L'ANALISI

Si apre l’era della cybersecurity 4.0: ecco cosa c’è da fare

La Ue deve recuperare il controllo sui sistemi informatici che costituiscono le fondamenta della sua ossatura tecnologica. La partita si gioca sull’“addiction rating” ovvero sul livello di dipendenza dalle big tech extra-Ue

Pubblicato il 19 Feb 2018

Pasquale Di Gennaro

cyberbullismo-170616144049

L’8 febbraio 2018 il Consiglio dei ministri ha approvato in via preliminare lo schema di decreto legislativo di recepimento della direttiva (Ue) 2016/1148, la cosiddetta direttiva NisNetwork and Information Security— che costituisce la pietra miliare della strategia dell’Unione in materia di sicurezza delle reti e dei sistemi informativi .

Inoltre, dal 25 maggio 2018 avrà piena applicazione il Regolamento 2016/679 —Gdpr General Data Protection Regulation— che incoraggia una serie di best practice utili a qualunque organizzazione intenda realizzare una strategia di gestione del rischio informatico per proteggere i propri asset digitali.

Nella nostra realtà iperconnessa, fatta di cloud, social e identità digitali, e sempre più dipendente da assistenti intelligenti, l’Europa si è finalmente dotata di un quadro normativo focalizzato sulla difesa della cybersecurity, nella consapevolezza che la difesa dello spazio virtuale è necessaria non solo a preservare i diritti della persona in Rete, ma anche a garantire la continuità di servizi essenziali per la vita reale quali l’energia, i trasporti, la sanità, i servizi idrici, le infrastrutture digitali di trasporto e i mercati finanziari.

Il quadro normativo delineato con il Nis è volto a conseguire un livello elevato di sicurezza nell’Unione, ma di fatto non fornisce regole operative di dettaglio per la cybersecurity. E’ un primo strumento che definisce i concetti fondamentali della sicurezza informatica per promuovere l’adozione di un linguaggio comune tra i paesi UE, e individua alcuni elementi infrastrutturali di particolare criticità, come i nodi di interscambio del traffico dati (Ixp – Internet eXchange Point) e i server che in Internet consentono la traduzione degli indirizzi mnemonici in indirizzi numerici (i server Dns – Domain Name System). Il Nis disciplina anche l’istituzione di punti di contatto nazionali per la cybersecurity e dei Csirt —Computer Security Incident Response Team—, in pratica una rete nazionale ed europea di cooperazione. Un aspetto di particolare rilievo per gli operatori economici è che il Nis stabilisce anche una data (il 9 novembre 2018) entro cui ciascuno stato membro dovrà individuare gli operatori dei servizi essenziali che avranno l’obbligo di notificare «senza indebito ritardo» i data-breach con impatto rilevante sulla continuità dei servizi da loro erogati. Simili obblighi sono stati previsti anche per i fornitori di servizi digitali, sebbene l’allegato III alla direttiva utilizzi l’espressione fin troppo generica di cloud computing service.

E l’Italia? Il nostro Paese parte da una buona base di previsioni in tema di cybersicurezza. Infatti, già nel 2013 il governo Monti ha delineato con un Dpcm l’architettura nazionale per la cybersecurity, recentemente perfezionata e rafforzata dalla Direttiva  per la protezione cibernetica e la sicurezza informatica nazionali (Dpcm del 17 febbraio 2017). Tale direttiva semplifica l’architettura (cioè “chi fa cosa”) deputata alla tutela della sicurezza, sebbene il numero degli stakeholder coinvolti sia ancora notevole, soprattutto rapportato ai brevissimi response time imposti da eventuali crisi nel cyberspazio. Gli indirizzi operativi e le linee d’azione sono stati affrontati dal Piano Nazionale adottato con il decreto del 31 marzo 2017 che esordisce riconoscendo un aspetto condivisibile da chiunque si occupi di cybersecurity: la sicurezza informatica non è solo un obiettivo, ma un processo che coinvolge software, hardware, persone e organizzazioni. Tra gli aspetti più interessanti, segnalo che il piano afferma l’importanza di un Centro nazionale in grado di valutare e certificare la sicurezza degli asset Ict, l’opportunità di istituire un Centro nazionale di ricerca e sviluppo in cybersecurity e, infine, la costituzione di un Centro nazionale di crittografia che contribuirà ad irrobustire le future blockchain nazionali.

L’approccio che emerge dall’analisi del Piano nazionale sembra pertanto puntare su una strategia preventiva e reattiva, impegnando una buona parte degli stakeholder della cybersicurezza nella risposta agli incidenti e nel monitoraggio della vulnerabilità nei software di cui man mano si verrà a conoscenza.

Ma, sebbene più circoscritta, non manca anche la componente proattiva volta allo sviluppo di strumenti destinati a incrementare il livello di sicurezza. Validi suggerimente sulle aree su cui focalizzare gli sforzi arrivano ancora una volta dall’Europa, in particolare dall’Agenzia europea per la sicurezza delle reti e dell’informazione (Enisa). Infatti, il documento del luglio 2017 sui “Principi e opportunità per una rinnovata strategia europea in tema di cybersecurity” solleva un tema tanto annoso quanto trascurato: l’eccessiva dipendenza dell’Unione dall’hardware e dal software di base prodotto da paesi esterni all’Europa e, potenzialmente, con interessi conflittuali. I fatti del recente passato in tema di spionaggio e sorveglianza di stato, hanno favorito un primo dibattito sulla necessità di proteggere i valori dell’Unione quali la privacy, la sicurezza e la protezione dei dati e, più, in generale la sovranità digitale.

Allo scopo di difendere le infrastrutture, i processi di governo e la propria Industria, è quindi di primaria importanza che l’Unione mantenga o, forse più propriamente, recuperi il controllo sui sistemi informatici che costituiscono le fondamenta della sua ossatura tecnologica.

Da dove partire per raggiungere un obiettivo tanto ambizioso quanto indifferibile? Da un’analisi sistematica attuata sulle infrastrutture critiche, l’e-government e i servizi per la cittadinanza digitale che non dimentichi di inserire tra le vulnerabilità per la cybersecurity, anche l’ “addiction rating”, il livello cioè di dipendenza dalle big tech extra-Ue, alcune delle quali operano di fatto in regime di monopolio. Una dipendenza metabolizzata come normalità su cui però è opportuno che si rifletta, per decidere con consapevolezza se possa essere ammissibile nell’ambito di una strategia europea per la cybersecurity volta a tutelare in ogni aspetto la sovranità digitale. Una volta valutato con obiettività l’addiction rating e definito un indice di rischio, sarà possibile elaborare strategie di remediation sul fronte tecnologico o sulla liability, ad esempio investendo su specifiche tecnologie per riguadagnare un margine di emancipazione; o riconoscendo responsabilità contrattuali a quelle aziende che immettono sul mercato prodotti rivelatisi nel tempo lacunosi sul fronte della sicurezza.

La difesa dei propri confini è, infatti, sempre più la difesa del cyberspazio esercitata mantenendo un efficace controllo sulla propria infrastruttura: ha destato scalpore la notizia di questi giorni secondo cui diverse agenzie di intelligence statunitensi vorrebbero impedire la commercializzazione dei prodotti dei colossi Huawei e Zte, preoccupate che una eccessiva diffusione dei dispositivi di queste due aziende considerate troppo vicine al governo cinese, gli consentirebbe di esercitare “pressione e controllo” sulle infrastrutture di telecomunicazione Usa e di condurre attività di spionaggio non rilevabile.

Pertanto, nel nuovo quadro europeo per la cybersecurity, l’Italia può e deve fare molto, perché quella sulla cybersecurity è una partita che l’Unione non può permettersi di perdere: ne va infatti della sua stessa sovranità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati