La strategia nazionale della cyber security al centro della tavola rotonda che ha chiuso l’evento Cyber Security 360 Summit organizzato dal Gruppo Digital360 a Roma cui hanno partecipato rappresentanti delle istituzioni, delle imprese e dell’università. Il focus sulle competenze è primario ma a livello istituzione emerge l’esigenza di un raccordo più efficace tra gli enti pubblici tra loro e con il settore privato, per una condivisione delle conoscenze immediata.
Vincenza Bruno Bossio, membro dell’Intergruppo Parlamentare Innovazione, Camera dei Deputati, ha annunciato una scuola di alta formazione per le competenze nella cybersecurity, per la quale le risorse arrivano dalla Legge di Stabilità, nell’ambito delle coperture previste per il piano nazionale per la sicurezza informatica. Ma non basta: per la Bruno Bossio la strategia italiana per la difesa cibernetica deve poggiare su una più stretta collaborazione su scala europea e globale, perché le minacce non hanno confini. E in ambito nazionale “Fare ordine tra i vari Cert è indispensabile per riuscire a intervenire in tempi più rapidi e con maggiore efficacia”.
Il raccordo tra i vari enti pubblici e privati è essenziale anche per Luisa Franchina, Presidente AIIC: occorre definire le modalità di coodinamento tra Cert, Csirt, Comparto Intelligence, Cnaipic, Difesa, Agid, in una prospettiva di unificazione dei Cert pubblici e in un dialogo costante anche con il sistema privato. “La condivisione delle informazioni è un tema non risolto, le imprese tendono a non rendere noti i dati sulle violazioni”, ha sottolineato la Franchina. “Bene dunque anonimizzare questi dati, ma occorre anche ricordare che è nell’interesse di tutti rendere il sistema-paese più sicuro”.
“Il quadro della sicurezza è un quadro di sistema”, ha ribadito Francesco Tortorelli, Agid: la difesa e anche la formazione devono arrivare fino al cittadino, non riguardano solo reti, applicazioni o addetti ai lavori. “La sicurezza non è un intervento eccezionale, ma un’attività costante, pervasiva”, ha continuato Tortorelli. “E’ l’ora di superare i sistemi legacy: la cyberdifesa si fa con sistemi nuovi, dall‘inteligenzia artificiale alle trasmissioni automatizzate delle informazioni per migliorare la condivisione: all’Agid le stiamo già sperimentando”.
Nella strategia italiana per la cyberdifesa un ruolo centrale è svolto naturalmente dal Ministero dell’Interno, che svolge il monitoraggio della sicurezza informatica in tutti i suoi dipartimenti e effettua ul coordinamento con gli altri enti nazionali, come ricordato Alessandra Camporota, Responsabile Innovazione al Viminale. Il piano nazionale per la cybersecurity ha avuto una dotazione di 150 milioni di euro, di cui 15 milioni sono andati al Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche: sono stati spesi per il rafforzamento di infrastrutture ma anche per allargare e aggiornare le competenze, ha sottolineato a Camporota.
Il ruolo del Ministero dello sviluppo economico è stato illustrato da Sandro Mari, Istituto Superiore CTI, Mise: “Presso il nostro ministero, come da Dpcm Gentiloni, verrà istituito un centro di valutazione nazionale per la cybersecurity: abbiamo già avviato le audizioni con soggetti pubblici e privati per definirne gli obiettivi e capire le criticità da superare”. Nella strategia italiana per la cyberdifesa un ruolo centrale è svolto naturalmente dal Ministero dell’Interno, che si occupa del monitoraggio della sicurezza informatica in tutti i suoi dipartimenti e del coordinamento con gli altri enti nazionali, ha ricordato Alessandra Camporota, Responsabile Innovazione al Viminale. Il piano nazionale per la cybersecurity ha una dotazione di 150 milioni di euro, di cui 15 milioni per il Cnaipic (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche): sono stati spesi per il rafforzamento delle infrastrutture e per il potenziamento delle competenze. Altro cardine della strategia cyber italiana è il ministero delle Finanze, ha sottolineato Roberta Lotti, che ha coordinato il gruppo di lavoro per la realizzazione del Cert del Mef ed è responsabile della definizione delle politiche e delle regole per la tutela della privacy e per la gestione della sicurezza informatica e delle informazioni del Mef. “Ma è la collaborazione tra più ministeri la chiave per il successo della strategia nazionale di difesa cyber”, ha evidenziato la Lotti.
Rodolfo Rotondo, Business Solutions Strategist, VMware , ha introdotto nel dibattito il punto di vista del vendor privato: “Il costo in italia di ciascuna violazione informatica è in media di 2,6 milioni di euro”, ha detto Rotondo. “Serve un paradigma diverso sulla difesa: dobbiamo certificare le infrastrutture e le applicazioni sicure, soprattutto quando le infrastruttue sono ubique. Nella cyberdifesa serve una visione contesto, occorre sapere che cosa accade ai dati”. Il manager VMware ha però aggiunto: “Il governo non può fare tutto. Almeno la metà della superficie d’attacco è rappresentata da imprese e cittadini, le regole non bastano: per rendere la filiera industriale sicura bisogna progettare con in mente la sicurezza; la cybersecurity non è un’aggiunta successiva ma deve far parte dall’origine delle infrastrutture che trasportano dati e applicazioni”.
Altri numeri sono stati forniti da Roberto Baldoni, Professore Ordinario di Sistemi Distribuiti, Facoltà di Ingegneria dell’Informazione, Università degli studi Sapienza di Roma : “Nel 2020 ci saranno 20 miliardi di oggetti conessi e si stima che per ogni oggetto connesso saranno presenti da 10 a 100 vulnerabilità: questo è un aumento esponenziale che ci rende tutti potenziali target: imprese, PA, individui. Tutto è cybersecurity oggi”. Anche per questo la capacità di attuare piani efficaci per la sicurezza dello spazio cibernetico diventa “la nuova scriminante tra paesi avanzati e paesi che restano indietro: i paesi senza una difesa adeguata e integrata saranno i più bersagliati” e perderanno rilevanza anche sul piano politico-economico.
“Se a livello di università possiamo portare avanti la formazione delle competenze digitali nella sicurezza, a livello legislativo occorre guardare al macro-contesto della trasformazione digitale in cui cybercrime e cyberdifesa si inseriscono”, ha concluso Baldoni, consapevoli che “dalla complessità non si torna indietro, ma dobbiamo stare indietro all’evoluzione delle minacce per ridurre il costo delle violazioni e alzare il livello di sicurezza del sistema-paese”. Come si farà? Con lo sforzo di squadra di tutti, suggerisce Baldoni: “La cybersicurezza è un tema connesso con lo sviluppo economico e sociale ed è un lavoro congiunto per enti, imprese e centri di ricerca, svolto da persone, non dai robot”.
