Dalle opportunità poste dal Pnrr al Centro di valutazione e certificazione nazionale, dalla sicurezza della nostra Pa alla costruzione di una autonomia strategica nazionale nel campo delle tecnologie proprietarie e del know-how, quanto è cyber-resiliente il nostro Paese e quali sono i prossimi passi da compiere? L’intervista di Airpress ad Emanuele Galtieri, amministratore delegato di Cy4Gate
Fornire moduli di cyber intelligence, integrati in un’unica suite con le più recenti tecnologie e supportata da dedicati algoritmi di intelligenza artificiale, a servizio della sicurezza informatica del nostro Paese. Non è solo il contenuto del contratto, del valore di quasi un milione e mezzo di euro, con cui Cy4Gate si è impegnata a fornire il proprio contributo all’architettura di cyber security nazionale, ma è anche l’obiettivo di fondo del gruppo per fornire soluzioni che agevolino le decisioni di scurezza in un contesto cyber sempre più critico. Delle vulnerabilità e punti di forza del sistema italiano di cyber security, Airpress ne ha parlato con Emanuele Galtieri, amministratore delegato di Cy4Gate.
Il nostro Paese sta investendo molto nel mettere in sicurezza le proprie reti informatiche, anche attraverso il Pnrr. Un’esigenza resa più evidente dal conflitto in Ucraina. Le misure messe in campo sono sufficienti?
Le sfide per l’Italia sono enormi e il gap da colmare è elevato se si pensa che il nostro Paese si colloca tra le nazioni Europee a più basso tasso di digitalizzazione e sicurezza. Per affrontare le richiamate sfide sarà di conseguenza necessario investire rilevanti risorse non solo da parte delle aziende ma anche e soprattutto da parte degli attori istituzionali. Senz’altro possiamo affermare che i decreti e provvedimenti sul tema, che negli ultimi mesi sono stati emanati dal Governo, vadano proprio nella direzione di un pieno e forte supporto al tema del cyber, facendo finalmente scorgere anche all’industria nazionale una luce in fondo al tunnel.
E per quanto riguarda i fondi?
Al di là degli strumenti normativi di cui il Paese si sta dotando, sul tema cyber emerge chiaro, altresì, lo sforzo nel destinare risorse finanziarie per il soddisfacimento di bisogni specifici. In questo caso faccio espresso riferimento alla previsione di riservare una quota percentuale degli investimenti nazionali lordi annui pari all’1,2% per il conseguimento dell’autonomia tecnologica e per l’innalzamento dei livelli di cyber-sicurezza dei sistemi informativi nazionali. Inoltre, ai finanziamenti provenienti dai programmi “Orizzonte Europa” (95.5 miliardi dal 2021 al 2027) ed “Europa digitale” (7.5 miliardi per lo stesso arco temporale) che l’Agenzia per la cybersicurezza nazionale (Acn) sarà chiamata a gestire in quanto Centro nazionale di coordinamento. E infine al noto strumento strategico del Pnrr che tra il 2021 e il 2026 rilascerà 623 milioni di euro (attribuiti all’Acn quale soggetto attuatore), prevedendo la realizzazione di specifiche progettualità per la creazione e lo sviluppo di prodotti e servizi all’avanguardia per la gestione del rischio cyber. Certamente questi fondi non saranno sufficienti ad allineare nel breve termine l’Italia alle migliori best practice europee e mondiali, ma segnano un deciso passo in avanti sulla strada verso l’ammodernamento e la messa in sicurezza delle infrastrutture IT e OT del Paese.
A inizio mese è stato attivato presso l’Agenzia per la cybersicurezza nazionale il Centro di valutazione e certificazione nazionale, un altro pilastro del perimetro di sicurezza cibernetica. Che vantaggi può creare questa nuova entità?
La costituzione e attivazione del Centro di valutazione e certificazione nazionale (Cvcn) nella struttura dell’Acn rappresenta un tassello fondamentale per la realizzazione della mission istituzionale a cui è chiamata l’Agenzia, cioè incrementare il livello di cyber-resilience del Paese potenziando la capacità di difesa cibernetica. Il Cvcn, normato dal D.L. 82/2021, va in particolare a rafforzare e rendere effettivo il cosiddetto Perimetro di sicurezza nazionale cibernetica, quel “perimetro” rappresentato da tutte quelle istituzioni e aziende che, con decreto della Presidenza del consiglio, sono state inserite nel novero delle “infrastrutture critiche” nazionali: trattasi di quelle entità da cui dipende la prestazione di un servizio essenziale o l’esercizio di una funzione essenziale dello Stato. Spetterà infatti al Cvcn, tra le molteplici attribuzioni, assicurare altresì che gli enti ricompresi nel perimetro si dotino di tecnologie e prodotti che rispondano a specifici criteri di sicurezza cibernetica, tali da garantire elevati standard di resilienza agli attacchi. E sarà sempre lo stesso Centro a dover rilasciare certificazioni sulla sicurezza cibernetica, in base ai migliori standard esistenti o elaborandone di propri, laddove quelli in essere risultassero inadeguati. Guardo, pertanto, con estremo favore l’avvio delle attività del Cvcn che sarà di grande supporto nel rafforzamento dello “scudo cibernetico” sul perimetro e che contribuirà in maniera determinante ad accrescere il know-how nazionale sulla capacità di valutare le tecnologie di questo dominio specialistico.
Quanto è sicura la nostra PA dal punto di vista cibernetico?
Le ultime rilevazioni ufficiali contenute nella Relazione annuale sulla politica dell’informazione per la sicurezza redatta dalla Presidenza del consiglio evidenziano come, anche nel corso del 2021, gli attacchi cyber abbiano continuato a interessare prevalentemente le infrastrutture informatiche della Pubblica amministrazione (69%, sebbene in diminuzione di 14 punti percentuali rispetto al 2020). Le attività malevole aventi come target la PA hanno riguardato perlopiù Amministrazioni centrali dello Stato (56%, in aumento del 18% rispetto all’anno 2020), infrastrutture IT degli enti locali e strutture sanitarie (queste ultime per un complessivo 30% sul totale del 69%). Il resto degli attacchi (il 31% sul totale) ha interessato invece soggetti privati. Da questo quadro emerge come la nostra PA sia l’obiettivo privilegiato di threat actors nazionali e internazionali; e, purtroppo, allo stato attuale le istituzioni pubbliche non posseggono ancora le competenze e tecnologie necessarie a fronteggiare adeguatamente le minacce – in particolare di nuova generazione – che si presentano con sempre maggiore intensità e sofisticazione e in modo particolarmente subdolo.
In questo quadro si inserisce il contratto stretto da Cy4Gate con un cliente pubblico nazionale. Quali sono gli obiettivi dell’accordo?
Il contratto, dal valore di circa 1,4 milioni di euro e dalla durata di un anno, mira a fornire una strutturata capacità di decision intelligence all’amministrazione acquirente, per analisi di big data tramite l’impiego di algoritmi di Intelligenza artificiale necessari a trasformare i dati in pregiati insights che permettono agli operatori di ottenere informazioni per realizzare – tra l’altro – un quadro di dettaglio sulle emergenti minacce e sulle possibili modalità di reazione al fine di evitare che un potenziale attacco cyber possa essere portato a compimento e per limitarne la portata qualora vada a buon fine. Il progetto permetterà di acquisire rilevante know-how all’azienda e affinare ulteriormente gli algoritmi proprietari di Intelligenza artificiale sviluppati dal proprio Centro di eccellenza, costituito nell’ambito della struttura di Ingegneria; si tratta di algoritmi che potranno essere impiegati anche su altri prodotti e applicazioni proprietari.
Elemento importante è la costruzione di una autonomia strategica nazionale nel campo delle tecnologie proprietarie e del know-how…
L’autonomia strategica nazionale rappresenta uno dei key-pillars della “Strategia nazionale di cybersicurezza 2022-2026” recentemente approvata dal Governo. Il menzionato documento strategico, infatti, ha individuato tre obiettivi fondamentali da perseguire: protezione, risposta e sviluppo. Proprio con l’obiettivo “sviluppo”, il Paese intende dare una risposta all’emergente bisogno di maturare a livello nazionale ed europeo la capacità di creare delle idonee tecnologie digitali, implementare attività di ricerca avanzata e stimolare la competitività industriale affinché si possa essere in grado di rispondere alle nuove esigenze di un mercato effervescente e in continua evoluzione. È intenzione del Governo, pertanto, ridurre la dipendenza da tecnologie straniere, attraverso l’avvio di dedicate progettualità da realizzarsi anche grazie al ricorso a finanziamenti nazionali ed europei che consentiranno la crescita e il consolidamento di un’industria cyber competitiva e indipendente.
Qual è, in questo senso, la strategia di Cy4gate?
Cy4Gate, sin dalla sua fondazione nel 2014, ha fatto dell’autonomia tecnologica il proprio cavallo di battaglia, sempre guidata da una chiara vision: essere un’azienda prodotto-centrica con l’obiettivo di evolvere verso un centro di competenza nazionale su temi cyber, affermandosi come cyber software house a 360 gradi, capace di sviluppare prodotti e tecnologie proprietarie in grado di indirizzare i bisogni emergenti e fornire tecnologie e servizi abilitanti ad elevato grado di sicurezza, avendo particolare riguardo alle infrastrutture critiche digitali nazionali che rientrano nel Perimetro di sicurezza nazionale cibernetica. In questo percorso di maturazione tecnologica, l’azienda privilegia costantemente le attività di ricerca e sviluppo, non solo allocando annualmente risorse importanti per gli specifici investimenti, ma anche favorendo l’osmosi con partner industriali, con istituzioni del mondo accademico e della ricerca e supportando l’avvio di progetti e partnership pubblico-private nel dominio della cyber-sicurezza, con un mindset da “incubatore” di idee e iniziative che si possano tramutare in prodotti o nuove funzionalità da integrare nell’offerta esistente al servizio del Paese.