La sicurezza informatica dovrà essere un tema centrale nell’agenda del Governo. A renderlo esplicito è stato Franco Gabrielli, Sottosegretario di Stato con delega ai servizi segreti, durante il convegno “Le nuove reti per l’industria italiana e per i consumatori”. Nell’intervista rilasciata da Gabrielli, in seguito al convegno, sono emersi degli elementi cruciali per i prossimi sviluppi in ambito cyber.
Il Sottosegretario ha sottolineato, innanzitutto, la necessità di creare “una struttura che tratti in maniera olistica il tema della sicurezza cibernetica”. Questa deve essere istituita al di fuori del comparto intelligence, che finora ha svolto un ottimo lavoro, ma “di supplenza”. Ciò esprime la chiara volontà di trattare le tematiche del cyberspace non più in modo emergenziale, ma strutturale.
Se c’è una cosa che il 2020 dovrebbe aver insegnato alle autorità è che gli attacchi informatici non rappresentano un evento sporadico, quanto piuttosto un fattore di “normalità”, che si può contrastare – in primis – sviluppando capacità di resilienza. Ed è proprio questo l’elemento centrale dell’intervento di Gabrielli. La nuova struttura dovrà rafforzare la resilienza cibernetica, ben diversa dalla capacità di difendersi dalle minacce.
In questo contesto, emerge la centralità delle infrastrutture critiche, la cui compromissione potrebbe pregiudicare le funzioni vitali dello Stato. La necessità di assicurare la sicurezza e la resilienza di queste strutture è, quindi, di vitale importanza. Per capire le potenzialità distruttive di un attacco informatico contro tali infrastrutture, è utile citare quanto avvenuto in Florida lo scorso febbraio, quando un gruppo di hacker ha tentato di avvelenare l’acqua pubblica, attraverso la compromissione del software che gestisce il sistema idrico. Gli effetti di tale attacco, sventato dalle autorità, sarebbero stati potenzialmente distruttivi, provocando la morte o l’avvelenamento di numerose persone.
Il Sottosegretario ha poi posto l’attenzione sulla necessità di rendere più efficace e trasparente la partnership pubblico-privato. In questo senso, è fondamentale l’implementazione del Perimetro di sicurezza nazionale cibernetica, che prevede una serie di obblighi per le aziende di determinati settori, considerati essenziali per la sicurezza nazionale. Durante il convegno, Gabrielli ha – quindi – annunciato la modifica del Dpcm in attuazione del perimetro cibernetico con le regole per le aziende in caso di incidenti.
L’importanza del Perimetro è stata evidenziata anche dall’Avv. Stefano Mele, presidente della Commissione sicurezza cibernetica del Comitato Atlantico Italiano, secondo il quale esso “avrà un impatto considerevole sulle aziende private e sugli operatori pubblici che proprio nell’agenzia (proposta da Gabrielli) potrebbero trovare un interlocutore unico”.
La sicurezza nazionale in ambito cibernetico, quindi, potrebbe essere giunta ad un punto di svolta. È necessario che il Governo capisca pienamente l’importanza della cybersecurity, non solo per la protezione delle aziende e della Pubblica amministrazione, ma anche per la collocazione dell’Italia nel contesto geopolitico europeo e internazionale. L’implementazione di nuove norme per la protezione delle infrastrutture critiche si rende ancora più necessaria, data la volontà dell’UE di emanare la direttiva NIS 2, in sostituzione di quella attuale. Essa, secondo la proposta della Commissione europea, introdurrebbe norme più dettagliate e maggiori sanzioni per aziende ed enti pubblici relativamente agli incidenti informatici.
L’Italia non può rimanere indietro e ciò è proprio quanto emerge dalle parole di Gabrielli. Tuttavia, la Pubblica amministrazione, almeno per quanto riguarda la sicurezza dei dati, non è pronta. A dichiararlo è stato il ministro per l’Innovazione tecnologica e la transizione digitale, Vittorio Colao, il quale ha evidenziato come “l’ultimo censimento del patrimonio delle infrastrutture di elaborazione dati della Pubblica amministrazione ha rilevato che circa il 95% delle infrastrutture dati della Pubblica amministrazione è privo dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati”.
Nonostante ciò, sono stati fatti progressi in tema di implementazione delle normative europee. Lo scorso marzo, la Camera ha approvato, con alcune modifiche, il disegno di legge di delegazione europea 2019-2020. In particolare, l’articolo 18 fornisce la delega per l’adeguamento al regolamento (UE) 2019/881, relativo alla European Union Agency for Cybersecurity (ENISA). La normativa prevede un riordino del quadro nazionale sulla certificazione della sicurezza informatica. Si prevede che il Ministero dello Sviluppo Economico (MiSE) sia designato quale “autorità nazionale di certificazione della cybersicurezza”, con compiti di certificazione, di controllo della conformità dei prodotti, di rilascio e di revoca dei certificati europei. Infine, il regolamento prevede la definizione del sistema delle sanzioni applicabili.
Questo è un passo importante verso un ulteriore adeguamento delle aziende e delle infrastrutture italiane al quadro normativo e di sicurezza europeo. Tuttavia, il documento deve ancora ricevere l’approvazione – in terza lettura – del Senato.
Da quanto analizzato finora, emerge una rinnovata consapevolezza, almeno a livello governativo, dell’importanza della sicurezza informatica. La relazione annuale del Sistema di informazione per la sicurezza della Repubblica, ponendo un’attenzione particolare sulla cybersecurity, mette in luce come sia necessario implementare misure di prevenzione e mitigazione dei rischi cibernetici, al fine di tutelare la sicurezza nazionale. Tuttavia, come evidenziato da Gabrielli, è necessario che questa consapevolezza sia seguita dallo sviluppo della resilienza cibernetica, per la quale è fondamentale una maggiore cooperazione tra pubblico e privato e una più profonda comprensione delle necessità delle aziende in tale ambito.
La prevenzione e il rafforzamento della resilienza, poi, non possono prescindere da una maggiore consapevolezza dei rischi e da una migliore formazione nel campo della cybersecurity. Proprio a questo proposito, è ormai un dato di fatto che l’Italia soffra di uno skills shortage in ambito informatico. Nonostante negli ultimi anni si siano moltiplicati i corsi universitari in sicurezza informatica, è necessario che l’acquisizione di competenze vada incontro alle necessità delle aziende. Inoltre, come sottolineato da Gabrielli, al di là della creazione di strutture resilienti, “tutti gli attori devono essere educati a trattare questa materia”. La sicurezza informatica, quindi, deve essere implementata nelle aziende e nella Pubblica amministrazione attraverso una formazione rivolta ai lavoratori di tutti i settori.La struttura proposta da Gabrielli, come evidenziato dall’Avv. Mele, “potrebbe essere un punto di svolta per il nostro impianto governativo in materia di sicurezza cibernetica”. È necessario, ora, che il Governo si muova nella direzione indicata dall’autorità delegata. Anche alla luce dell’ancora fresca delusione di molti esperti del settore per la mancata approvazione della proposta di istituire l’Istituto italiano di cybersecurity (IIS), prevista in una bozza, poi bocciata, della Legge di Bilancio 2021.
Davide Lo Prete,
Geopolitica.info
