La sicurezza informatica è divenuta un argomento di primario interesse per i governi. I recenti attacchi alle infrastrutture statunitensi ed europee hanno messo in luce le potenzialità distruttive del cyberspace. La costituzione dell’Agenzia per la cybersicurezza nazionale, da parte del governo italiano, rappresenta un chiaro segno del mutato atteggiamento nei confronti di tali problematiche. A dispetto del nome dell’Agenzia, essa rivestirà un ruolo fondamentale sul piano internazionale, attraverso un duplice approccio: bilaterale e multilaterale.
Un approccio strategico alla sicurezza informatica
Nelle scorse settimane, si è concretizzato quanto proposto lo scorso aprile dall’Autorità delegata per l’intelligence, Franco Gabrielli. Il Consiglio dei ministri ha, infatti, approvato – lo scorso 10 giugno – il decreto-legge che istituisce l’Agenzia per la cybersicurezza nazionale (Acn). Essa è stata designata quale autorità nazionale per il coordinamento tra soggetti pubblici coinvolti in materia di sicurezza cibernetica a livello nazionale. Le funzioni assegnate all’Agenzia sono molteplici, sia in ambito nazionale che internazionale. Prima di analizzarne gli aspetti più interessanti sul piano geopolitico, è utile comprendere le motivazioni dietro la scelta di istituire un’Agenzia che si colloca al di fuori del comparto intelligence, il quale finora ha svolto un ottimo lavoro nel garantire la sicurezza delle reti nazionali, ma questo è stato solamente di “supplenza”, secondo quanto dichiarato da Gabrielli.
La finalità principale dell’agenzia è quella di garantire la resilienza delle reti e dei sistemi informativi nazionali. Ciò emerge dal testo del decreto, il quale fa riferimento a caratteri di urgenza e necessità “anche in relazione a recenti attacchi alle reti di Paesi europei e di importanti partner internazionali idonei a determinare effetti anche di natura sistemica”. Nello scorso mese, infatti, due casi in particolare hanno attirato l’attenzione dei media e dei governi europei. Il primo ha riguardato Colonial Pipeline, il più grande oleodotto statunitense, colpito da un ransomware che ha causato l’interruzione dei servizi e l’aumento del prezzo della benzina; il secondo ha interessato JBS, la più grande azienda di produzione della carne, costretta a bloccare la produzione in Nord America e in Australia a seguito di un attacco ransomware. La risposta degli Stati Uniti non si è fatta attendere e l’amministrazione ha innalzato il livello di allerta, per garantire una maggiore sicurezza delle infrastrutture critiche.
Il report The State of Ransomware 2021 pubblicato da Sophos mostra una crescita globale degli attacchi di questo tipo, motivo per cui l’Italia non può farsi trovare impreparata. La creazione dell’Agenzia, quindi, deve essere il primo passo verso la creazione di un’infrastruttura maggiormente resiliente. Non è un caso che all’Acn sia stato attribuito anche il ruolo di predisporre la strategia nazionale di cybersicurezza. Gli attacchi sopra citati e i casi di cyberspionaggio ai danni di agenzia governative statunitensi hanno messo in luce la vulnerabilità delle reti nazionali. Non sarà più sufficiente l’approccio tattico, è necessario quello strategico.
La cybersecurity al centro dell’agenda globale
L’adozione di una nuova strategia è maggiormente necessaria se si passa dal piano nazionale a quello internazionale. L’Unione Europea – già lo scorso dicembre – ha presentato una proposta per la revisione della direttiva NIS (Network and Information Security), predisponendo una NIS 2.0. Essa dovrà innalzare ulteriormente il livello di cybersecurity degli Stati membri e fornire gli strumenti adeguati per affrontare un panorama delle minacce in rapido mutamento ed espansione.
L’Agenzia italiana avrà un ruolo di primo piano nel contesto europeo, in quanto è stata individuata quale punto di contatto unico, previsto dalla NIS, e che era stato individuato precedentemente nel Dipartimento delle informazioni per la sicurezza (DIS). Inoltre, l’Anc è stata designata come Centro nazionale di coordinamento, parte della rete di centri comunitari che collaborerà attivamente con il Centro europeo di competenza sulla cibersicurezza per accrescere l’autonomia dell’UE nel settore della cybersecurity.
La minaccia cibernetica è stato uno dei temi caldi durante il vertice NATO, tenutosi a Bruxelles lo scorso 14 giugno. I leader degli Stati membri hanno concordato che, in taluni casi, gli attacchi informatici potranno determinare l’invocazione della clausola di difesa collettiva, prevista dall’Articolo 5 del Trattato. Un avvertimento, questo, in primis per la Russia, da cui opera la maggior parte dei gruppi APT (Advanced Persistent Threat) che hanno preso di mira le infrastrutture di Stati Uniti e paesi alleati.
In questo contesto, si inserisce a pieno titolo l’Agenzia, a cui è stato attribuito il ruolo di coordinare la cooperazione internazionale in ambito cyber. Nello specifico, l’Anc curerà i rapporti e potrà stipulare accordi bilaterali e multilaterali con gli organismi e le istituzioni competenti di altri Paesi.
Sebbene, quindi, il ruolo primario dell’Agenzia sarà espletato in ambito nazionale, non devono essere tralasciati gli interessanti sviluppi sul piano internazionale. La cooperazione intergovernativa, infatti, è uno degli aspetti fondamentali per garantire un alto livello di cybersecurity, nonché di resilienza cibernetica. Riconoscere che il dominio cibernetico costituisce un terreno di confronto con un forte impatto sulla sicurezza nazionale implica la volontà di adoperarsi per sviluppare infrastrutture maggiormente sicure.
L’Agenzia, poi, potrà essere uno strumento fondamentale per portare la visione del nostro Paese nei consessi internazionali sulla cybersecurity, quali l’Open Ended Working Group (OEWG) e il Group of Governmental Experts (GGE) dell’ONU.
La creazione dell’Agenzia, infine, si pone quale elemento fondamentale per l’implementazione del Perimetro di sicurezza nazionale cibernetica. Lo scorso 11 giugno, è stato pubblicato nella Gazzetta Ufficiale il Dpcm 81/2021, che delinea gli obblighi di notifica degli incidenti informatici e impone l’adozione di misure di sicurezza per il conseguimento di un adeguato livello di cybersecurity. Il ruolo dell’Agenzia sarà di primaria importanza in questo senso, in quanto essa assumerà tutte le funzioni già attribuite al Ministero dello sviluppo economico relative al Perimetro.
Questo passo in avanti, quindi, sembra rappresentare da un lato una risposta al mutato panorama delle minacce cibernetiche, dall’altro un allineamento dell’Italia agli indirizzi delle organizzazioni sovranazionali e internazionali di cui fa parte. Ciò che rimane da capire è se i fondi previsti – circa 2mln di euro per il 2021, 41mln per il 2022 e un crescendo fino a 122mln per il 2027 – saranno sufficienti a svolgere tutte le funzioni attribuite all’Agenzia, che ingloberà anche il Nucleo di sicurezza cibernetica (Nsc), il CSIRT Italia (già CSIRT italiano) e il Centro di valutazione e certificazione nazionale (CVCN).
Al di là di quest’incertezza, è da sottolineare l’importante passo in avanti compiuto verso l’adozione di un approccio strutturale e strategico alla cybersecurity.
Davide Lo Prete,
Geopolitica.info
