Libro Bianco o Libro Verde? Secondo gli standard dell’Unione Europea, il libro bianco è un contributo che serve a implementare linee politiche, mentre il Libro Verde è un contributo aperto alla discussione, che serve a delineare lo scenario di un problema e a identificare le diverse posizioni che gli attori assumono verso di esso.
Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici curato da Roberto Baldoni, Università La Sapienza di Roma, Rocco De Nicola, IMT School for Advanced Studies di Lucca e Paolo Prinetto, Politecnico di Torino per il Cybersecurity National Lab del Laboratorio Nazionale di Cybersecurity del CINI – Consorzio Interuniversitario Nazionale per l’Informatica – è stato presentato ad ITASEC18, come Libro Bianco sulla Cybersecurity.
In realtà si tratta di un Libro verde e un Libro bianco allo stesso tempo.
Condivide, infatti, la natura dello scenario non solo nazionale per la cybersecurity, ma delinea anche le linee di intervento, in sintonia con la recente evoluzione della normativa italiana e in sintonia con l’applicazione delle normative europee sulla sicurezza e sulla protezione dei dati (Direttive NIS e GDPR).
Una community di alto livello
L’impegno del Libro Bianco, sia nel delineare il quadro evolutivo, sia nel sostenere la necessità di implementare in modo efficace e coordinato gli impegni nazionali nel contesto europeo di riferimento, è notevole. Poche volte abbiamo potuto disporre di un quadro aggiornato di un fenomeno così complesso, come quello delle minacce cyber, e al tempo stesso vedere delineata una strategia ambiziosa, ma realistica e credibile di implementazione di azioni finalizzate a migliorare la resilienza e le capacità di risposta del sistema.
La ricchezza dei contributi provenienti da un amplissimo gruppo di esperti, che rappresentano una vera comunità di ricercatori, professionisti e operatori, non impedisce al Libro Bianco di tenere le redini del ragionamento e non disperdersi: segno questo di un’ottima conoscenza dei meccanismi istituzionali, oltre che della materia specificamente tecnica. Caratteristica questa che i curatori condividono, in particolare il professor Baldoni, recentemente nominato vicedirettore del DIS e come tale Presidente del Nucleo di Sicurezza Cibernetica. Senza la conoscenza dei meccanismi istituzionali, politiche complesse come quelle di promozione e sviluppo della cybersecurity, rimarrebbero nel vago dei desiderata senza le gambe per poter camminare. Secondo Prinetto, Presidente del Cini, “la community è forse il patrimonio più importante che abbiamo costruito in queste prime due edizioni del Libro bianco, che ha trovato la sede della sua presentazione in ITASEC, l’evento che riunisce la comunità dei ricercatori, deglle aziende e delle istituzioni impegnate nella cybersecurity”.
Gli ambiti prioritari
Sono cinque gli ambiti in cui si articola il Libro Bianco: Infrastrutture e Centri, Azioni abilitanti, Tecnologie abilitanti, Tecnologie da proteggere, Azioni orizzontali.
Infrastrutture e data center della PA vanno drasticamente ridotti: significa aggiornare apparati, concentrarli rispetto ad una dispersione di tipologie, unificare e standardizzare le prestazioni e i livelli di sicurezza.
Le azioni abilitanti sono quelle necessarie a ridurre la superficie esposta al rischio di attacchi, a gestire le risposte, a prevenire, con interventi e aggiornamenti, i rischi che derivano dalle carenze dei sistemi e soprattutto dalla mancanza di conoscenze: questo è l’aspetto su cui il Libro bianco insiste maggiormente. La conoscenza deriva solo dalla condivisione delle conoscenze parziali che i singoli agenti hanno del rischio: la collaborazione tra ricerca, aziende e istituzioni è la risorsa fondamentale che alimenta la strategia di difesa di un paese.
Le tecnologie critiche da portare avanti sono quelle della crittografia, delle blockchain, quelle biometriche e quantistiche, mentre quelle da proteggere sono le comunicazioni wireless, i servizi cloud, e quelle industriali (controllo, IOT, robot…).
Infine le azioni orizzontali sono quelle sulle risorse umane e sulla qualità dei prodotti e servizi, ossia la formazione e la certificazione dei prodotti e servizi.
Ma non intendo riassumere il contenuto del Libro Bianco, che consiglio di leggere: intendo piuttosto sottolineare alcuni problemi aperti, a mio giudizio, su cui occorre puntare l’attenzione dei policy maker.
Le sinergie
Due sono le sinergie fondamentali che una politica della sicurezza digitale deve assolutamente assicurare nel nostro Paese: quella con la ricerca e le imprese e quella con il contesto internazionale, a partire da quello europeo. Sono sinergie non facili da raggiungere, in un contesto legislativo e di funzionamento della pubblica amministrazione particolarmente rigido ed autoreferenziale, come quello italiano.
“E’ la dimensione globale della sfida che richiede questo impegno straordinario”, secondo Rocco De Nicola, altro curatore del Libro Bianco: “Nel cyberspace le minacce sono in continua mutazione e quindi le politiche di sicurezza devono disporre delle informazioni attraverso canali di conoscenza rapidi ed efficaci: ricerca, impresa ed amministrazione devono collaborare in modo strettissimo, come avviene nelle esperienze belliche o nelle catastrofi naturali. Inoltre, dobbiamo contrastare l’attuale asimmetria di comportamenti tra attaccanti e attaccati: i primi collaborano tra di loro e si rafforzano, mentre le vittime non si parlano tra di loro per non rivelare le proprie debolezze. Una asimmetria nefasta per lo sviluppo della resilienza del sistema”. Ma il mondo delle imprese è variegato: non tutte intendono allinearsi, ad esempio, sulle prescrizioni della direttiva GDPR a tutela dei dati. Occorre invece che la direttiva venga applicata: se il sistema delle subforniture rimane esposto agli attacchi, tutto il complesso industriale e dei servizi si indebolisce. Il coinvolgimento delle PMI nella strategia delle sicurezza è fondamentale per raggiungere una resilienza complessiva del sistema. L’applicazione delle Direttiva e della NIS che la ha preceduta, sono essenziali per lo sviluppo del mercato della sicurezza, della domanda, senza la quale le regole rimangono lettera morta: è quindi nell’interesse del Paese garantire e difendere la stretta sinergia con l’Unione, nell’applicazione delle Direttive e nello sviluppo della cooperazione internazionale.
Su questo punto il Libro Bianco è forse timido: il ruolo di Enisa, l’Agenzia europea per la cybersecurity, pur recentemente rivisto, non è ancora sufficiente per sviluppare il contesto di cooperazione europeo adeguato alla sfida. D’altra parte, la possibilità di orientare i fondi Horizon del secondo periodo in modo più selettivo sui temi e sulle tecnologie della sicurezza, richiede una maggiore reattività da parte del nostro Paese. Ricordiamoci, infatti, le tre raccomandazioni che l’Unione fa all’Italia a metà strada dello sviluppo di Horizon:
- investire nel capitale umano e migliorare l’appeal dell’Italia per le persone altamente qualificate
- fornire incentivi per promuovere la cooperazione tra università e imprese e la diffusione della conoscenza
- imparare a valorizzare gli investimenti e il dinamismo delle attività di ricerca e sviluppo.
E’ su questi fronti che si misurerà anche l’efficacia della strategia innovativa sul fronte della cybersecurity. In questo senso il ruolo dell’integrazione europea nello sviluppo degli strumenti di conoscenza e di difesa è assolutamente essenziale.
Pubblico e privato: una raccomandazione finale
Uno dei punti del Piano condivisi dal Libro Bianco è questo della ricerca e del venture capital o startup, come spesso si dice. Tutti e due i temi sono rilevanti, ma – a mio giudizio- occorre mantenere la massima chiarezza sui ruoli dei diversi attori, semplificando il quadro degli obiettivi e riportando le attività ai rispettivi ruoli. Ad esempio, sul venture capital, occorre riconoscere che il pubblico deve avere un ruolo di facilitatore, ossia di creatore delle condizioni favorevoli al suo sviluppo. Voglio esser ancora più esplicito. Ho avuto la ventura – è il caso di dirlo – di monitorare 4 SGR che gestivano fondi misti, pubblico-privato, per il venture capital innovativo. La procedura era autorizzata dall’Unione, per evitare gli aiuti di stato, le SGR aggiudicatarie dei fondi pubblici dovevano averne raccolti altrettanti sul fronte privato. Una misura che aveva a disposizione 180 milioni, forse unica nella vicenda del venture capital italiano e non solo, con l’obiettivo di finanziare startup innovative nel Mezzogiorno. Ebbene questo strumento fortemente innovativo ha incontrato le maggiori difficoltà nell’incompatibilità totale tra l’assetto normativo pubblico e l’operatività del venture capital. Sono due mondi incompatibili: tentare di metterli insieme è un errore logico-istituzionale da evitare con cura.
Ma quali sono allora le azioni che l’autorità pubblica può svolgere? La risposta è semplice. Il decisore pubblico deve ridurre la complessità regolatoria, deve ridurre il peso fiscale, e soprattutto deve finanziare la ricerca, non presso le aziende, ma presso le università. Un contesto di disponibilità di dottorandi e dottorati ben pagati e internazionali, in un cluster di università di punto, su argomenti come la cybersecurity, è la fondamentale risorsa pubblica che facilita lo sviluppo del venture capital. Ma questo non deve essere agevolato né sostenuto da risorse pubbliche: devono essere usati soldi privati con le logiche selettive di risk assumption tipiche del privato.
Concludiamo questa lettura dell’eccellente Libro Bianco sulla cybersecurity, con una fervida raccomandazione: nella collaborazione tra pubblico e privato, così necessaria in questo campo, ognuno faccia ciò che sa fare: la pubblica amministrazione le regole e il loro rispetto, l’università la ricerca e insieme alla scuola lo sviluppo della capacità tecniche e scientifiche dei giovani, le imprese facciano prodotti e servizi efficienti e a basso costo. E’ meglio potenziare i dottorati se si vuole sviluppare la ricerca e creare un contesto favorevole all’innovazione delle imprese. Le imprese siano incentivate a spendere in ricerca i propri soldi e ad acquistare e finanziare ricerca nelle università: non è più il tempo, neppure nelle aziende di media dimensione, di sviluppare ricerca in proprio. Oggi (ricordiamo il disastro dei programmi di ricerca sulla smart city) con i tempi brucianti delle scelte di innovazione sui mercati globali, perfino le grandi imprese fanno fatica a spendere in modo efficace e con i tempi decisionali della pubblica amministrazione i soldi pubblici che ricevono per i progetti di ricerca: la competizione tra le università è mondiale ed è lì che i soldi pubblici della ricerca devono andare.
