Un Framework Nazionale per la Cyber Security, è stato realizzato dal Research Center of Cyber Intelligence and Information Security dell’Università La Sapienza di Roma (CIS Sapienza), e dal Laboratorio Nazionale CINI di Cyber Security Consorzio Interuniversitario Nazionale per l’Informatica. Il Framework è stato presentato a Roma nell’Aula Magna della Università La Sapienza, presenti oltre 600 persone, con responsabili ed esperti nazionali ed internazionali, come Marco Minniti, sottosegretario a capo dell’Autorità delegata per la sicurezza della Repubblica e Adam Sedgewick, NIST senior information technology policy advisor, uno dei promotori del Framework americano.
Le origini del Framework in USA e la sua implementazione sono interessanti: la cybersecurity, pur nella sua complessità, pone sfide nuove al processo di standardizzazione, che il NIST ha sviluppato per più di un secolo. Nel 2013 l’attenzione politica sulla cybersecurity è molto aumentata e nel 2014 il Presidente Obama chiede la definizione del Framework per la cybersecurity, ossia di un sistema di linee guida per ridurre il rischio e accrescere la capacità di gestirlo, facendo leva sulla attitudine innovativa delle imprese, focalizzando le linee guida sulle infrastrutture critiche. Obiettivo del Framework era di accrescere la capacità di affrontare e gestire i problemi della sicurezza cibernetica, facendo leva sulle istituzioni, sulle imprese e sul mondo accademico. Sedgewick ha riconosciuto il contributo originale del Framework italiano, che si ispira a quello americano, adattando le linee guida al contesto nella sua peculiarità economica, istituzionale e culturale. (Qui una presentazione più dettagliata).
Un sistema di linee guida
Il prof. Roberto Baldoni è, con Luca Montanari, curatore del Framework visto innanzitutto come forma innovativa di collaborazione pubblico-privato.
Per fare che cosa? Si tratta di un vero e proprio manuale per la cybersecurity. Non un manuale statico, ma una serie di linee guida, che offrono strumenti e procedure a disposizione dei soggetti pubblici e privati che sono sempre più esposti al rischio degli attacchi cyber. Questi soggetti, oltre che utenti dello strumento sono anche i propositori, gli elaboratori delle linee guida.
Questi stakeholder si sono confrontati per 9 mesi intorno al tavolo del Framework. Ciò dimostra che i tempi sono maturi: l’esigenza di affrontare le minacce alla cybersecurity sono diventate concrete e dannose, anche nella percezione di coloro che fino ad oggi si sentivano protetti o non esposti.
Hanno collaborato le maggiori aziende italiane e le maggiori organizzazioni pubbliche che si occupano di cybersecurity, guidate dall’università, producendo un documento importante, che si è arricchito con oltre 500 emendamenti, raccolti con la consultazione aperta sul draft del documento. La collaborazione con la l’Istituto USA per gli Standard e le Tecnologie (NIST) inserisce il Framework in un contesto internazionale avanzato, nel quale la collaborazione tra pubblico e privato è indispensabile.
Uno strumento dinamico che stimola il mercato
Il Framework è uno strumento, ma per come è stato costruito, può diventare una piattaforma evoluta per la ricerca e i servizi, ha osservato Baldoni.
Il riferimento al mondo industriale e al privato in generale è fondamentale per la realizzazione del Framework e soprattutto per la sua vitalità. Il Framework esiste se si trasforma e si adatta alla realtà, alla tecnologia, agli interessi specifici delle imprese e dei diversi settori. E’ uno strumento rivolto non solo alle aziende ICT, ma a tutte quelle che hanno da perdere nella guerra cyber: dalla Barilla, alla Ferrero, dalla Luxottica alla Fincantieri alla Bracco, per dirne alcune. In questo andando anche oltre l’esperienza del NIST. Il NIST si ferma alle infrastrutture critiche, il Framework nazionale va in direzione delle Pmi, che sono la struttura portante dell’economia italiana. L’intendimento è che, ad esempio, nel settore farmaceutico il Framework venga adattato ai processi, ai rischi specifici del settore e di quel tipo di aziende e di mercato.
Poiché il Framework raccoglie le linee guida per la gestione del rischio cyber, le 98 regole standard possono essere ridondanti nell’ambito della farmaceutica. Potrebbero bastarne solo 70. Quelle rilevanti possono essere individuate nell’esperienza specifica del settore che le vuole utilizzare.
E ogni azienda del settore verifica se quelle regole hanno, nel suo caso specifico, una priorità alta, media o bassa. Una azienda le deve applicare al livello di maturità che ritiene il suo. La valutazione è fatta sul piano tecnico ma la scelta di implementazione è politica e quindi deve esser demandata a chi delibera a livello massimo. La diffusione della lingua comune del Framework semplificherà le interazioni tra aziende e settori: chi rimane indietro potrà imitare o anche copiare facilmente le regole del settore che meglio si adattano, generando una accelerazione del sistema Paese.
La sicurezza cyber come priorità del governo
Negli USA si è mosso Obama incaricando il NIST, secondo quegli indirizzi chiari e semplici della tradizione americana, ma in Italia come verrà gestito il Framework? Innanzitutto, ricordiamo che esso è uno strumento vivo, che si autoalimenta. Un esempio. Poniamo che l’azienda X segua il processo di duty of care ossia di impegno doveroso nell’applicazione delle regole del Framework. In caso di danni derivanti da un attacco alla sua sicurezza, questo suo impegno alleggerisce la sua posizione in caso di contenzioso giuridico. Quindi il mercato è un driver fondamentale per spingere all’adozione del Framework.
Questo mercato crea una domanda di competenze che si sviluppa, sia dentro alle aziende che stanno evolvendo verso sistemi e processi più sicuri, sia nell’offerta dei servizi di sicurezza, e tra questi servizi uno centrale è quello delle assicurazioni.
Nel discorso tenuto dal Presidente Obama la scorsa settimana, ha detto Baldoni, scopriamo che gli USA investiranno 4 miliardi di dollari per insegnare nell’università informatica. Droni, robot, IOT, big data stravolgeranno i mestieri e il mercato del lavoro e lo faranno a velocità accelerata. La crescita di questi mercati avviene ponendo esigenze di sicurezza che sono molto elevate. Dobbiamo mobilitare le persone e anche i politici a capire come muoversi e, modestamente, con il Framework stiamo mettendo nelle mani del governo un lavoro di collaborazione privato pubblico, in cui il ruolo dello Stato è fondamentale.
Speriamo che lo Stato ed il governo contribuiscano, come hanno fatto durante i lavori di predisposizione del Framework, a tenerlo vivo. Sarebbe un formidabile acceleratore della parte di Agenda Digitale che, a livello nazionale e non solo, pone l’esigenza sullo sviluppo della cybersecurity.
La sicurezza cyber come priorità del governo
L’importanza della sicurezza informatica è cresciuta nella consapevolezza politica e istituzionale, è frutto del rapporto fecondo con l’accademia, è stata questa l’apertura dell’intervento di Marco Minniti, in rappresentanza del governo. Non solo questa federazione è un fatto unico in un Paese che tende sempre a dividere e non a federare, ma apre la strada alla collaborazione tra i paesi, come terreno di alleanza strategica. Nel 2013, sempre nell’aula magna della Sapienza, Minniti aveva colto il problema che, mentre la velocità impressa dall’evoluzione tecnologica aumenta, aumenta in parallelo anche la fragilità del sistema. Ma non possiamo né fermarci né tornare indietro.
Il Framework diventa quindi un riferimento necessario per rispondere a questa sfida: assicurarci una diffusa capacità di difendere l’apertura della conoscenza minata dalle nuove tecnologie e al contempo aumentare la robustezza del sistema.
Il primo obiettivo del Framework è proprio la robustezza del sistema, la sua resilienza nei confronti di attacchi alla sicurezza. Il secondo è la conquista di una consapevolezza della sfida agli standard di qualità dell’azienda e la messa in mora degli atteggiamenti miopi che nascondono la polvere sotto il tappeto.
Il terzo aspetto è l’ampliamento della platea delle aziende a cui rivolgersi, poiché il sistema industriale protetto rafforza il sistema Paese. Non siamo all’anno zero, ha concluso Minniti, né siamo un Paese all’archeologia cibernetica: non partiamo da capo. Però dobbiamo produrre una straordinaria accelerazione. Sono aumentati: il cyberspionaggio, l’hacktivism, il terrorismo: anche le sue minacce si manifestano spesso prima nella rete che nei luoghi pubblici, sia per il reclutamento sia per l’organizzazione degli attacchi fisici e cibernetici.
Sono da perseguire, secondo Minniti, tre direttive: potenziare la capacità di reazione e riduzione dei tempi di reazione, con la sinergia tra pubblico e privato; cooperare con i grandi provider per contrastare il malware comunicativo senza restringere lo spazio della libertà e ridurre la tutela della privacy. Occorre coinvolgere l’università e coinvolgere i giovani cervelli: per questo il Framework, che ha fatto proprio questo sforzo, in un lasso di tempo molto concentrato, è da considerarsi “adottato”.