Nell’era della digitalizzazione, sempre più in continua evoluzione, assume un rilievo fondamentale la certificazione di garanzia della sicurezza cibernetica dei prodotti tecnologici impiegati nelle diverse attività dalle aziende, sia pubbliche che private. Non è un elemento da sottovalutare, anche perché riguarda tante infrastrutture critiche che operano nell’ambito della sicurezza nazionale e che necessitano, soprattutto nella gestione dei dati sensibili, di un alto livello di controllo nell’utilizzo dei software e degli hardware in dotazione.

In questa prospettiva, la recente nascita del Centro di valutazione e certificazione nazionale (Cvcn), all’interno della neonata Agenzia per la cybersicurezza nazionale (Acn) guidata da Roberto Baldoni, con la pubblicazione in Gazzetta Ufficiale, a metà luglio 2022, di un decreto ad hoc, offre senza dubbio spazi significativi per migliorare la qualità dei dispositivi tecnologici utilizzati nel nostro Paese.

Il fatto, poi, che la certificazione applicata dall’Acn sia obbligatoria è rimarchevole, considerato che attualmente in Italia le infrastrutture critiche, come ad esempio quelle che operano nei campi delle telecomunicazioni, dell’energia, della Pubblica Amministrazione, nell’ambito dei servizi finanziari, cioè quelle che si occupano di settori strategici per lo sviluppo e la crescita del nostro welfare, sono poco più di 200.

Ma probabilmente ciò non basta e bisognerebbe estendere il perimetro (e quindi di conseguenza l’obbligatorietà della certificazione) anche ai fornitori chiave o alcuni ambiti attualmente non esplicitamente indicati nella lista.

L’altro aspetto chiave, inoltre, è andare più a fondo nell’accezione del perimetro per le società già in elenco. Come noto, infatti, le infrastrutture critiche hanno dichiarato in autovalutazione il perimetro di sicurezza cibernetica, di fatto creando – nella stessa azienda – un’area teoricamente più critica – quella dei servizi ritenuti “essenziali” – e un’altra con “meno” obblighi di sicurezza.

Non possiamo avere una sicurezza a livello informatico a due velocità, ma occorre lavorare su un unico binario per garantirla in maniera capillare e diffusa, sia dentro le stesse aziende del perimetro che nell’estensione di quest’ultimo, sia sul piano formale che sostanziale.

Si potranno opportunamente valutare livelli di adeguatezza differenziati, ma appare quanto meno opportuno stabilire, anche per i servizi “non essenziali” sul piano del perimetro di sicurezza nazionale, delle aspettative sui livelli di sicurezza dell’intera azienda. Un attacco ad una infrastruttura nazionale può iniziare fuori dal perimetro ma può insinuarsi, con il tempo, nel cuore della stessa. Le cose non sono necessariamente cosi separate come sembra essere. Va, quindi, approcciato l’argomento con una filosofia che in security prende il nome di “Zero Trust”. Le architetture IT esistenti sono piene di fiducia implicita, di cui gli aggressori abusano e non sono adatte alle minacce moderne e agli ambienti di lavoro moderni. Il paradigma “Zero Trust” implica la rimozione sistematica della fiducia implicita nelle infrastrutture IT, quindi andando oltre rispetto allo specifico software ed hardware.

Un aspetto che la Francia, ad esempio, tiene in assoluta considerazione da almeno dieci anni. Del resto, l’attualità ci richiama all’azione e le recenti offensive hacker contro gli operatori italiani dell’energia, nello specifico il Gestore dei servizi energetici (Gse) e l’Eni, invitano a reagire con misure opportune e iniziative di tutela dei sistemi informatici e dei software a disposizione. Come è stato osservato altrove, gli attacchi a Eni e Gse non sono episodi isolati, ma si inseriscono in un trend di “incremento generalizzato di attività malevole”, finalizzato ad ottenere credenziali di accesso mediante phishing, introdursi nel sistema e rubare informazioni, per cederle a un committente o chiedere direttamente un riscatto. Insomma, è sempre più urgente aumentare la resilienza delle infrastrutture digitali. Le raccomandazioni, da parte dell’Agenzia per la cybersicurezza nazionale, agli operatori energetici di innalzare i livelli di protezione digitale per adeguarli alla minaccia sempre crescente va proprio in questa direzione.

Dal Centro di valutazione e certificazione nazionale (Cvcn), ossia la squadra di esperti chiamata a verificare l’affidabilità di dispositivi tecnologici, e quindi la sicurezza informatica di questi strumenti, attraverso un laboratorio apposito istituito presso il Ministero dello Sviluppo economico e facendo ricorso anche a centri esterni accreditati – pubblici e privati – ci si attende molto. Uno dei punti più delicati è sicuramente quello dei controlli. Come ha di recente sostenuto Baldoni, “un Paese moderno deve essere in grado di capire se le tecnologie che mi sto mettendo in pancia sono affidabili e possono entrare nei nostri servizi essenziali”.

Anche sul fronte europeo, del resto, la necessità di certificare la sicurezza degli strumenti tecnologici messi in commercio è stata messa nero su bianco il nuovo Cyber Resilience Act, un regolamento che introduce diversi requisiti obbligatori di cybersicurezza per i prodotti che hanno componenti digitali, e questo per lungo tutto il loro ciclo di vita, con un coinvolgimento attivo e responsabile dei produttori stessi. È chiaro che la priorità assoluta resta quella di garantire il massimo livello di sicurezza nei confronti di possibili rischi cyber, per far fronte con aggiornamenti tecnici alle emergenti vulnerabilità che i sistemi digitali ai quali sono connessi possono evidenziare.

Resta il fatto, comunque, che il certificato ha una sua durata e non è valido sempre. Come ha giustamente rilevato Pier Luigi Rebuffi, segretario generale dell’Organizzazione europea per la cybersecurity (Ecso), “serve un approccio dinamico. La certificazione è data in un certo momento, il giorno dopo esce uno zero day exploit e tutto salta”. Una strada, insomma, ancora tutta da costruire.