Un’Agenzia, un Centro e un Istituto di ricerca. La proposta di nuova architettura cyber di Rocco De Nicola (Centro di Competenza in Cybersecurity Toscano e Imt Scuola Alti Studi Lucca) e Paolo Prinetto (Laboratorio Nazionale di Cybersecurity del Cini e Politecnico di Torino)
In un recente articolo su queste stesse pagine, il collega professor Michele Colajanni giustamente sottolineava i commenti entusiastici agli interventi dell’Autorità delegata alla sicurezza nazionale, prefetto Franco Gabrielli, nei quali ha dichiarato che “è arrivato il tempo di creare un’agenzia che tratti in maniera olistica il tema della sicurezza cibernetica. Dobbiamo affrancarci da una modalità emergenziale”.
Non si può non essere d’accordo con queste affermazioni che arrivano a valle dell’ampio dibattito recentemente sviluppatosi nelle aule parlamentari e sui giornali in relazione alla creazione di un Istituto italiano di cybersecurity (Iic). La Fondazione che era stata inizialmente ipotizzata per la sua attivazione e gestione prevedeva, in termini di governance, un ruolo significativo da parte dei ministeri membri del Cisr e, pur ipotizzando la possibilità di coinvolgere soggetti privati, garantiva una maggioranza “pubblica” a tutti i livelli. Nel dibattito che ne è seguito nessuno ha messo in discussione la necessità di istituire un istituto nazionale che si occupasse di sicurezza informatica, ma ognuno aveva in mente ruoli, funzioni e governance diverse. Su questo il prefetto Gabrielli ha fatto chiarezza e ha riproposto mercoledì, nella sua audizione al Copasir, l’attivazione di un’Agenzia “che tratti in maniera olistica la sicurezza cibernetica e l’accrescimento culturale in questo settore”. L’Agenzia dovrà essere “incardinata presso la Presidenza del Consiglio, ma fuori dal comparto intelligence, perché quest’ultima si occupa di un aspetto, ma non della complessità della resilienza”.
Siamo sicuramente d’accordo su questo e sulla necessità di affrontare il tema della cybersecurity in modo complessivo, pensando non solo alla difesa delle infrastrutture critiche e degli asset nazionali, ma anche all’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e allo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, in una cornice di sicurezza e di conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica.
In questo contesto riteniamo siano ben tre le realtà da prendere in considerazione nella realizzazione della futura architettura nazionale: tre realtà in linea di principio diverse, ciascuna con una sua peculiarità e un suo ruolo distinto e preciso, e più specificamente: Agenzia per la cybersecurity; Centro italiano di cybersecurity; Istituto italiano di ricerca in cybersecurity.
Nel seguito proviamo a ipotizzare ruoli, funzioni e compiti specifici per ciascuna di queste entità, sottolineando però sin da subito come esse debbano necessariamente essere, in un’ottica di sicurezza nazionale, strettamente interconnesse e poste sotto il diretto controllo della costituenda Agenzia.
L’Agenzia per la cybersecurity deve avere una chiara e definita mission e una governance tecnica, in grado di rispondere, in modo tempestivo ed efficiente, alle esigenze del sistema Paese; autonoma, ma alle dirette dipendenze del Presidente del Consiglio, in qualche modo “ancorata” al Cisr e fuori dal comparto sicurezza. L’Agenzia potrebbe anche essere incaricata di indirizzare e controllare gli auspicati investimenti che deriveranno dal Recovery fund e dovrebbe anche ricomprendere al suo interno il Computer security incident response team (Csirt) nazionale e il Centro di valutazione e certificazione nazionale (Cvcn). Potrebbe poi avere, tra l’altro, anche il mandato di gestire dei “registri” nazionali, analoghi al Cwe (Common weakness enumeration – lista di tipologie di debolezze software e hardware alimentate dalle comunità) e al Cve (Common vulnerabilities and exposures – dizionario di vulnerabilità e falle di sicurezza note pubblicamente) mantenuti dalla Mitre Corporation e finanziati dal dpartimento della Sicurezza interna degli Stati Uniti.
Il Centro italiano di cybersecurity dovrà essere il punto di riferimento nazionale per il centro europeo e fungere da centro stella per i centri regionali (quale per esempio il C3T, Centro di competenza in cybersecurity toscano) e quelli “verticali” che potrebbero a loro volta gestire Csirt territoriali e tematici. Anche il Centro deve essere strettamente pubblico e posto sotto il diretto controllo dell’Agenzia. A nostro parere non avrebbe senso che fosse allocato presso qualche ministero specifico, dovendosi esso coordinare e interfacciarsi con ministeri diversi.
L’Istituto italiano di ricerca in cybersecurity deve avere come compito principale la ricerca avanzata e lo sviluppo di architetture, applicazioni e azioni di varia natura di respiro nazionale. Esso dovrebbe essere di supporto all’Agenzia, predisponendo raccomandazioni e standard, ricevendo per questo parte dei finanziamenti pubblici, ma deve essere soprattutto un laboratorio di ricerca e sviluppo sulla cybersecurity che, in uno stesso contesto fisico, metta in relazione il mondo della ricerca accademica, quello dello sviluppo industriale e quello degli stakeholder pubblici. In questo contesto, l’Istituto dovrà essere in grado di offrire un contesto di ampia condivisione e con spirito precompetitivo e permettere di valutare e validare le innovazioni internazionali nel settore, definendo, ove possibile, nuove metodologie e tecnologie, in un ambiente di ricerca innovativo e all’avanguardia.
Ci permettiamo, in chiusura, di sottolineare l’importanza del ruolo che il Dis ha saputo giocare in questi ultimi tre anni nella progettazione e nella realizzazione dell’architettura nazionale di cybersecurity, incrementando la resilienza del Paese. Senza una struttura operativa come quella che è stata attivata presso il Dis e che ha dovuto e saputo farsi carico in prima persona di rispondere alle sfide cyber e affrontare le crisi provocate dagli attacchi cibernetici al Sistema Paese, siamo convinti che non ci troveremmo, oggi, nelle condizioni di ipotizzare la creazione di un’Agenzia in grado di gestire e controllare in modo adeguato ed efficiente le altre strutture a essa strettamente correlate.