La cybersecurity sotto i riflettori. Oggi, in occasione dell’apertura dell’anno accademico della Scuola di Polizia, il Capo della Polizia Alessandro Pansa ha detto che la sicurezza informatica “è la grande sfida dei nostri giorni” mentre ieri il premier Matteo Renzi, alla trasmissione in “Mezz’ora”, ha accennato ai passi che intende fare il governo.
Il premier ha smentito le indiscrezioni di stampa, sottolineando di non aver mai avuto intenzione di mettere Marco Carrai “alla guida del Dis” (il dipartimento che coordina l’attività di Aisi e Aise, le due agenzie per la sicurezza interna ed esterna e che dipende dal sottosegretario delegato, espressione del governo), ma confermando al tempo stesso la volontà di portare avanti “la proposta di uno staff” di stretta fiducia “che si occupa di cyber security”.
E’ stata messa da parte anche la discussa creazione di una nuova agenzia che si occupi di cyber intelligence che non potrebbe che passare da una modifica legislativa. La legge 124 del 2007 stabilisce infatti che i Servizi segreti siano gli unici a potersi occupare di attività di intelligence in materia cyber. Più semplice (e immediato) per Palazzo Chigi sarebbe invece il percorso per la nomina di un consigliere su questi temi.
Ma come funziona oggi a livello legislativo la strategie di cyber security in Italia? Nel 2013 – ricostruisce l’agenzia di stampa Cyber Affairs – l’allora presidente del Consiglio Mario Monti sottoscrisse, insieme ai ministri che componevano il Comitato per la Sicurezza, un decreto presidenziale sulla cyber security. Si trattò del primo passo ufficiale in materia. Di fatto si scelse un framework classico, già sperimentato in altre nazioni, che vede in cima alla piramide il presidente del Consiglio e i ministri che compongono unitamente il Comitato per la sicurezza della Repubblica (Cisr) e a cui sono demandati i compiti di indirizzo politico-strategico. Ad essi, infatti, spetta la definizione della strategia nazionale di cyber security (delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico e nel Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali), nonché l’emanazione delle conseguenti direttive d’indirizzo.
La nascita del Nucleo per la Sicurezza Cibernetica (Nsc). Uno degli organismi più importanti individuati a dicembre 2013 è il Nucleo per la sicurezza cibernetica (Nsc). Si tratta di un organismo composto da funzionari in rappresentanza di tutti gli attori identificati nella nostra architettura istituzionale edificata col Dpcm Monti: il ministro degli Affari esteri, il ministro dell’Interno, il ministro della Difesa, il ministro della Giustizia, il ministro dell’Economia e delle Finanze, il ministro dello Sviluppo economico, il sottosegretario di Stato alla Presidenza del Consiglio – Autorità delegata per la Sicurezza della Repubblica, il direttore generale dell’Agenzia per l’Italia digitale, il Consigliere militare del presidente del Consiglio dei ministri, il direttore generale del Dipartimento delle informazioni per la sicurezza, i direttori di Aisi e Aise ed il ministro per la Semplificazione e la Pubblica amministrazione. C’è poi un piccolo nucleo fisso, circa un paio di persone, che si occupa di gestire tecnicamente il flusso di informazioni.
Come funziona l’Nsc. Il nucleo svolge funzioni di raccordo tra le diverse componenti dell’architettura istituzionale che intervengono a vario titolo nella materia della sicurezza cibernetica, nel rispetto delle competenze attribuite dalla legge a ciascuna di esse. In particolare, nel campo della prevenzione e della preparazione ad eventuali situazioni di crisi, il Nsc promuove la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l’elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile; mantiene attivo, 24 ore su 24, 7 giorni su 7, l’unità per l’allertamento e la risposta a situazioni di crisi cibernetica; valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della sicurezza cibernetica, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi ad eventi cibernetici e per la gestione delle crisi; acquisisce, sia dall’estero sia per il tramite del ministero dello Sviluppo economico (Mise), degli organismi di informazione per la sicurezza, delle Forze di polizia e delle strutture del ministero della Difesa, le comunicazioni circa i casi di violazioni o tentativi di violazione della sicurezza o di perdita dell’integrità significative ai fini del corretto funzionamento delle reti e dei servizi.
È indicato come il punto di riferimento nazionale per i rapporti con l’Onu, la Nato e l’Unione europea in questo frangente. Inoltre promuove e coordina, in raccordo con il Mise e con l’Agenzia per l’Italia digitale per i profili di rispettiva competenza, lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica.
Da chi dipende l’Nsc. Attualmente il Nsc dipende dall’Ufficio del consigliere militare della Presidenza del consiglio, cioè dalla persona che consiglia Palazzo Chigi su tutto ciò che concerne la difesa della Penisola (un incarico non ancora assegnato da ottobre scorso, dopo il passaggio del generale Carlo Magrassi a segretario generale della Difesa).
A questi tasselli se n’è aggiunto un altro lo scorso anno: la direttiva del premier Renzi del 1° agosto 2015, che – si legge sul sito dei Servizi italiani, www.sicurezzanazionale.gov.it – individua “le azioni prioritarie propedeutiche allo sviluppo di un sistema in grado di garantire, sempre di più, la protezione cibernetica e la sicurezza informatica”. In particolare, il documento riassume gli obiettivi raggiunti e “identifica le azioni che, all’interno di un’ampia collaborazione tra tutti i soggetti coinvolti, possono effettivamente contribuire alla sicurezza nazionale nella dimensione cyber”.
Il Cert nazionale. Palazzo Chigi considera prioritario “il consolidamento di un sistema di reazione in grado di operare, rapidamente e in maniera efficace, in caso di incidenti o azioni ostili nei confronti delle infrastrutture informatiche nazionali”. Un obiettivo da raggiungere attraverso “un aumento della dotazione in termini di risorse umane e materiali presso le Amministrazioni e gli Organismi coinvolti” (confermato dagli stanziamenti al settore previsti nella recente legge di Stabilità, 150 milioni di euro); “la realizzazione di un coordinamento istituzionale, che garantisca la condivisione e la circolarità delle informazioni, potenziando l’operatività degli assetti trasversali previsti dal sistema di reazione”, ovvero “il Nucleo per la sicurezza cibernetica, il Cert Nazionale e il Cert-Pa”; “l’ulteriore sviluppo di un partenariato pubblico-privato”; “una sempre maggiore collaborazione con Università e Centri di ricerca”; e infine “un coordinamento nazionale come pre-condizione per la cooperazione a livello internazionale che garantisca il raggiungimento di uno stesso livello di preparazione e interoperabilità”.