazione al centro dello scontro globale tra Stati Uniti e Cina, “farà esplodere l’utilizzo dell’Internet of things e dei big data all’interno della società”, con la possibilità di “veicolare un enorme e sempre crescente volume di dati, anche sensibili, la cui riservatezza, integrità e disponibilità vanno tutelati”, tanto più perché questa architettura “presenta rischi” non trascurabili, “come accessi non autorizzati, vulnerabilità delle diverse partizione di rete, intercettazione del traffico, possibili conflitti nella gestione della banda assegnata a ciascuna tipologia di traffico”.
A elencare, ai parlamentari della commissione Trasporti della Camera, i pericoli che accompagnano il cambiamento tecnologico e la digitalizzazione in atto è stato oggi Gennaro Vecchione, direttore generale del Dipartimento delle Informazioni per la Sicurezza della presidenza del Consiglio dei ministri, il Dis, l’organo che coordina le attività delle due agenzie di intelligence Aisi (sicurezza interna) e Aise (sicurezza esterna).
L’AUDIZIONE DI VECCHIONE
Sentito nell’ambito dell’indagine conoscitiva sulle nuove tecnologie delle telecomunicazioni condotta dalla commissione – e accompagnato per l’occasione dal vicedirettore vicario del Dis Enrico Savio e dal vicedirettore del Dis con delega alla cyber security Roberto Baldoni, anch’essi intervenuti nel corso dell’audizione, Vecchione ha messo in chiaro la posta in gioco per i cittadini e le imprese.
“Ben presto”, ha sottolineato il prefetto – gli oggetti saranno perennemente connessi a Internet e diventeranno possibili punti di accesso di minacce alla sicurezza nazionale”. Uno scenario che “incrementerà” ancor di più “le vulnerabilità delle infrastrutture di rete, soprattutto se i produttori e i fornitori di questi dispositivi e servizi privilegeranno l’abbattimento dei costi rispetto alle funzionalità di sicurezza”.
Inoltre, ha aggiunto, “la possibilità di avere macchinari industriali o biomedicali facilmente operabili via internet apre la strada a possibili sabotaggi e attacchi hacker”.
LO SCENARIO
Negli Usa la Casa Bianca ha inserito il colosso cinese Huawei in una “lista nera” del dipartimento del Commercio, e ha a più riprese avvisato i Paesi partner che l’eventuale utilizzo di tecnologia di Pechino per lo sviluppo del 5G potrebbe influire sulla capacità americana di condividere informazioni di intelligence con gli alleati. Washington teme che i giganti tech cinesi possano diventare strumenti di spionaggio della Repubblica Popolare, anche in virtù di una legge sull’intelligence che obbliga le aziende della Repubblica popolare a collaborare con il proprio Paese. Inoltre, la rete 5G comporterà notevoli cambiamenti, connetterà una vasta moltitudine di dispositivi e per velocità supererà in prospettiva di 100 volte quella attuale delle reti 4G. Per gli Usa sarebbe quindi un rischio dare alla Cina l’ipotetica possibilità di poter “spegnere” infrastrutture strategiche o l’erogazione di servizi. Accodandosi a Washington, alcuni Paesi hanno escluso le aziende cinesi delle loro reti 5G. Finora l’Italia non l’ha fatto, ma il governo – sull’onda degli allarmi – ha proceduto all’istituzione di un nuovo Centro di valutazione e certificazione presso il Mise e all’estensione del Golden power, novità ricordate anche da Vecchione nel suo intervento.
IL RUOLO DELLA CINA
Rispondendo a una specifica domanda sugli alert americani circa i possibili pericoli derivanti da un coinvolgimento di aziende cinesi come Huawei nelle nuove reti, ma anche sulla discussa firma del memorandum d’intesa sulla via della Seta con la Cina (che includeva anche le telco), Vecchione ha rassicurato i deputati: “Abbiamo seguito direttamente questa fase di supporto all’azione del Governo e possiamo assicurare che non si è mai trattato di un accordo politico, né di messa in discussione dell’appartenenza alla Nato, all’Unione europea, all’Ocse né alle altre organizzazioni occidentali. Abbiamo traguardato tutti gli accordi commerci sotto il profilo dell’intelligence e abbiamo proposto delle modifiche che sono state accolte. Ci siamo assicurati che in sede di firma gli accordi realizzassero queste misure minime di sicurezza. Si tratta di accordi commerciali che non hanno un impatto sulla sicurezza nazionale se non in maniera marginale”. Tuttavia non ha escluso rischi – né sulle reti future né tantomeno su quelle attuali – che secondo il direttore del Dis andranno mitigati con le misure prima menzionate.
LA RISPOSTA
Ad ogni modo, per rispondere a queste nuove esigenze di sicurezza, per Vecchione occorrono “sinergie istituzionali, senza confusioni e con grande chiarezza di attribuzioni e responsabilità, intervenendo, laddove necessario, con opportune iniziative legislative”, basate anche su proposte dell’intelligence, come la creazione di uno speciale perimentro nazionale di sicurezza, che dovrebbe includere le realtà più critiche elevando ulteriormente gli standard della direttiva europea Nis.
C’è però, ancora, molto lavoro da fare. Sotto il profilo della sicurezza cibernetica, ha rimarcato il direttore del Dis, “manca la consapevolezza”, per questo il dipartimento avvierà a breve “una campagna di sensibilizzazione verso le aziende, soprattutto verso le Pmi”.
NEL PROSSIMO FUTURO
Spazio anche per alcuni aggiornamenti tecnici, legati sempre al tema cyber. “Lo Csirt (Computer Security Incident Response Team)”, ha spiegato Vecchione, “sarà assegnato al Dis con un semplice decreto del presidente del Consiglio. Questo sarà il modo per superare il sistema dei due poli, del Cert Pa e del Cert nazionale, attribuendo ad un solo soggetto la responsabilità. Per farlo basta un dpcm e stiamo lavorando affinché in sede di conversione del decreto Sicurezza bis questo possa avvenire”. L’emendamento, che verrà presentato al decreto Sicurezza Bis, “se approvato dal Parlamento, prevederà la successiva emissione di decreti da parte del presidente del Consiglio dei ministri, tra cui l’attribuzione definitiva al Dis di questa funzione”.
CONSAPEVOLEZZA E SICUREZZA
Riguardo all’identificazione degli Ose (gli Operatori di servizi essenziali, sottoposti a specifici obblighi in materia di sicurezza cibernetica), il vicedirettore cyber Roberto Baldoni ha raccontato che “a gennaio ne sono identificati 455” (destinati a incrementare). “Stiamo portando avanti, insieme alle 5 Autorità Nis, le linee guida di sicurezza cibernetica che dovranno essere adottate dagli Ose. Riguardo ques’ultimo punto siamo in via di conclusione e dovremo riuscire a farcela per la fine di giugno. Questo significa che gli Ose avranno quattro mesi per mettersi in regola dopo di che partiranno le ispezioni”. Baldoni ha anche evidenziato come l’Italia sia nel gruppo di testa nella implemetazione della direttiva Nis per la sicurezza cibernetica degli stati membri dell’Ue. Rispetto alle linee guida cyber, il professore ha fatto sapere che 3 delle 5 autorità Nis le approveranno entro fine giugno, mentre “per i ministeri della Sanità e dell’Ambiente avremo le linee guida ma queste dovranno essere approvate a cascata anche dalla Conferenza Stato-Regioni, il che vorrà dire un altro po’ di tempo”.
Poi Baldoni ha evidenziato un’altra criticità e che cosa si sta facendo per affrontarla. “Nel momento in cui le aziende rilasciano i propri dati su cloud è chiaro che c’è un problema: dal un lato le imprese possono non essere consapevoli del valore dei dati, dall’altro possono non aver chiaro i rischi che corrono. Da questo punto di vista stiamo puntando alla realizzazione di un algoritmo di cifratura nazionale come elemento propedeutico per realizzare un cloud di tipo nazionale, per permettere ad alcune organizzazioni di mettere i loro dati in luoghi sicuri”.
Il vicedirettore vicario del Dis, Enrico Savio, ha ricordato invece le varie attività compiute dal Comparto intelligence per accrescere il livello di consapevolezza tra le imprese (col tavolo tecnico nato 5 anni fa, molto efficiente nel rapporto con le grosse realtà ma da allargare a un maggiore numero di Pmi) e cittadini, studenti delle scuole medie, delle superiori e delle università, ma anche i più piccoli, per i quali è stato pensato il videogioco Cybersecurity Chronicles.
