ItaSec17, conferenza sulla cybersecurity promossa dal Cini e da Ca’ Foscari, tenutasi a Venezia dal 17 al 20 gennaio, ha fatto il punto, tra comunità scientifica, istituzioni e aziende sul tema della cybersecurity. Chiediamo a Giorgio Mosca, responsabile strategie e tecnologie della divisione Security & Information Systems di Leonardo Spa, come l’azienda stia reagendo al bisogno crescente di competenze e servizi sulla cybersecurity, bisogno che tuttavia nella PA e in molte imprese fatica a manifestarsi in modo chiaro. “La cybersecurity – dice Mosca – è un tema in crescita a livello globale ed è sufficiente leggere qualsiasi quotidiano o periodico nelle ultime due settimane, per capire che la consapevolezza del problema si sta facendo strada: ma se è vero che il problema è percepito, spesso non lo è in modo chiaro. L’Italia sconta un ritardo pluriennale nella digitalizzazione del Paese, con una spesa IT decrescente per anni e che solo ora torna timidamente a crescere, sconta investimenti in innovazione quasi assenti negli ultimi anni. Questo ritardo implica una scarsa comprensione delle problematiche connesse alla digitalizzazione e quindi anche alla cybersecurity.
Come si sta muovendo Leonardo in questo senso?
La rinnovata spinta verso la digitalizzazione, per rilanciare la produttività e la competitività nazionali e ridare slancio all’economia, determina una maggiore focalizzazione, con la nascita di iniziative sia nel pubblico sia nel privato. Leonardo sta partecipando a questo rilancio, come partner della PA per i servizi di protezione e monitoraggio di infrastrutture ed applicazioni, previsti dalla gara “SPC Cloud”, e promuovendo – sia tramite la sua attività commerciale, sia tramite le associazioni di categoria, sia mediante progetti di ricerca con l’accademia – nuovi approcci e servizi per raggiungere il prima possibile un adeguato livello di sicurezza del sistema economico e sociale nazionale.
Leonardo è parte del sistema della sicurezza nazionale, ma opera anche nel contesto mondiale. Quanto conta il fattore “azienda nazionale” in Italia e negli altri paesi, quando si affronta la domanda pubblica sulle sicurezza?
Il paese di origine di una soluzione o di una proposta è un tema importante nel settore della sicurezza, ma la nazionalità gioca in modo diverso a seconda del contesto in cui ci si trova ad operare. Ad ItaSec17 si è discusso di “sovranità tecnologica” come uno dei temi da considerare nella definizione di una capacità cyber a livello nazionale, ma la cybersecurity è un dominio globale, perciò è importante imparare da quanto accade nel mondo ed anche collaborare con chi ha capacità e soluzioni. L’approccio è quindi diverso tra i paesi più avanzati e quelli in sviluppo o emergenti. Nei primi si gioca una partita tra attori del mercato, in cui, a fronte di una parità di competenze, esperienza e referenze in problemi o settori simili, ed ovviamente nel rispetto delle regole del public procurement, la sovranità – o almeno l’origine – nazionale di una soluzione è un fattore distintivo. Nei secondi, non dotati di una propria capacità industriale, la provenienza di una soluzione da una certa nazione può essere di per sé un fattore competitivo, mentre le relazioni tra i paesi o la disponibilità ad investire in trasferimento tecnologico diventano temi rilevanti per il successo di una proposizione. Leonardo ha chiara questa situazione e opera con ruoli e logiche diversi in un contesto sia internazionale – dall’Europa a Israele, dagli Usa agli Emirati – sia sovranazionale – come Nato ed Unione Europea – con l’obiettivo di acquisire componenti tecnologici e di fornire soluzioni e servizi.
Quali sono gli interventi più urgenti, quelli legislativi-regolamentari, quelli di carattere organizzativo e di incentivo sul management pubblico o quelli di sviluppo delle competenze delle nuove leve, attraverso lo sviluppo dell’offerta didattica e di fondi di ricerca sul tema della sicurezza?
E’ difficile attribuire priorità in un problema sistemico quale quello della cybersecurity: la risposta dovrebbe infatti essere che tutto è parimenti urgente. Gli interventi prioritari possono essere definiti tenendo conto dell’importanza per il sistema Paese e dei tempi di realizzazione ed è quindi possibile definire compiti molteplici per istituzioni, accademia ed industria. II primo intervento è legislativo-regolamentare per dare chiarezza agli attori del sistema, aggiornando la strategia, semplificando la governance, completando le strutture, offrendo ad accademia ed industria indicazioni chiare sulle linee da seguire. Ma non si può tralasciare la didattica: servono competenze specialistiche e una “didattica diffusa”, che porti nelle scuole l’apprendimento delle problematiche cyber di base, che devono entrare a far parte del bagaglio di conoscenze di ciascuno. E’ comunque necessario proteggere l’esistente, mentre costruiamo un nuovo modello e nuove competenze: il management pubblico deve essere formato e stimolato non solo a realizzare, ma anche a proteggere la Trasformazione Digitale della PA, che deve consentire al paese di riprendere quota sia all’interno sia verso gli investitori internazionali. Leonardo sta promuovendo questa collaborazione tra gli attori, ai tavoli e nelle sedi per la definizione delle regole e dei modelli, per contribuire alla formazione e per fornire i servizi di sicurezza cibernetica.
