“La tecnologia ha generato inevitabilmente anche nuove complessità. E l’accelerazione continua procederà nei prossimi anni in particolare con l’avvento dell’intelligenza artificiale e della robotica. Per affrontare le nuove sfide bisogna agire facendo leva sulla resilienza”. Dal palco di Itasec19 Roberto Baldoni, vicedirettore del Dipartimento delle Informazioni per la Sicurezza e responsabile del Nucleo per Sicurezza Cibernetica (Nsc) ha alzato l’asticella del livello di “allarme” o quantomeno di attenzione sul tema della cybersecurity. E nel ricordare alcuni degli eventi critici che hanno caratterizzato il 2018 italiano – dalla prima violazione della Pec al “blocco” delle attività online dei tribunali per diversi giorni – ha fatto il punto sulle strategie messe in atto per affrontare il nuovo scenario.
Tre le principali azioni “per migliorare la resilienza delle reti e dei servizi digitali del Paese rispetto agli attacchi cyber”. Innanzitutto – ha spiegato Baldoni – “un nuovo strumento legale che individua i servizi essenziali e i relativi operatori come perimetro in cui i livelli di cybersecurity devono esser adeguati alla tutela della sicurezza nazionale. Si tratta di proteggere meglio, anche con adempimenti cogenti, l’area critica dei servizi e delle infrastrutture”.
In secondo luogo, vengono definiti nuovi standard del procurement pubblico, per evitare il doppio binario delle informazioni classificate, “dove gli strumenti di acquisto assicurano standard elevatissimi”, e il resto della pubblica amministrazione, “e garantire dunque servizi critici come la sanità, dove gli standard per la cybersecurity sono de facto assai deboli”. Nelle gare al massimo ribasso, ad esempio, ha evidenziato Baldoni “i rischi cyber si gonfiano ad un livello critico, con conseguenze potenzialmente negative”.
Last but not least Baldoni ha acceso i riflettori sulla costituzione del Centro Nazionale per la Valutazione e Certificazione collocato presso il Ministero dello Sviluppo Economico, “in risposta all’esigenza di qualificare i prodotti, secondo il quadro di riferimento europeo”. “Solo in questo modo è possibile certificare beni e servizi che dovranno essere utilizzati dalle pubbliche amministrazioni e dai privati”.
Siamo all’interno di una visione della cybersecurity come “orizzonte dinamico, in cui non si raggiunge un punto fermo, ma si deve conquistare continuamente un nuovo territorio fatto di tecnologie, di competenze e soprattutto di collaborazione”, ha puntualizzato Baldoni. E la mobilitazione collaborativa di istituzioni, ricerca e imprese rappresenta la chiave per contrastare il dinamismo dei soggetti che “attaccano” la sicurezza dei paesi, delle imprese e dei cittadini. Siamo all’interno di una prospettiva in cui gli attacchi di tipo finanziario, di tipo ideologico e politico, di tipo terroristico, colpiscono ormai non solo realtà economiche, infrastrutture, servizi essenziali, ma occupano anche spazi del dibattito democratico. “Quando le eco-chamber producono posizioni sempre più estreme e non comunicanti si affaccia la domanda di regolare in qualche modo la disseminazione di notizie false e di interpretazioni distorte”, dice Baldoni.
Altro passo avanti del quadro normativo il decreto sulle Telco di fine 2018, “con cui un settore rimasto all’esterno del perimetro Nis, è stato allineato alla generalità dell’area applicativa della Direttiva”. E, ancora, l’individuazione di 465 Operatori di Servizi Essenziali, che verranno aggiornati periodicamente. “Un indice di come sta cambiando il mercato è il fatto che molte aziende chiedono di essere riconosciute come Ose, dimostrando di attribuire un valore positivo a questo “status”, mentre fino a dieci anni fa la cyber securtity era considerata una palla al piede dagli amministratori delegati delle società”. A livello europeo si attende inoltre il via libera della Certificazione europea dei prodotti e servizi. Certificazione che contribuirà alla standardizzazione verso l’alto dei prodotti e servizi di cybersecurity, sulla direzione dell’implementazione del mercato unico digitale.