Alla presentazione del Rapporto del Consorzio Interuniversitario Nazionale per l’Informatica (CINI) sulla sicurezza digitale, curato da Roberto Baldoni, Luca Montanari e Renato Querzoni, disponibile nel sito CINI, il tema centrale è stata la qualità dell’organizzazione, aziendale ed istituzionale. Il Rapporto indica 15 controlli essenziali per ogni organizzazione, privata o pubblica, che sia esposta a rischio cyber. Sono controlli riconducibili a tre aree: tecnologia, amministrazione e organizzazione. L’aggiornamento tecnologico deve essere curato per antivirus, firewall, sistemi operativi e firmware. L’amministrazione provvede all’inventario delle infrastrutture, delle soluzioni, dei sw e degli hw con il relativo stato di aggiornamento e protezione, incluso lo standing dei fornitori, stabilisce l’effettuazione di back up periodici e individua le normative rilevanti che i diversi settori aziendali devono rispettare. Ma il lavoro più complesso è quello sull’organizzazione, che deve puntare alla coerenza dei processi e alla chiarezza delle responsabilità interne.
Qui vale la pena soffermarsi, perché la robustezza rispetto agli cyber attacchi e la resilienza dipendono da queste scelte. In particolare occorre: individuare il responsabile della sicurezza; stabilire e controllare i livelli di accesso alle risorse digitali e la qualità delle password; formare il personale sui livelli di esposizione al rischio cyber dei diversi settori; assicurarsi delle capacità dei servizi di configurazione manutenzione e assistenza dei sistemi; assicurasi che in caso di incidente e di attacco vengano informati i responsabili della sicurezza.
Ed ora veniamo alla governance dell’autorità pubblica sulla cybersecurity. Anche qui valgono i principi: coerenza dei processi e chiarezza delle deleghe. Frantumazione e debolezza (si veda il libro Bianco sulla Cibersecurity del CINI), avevano caratterizzato l’assetto disegnato dal governo Monti nel 2013: governance confusa, risorse inadeguate, mancanza di un disegno efficace della necessaria cooperazione tra pubblico e privato, assenza di incentivi e anche di attenzione nelle priorità di investimento pubblico (ricerca e innovazione). Questo assetto inadeguato non è però stato risolto dal governo Renzi, in cui demiurghi anche titolatissimi affiancavano il Presidente del Consiglio, ma privi di strumenti normativi e procedurali atti a far lavorare in modo coerente le strutture pubbliche. Le quali non rispondono alle sollecitazioni, non perché non ne hanno voglia, ma perchè non sono tenute -giuridicamente e organizzativamente- a rispondere. Privi della responsabilità e delle capacità sanzionatorie, i demiurghi si trasformano così nell’ennesima incarnazione dell’immobilità dell’amministrazione.
Nel suo intervento in chiusura della presentazione del Rapporto, Alessandro Pansa (nella foto) ha aperto qualche speranza in questo senso. Ha richiamato la responsabilità pubblica sulla sicurezza digitale, ricondotta oggi al Dipartimento sulla Sicurezza della Repubblica, di cui è Direttore Generale presso la Presidenza del Consiglio. Questa unificazione elimina le confusioni dell’assetto disegnato nel 2013, semplifica e rende più snella la struttura operativa. Ha insistito sulla responsabilità e sull’unitarietà di gestione dei Cert PA e Nazionale, coordinati dal DIS come organo tecnico del Comitato Interministeriale per la Sicurezza della Repubblica, presieduto dal Capo del Governo.
Ha anche riconosciuto un ruolo decisivo alla collaborazione pubblico privato, simile a quanto accade negli Stati Uniti e nel Regno Unito, indicando nel CINI un esempio efficace di questa partnership. Secondo Pansa, un ecosistema improntato alla tutela della sicurezza delle imprese e dei cittadini è capace di far crescere diffuse capacità professionali e tecnologiche, e crea nuove opportunità in un mercato competitivo attraendo investitori stranieri, creando nuove aziende, sviluppando la formazione di alto livello.
Se a Pansa verranno riconosciute le risorse e le deleghe di responsabilità adeguate e coerenti con questa esigenza di focalizzazione, mobilitazione e governance unitaria della responsabilità pubblica in materia di cybersecurity, allora verrà superata l’attuale impasse, che ci vede in posizioni di retroguardia a livello internazionale.