1. La sicurezza è innovazione per la crescita
L’attenzione si sposta, stando alle dichiarazioni del Governo e dell’Unione Europea, sullo sviluppo, considerato prioritario tra gli obiettivi non solo economici, ma anche sociali. Tra i beni collettivi, la sicurezza è divenuta essenziale: gli attacchi alle infrastrutture critiche e le discontinuità dei servizi sono sprechi da evitare, e la sicurezza è un’opportunità di sviluppo. La sicurezza nei suoi diversi aspetti viene garantita dall’utilizzo di risorse pregiate costituite da tecnologie, da capacità innovative, da conoscenze. L’affidabilità e la resilienza delle reti, dei software, dei data base, delle transazioni, in una parola la cybersecurity o sicurezza dello spazio digitale sono beni comuni, che tutelano gli investimenti privati e pubblici in infrastrutture e servizi che oggi sono integralmente gestite e controllate via rete in digitale. Obiettivo è garantire la continuità del servizio, assicurando qualità delle prestazioni e ciò è possibile solo se la sicurezza diviene un modo di lavorare, che produce innovazione, crea occupazione, e assicura la qualità dei servizi e la protezione degli asset materiali e immateriali del nostro vivere associato.
2. Verso standard europei
L’Unione Europea ha emanato la Direttiva 114 sulla individuazione e protezione delle infrastrutture critiche fin dal 2008 e il governo italiano la ha recepita con il Decreto legislativo 61 del 2011. Il nostro Paese ha preso ulteriori impegni, con il Decreto del Presidente del Consiglio del 24 gennaio 2013, per adeguare la gestione della sicurezza digitale agli standard europei. Non sembra, tuttavia, che il decisore politico percepisca l’urgenza di accelerare i tempi di attuazione del Cert Nazionale e del Cert Pubblica amministrazione. Non sembra che sia percepita l’urgenza di mobilitare le risorse necessarie per prevenire gli attacchi e le crisi: prevenzione che fa risparmiare sui costi. È, invece, il momento giusto per attivare le risorse: competenze tecniche, responsabilità decisionali, finanziamenti (mi riferisco ai progetti sia in ambito Horizon2020, sia in ambito Smart Cities, con riferimento a strumenti quali le Risk Sharing Financing Facilities concordate tra Unione e Bei e attivate anche dal Fondo Europeo per gli Investimenti, che l’Agenzia per l’Italia Digitale deve promuovere).
3. Il Rapporto 2013 sulla Cybersecurity
Il recente Rapporto Cis-Sapienza 2013 Italian Cyber Security Report del dicembre 2013 ha sottolineato sia la rilevanza del tema, sia i punti critici della situazione italiana. Vediamo alcuni dei principali punti critici: la dipendenza da fornitori esterni e l’esposizione ad attacchi digitali.
La Pubblica Amministrazione considera se stessa come protetta da cadute dei servizi offerti da terzi, mentre si considerano coinvolte in misura crescente le utilities, le banche e istituzioni finanziarie, e, più di tutti, l’industria. Paradossalmente, questa “autarchia digitale” della Pubblica amministrazione non si traduce affatto in maggiore sicurezza, ma anzi in maggiore fragilità, come si vede dalla tabella che segue, in cui riproponiamo alcuni dati rilevati dal Rapporto Cis.
4. La convergenza pubblico-privato
La Pubblica Amministrazione ha una percentuale di attacchi inferiore solo alle banche, ma mentre queste riescono a contenere la percentuale di attacchi che hanno successo al di sotto del 20%, la Pubblica Amministrazione appare nella posizione più critica, con quasi l’80% delle amministrazioni che subiscono attacchi e oltre il 60% che subiscono danni.
Il Norton Cybercrime Report del settembre 2012 stima per l’Italia un danno di 2,45 miliardi di euro solo per i consumatori, che salgono a 85 miliardi a livello complessivo, coinvolgendo quasi 9 milioni di persone: un terzo degli utenti di internet sono vittime di cybercrime.
C’è un problema di qualità dei servizi forniti dalla PA e c’è un problema di competenze: due problemi che, solo portando la sicurezza dentro all’ordinaria amministrazione e dentro alla logica di investimento della PA, possono esser affrontati per raggiungere risultati positivi. E infatti gli strumenti più urgentemente richiesti sono: i tools, la formazione, la ridefinizione dei processi e delle responsabilità interne.
Gli imprenditori sono consapevoli che questa strada è l’unica che può portare a risultati positivi, spendendo meglio le risorse pubbliche, riducendo i rischi ed evitando i danni che la permeabilità e la debolezza dei sistemi pubblici attualmente comportano.
5. La sfida della sicurezza
Concludiamo con due raccomandazioni: la sicurezza va perseguita come processo. Essa non si ottiene una volta per tutte, con la definizione di una tecnologia o di uno standard. La collaborazione tra Pubblica Amministrazione e mondo privato può sviluppare tools, conoscenze e processi gestionali ai livelli di competenza richiesti. Si punti alle competenze e non alla dimensione delle aziende: la sicurezza è legata alla qualità e non alla quantità.
Ma la PA, non è solo cliente, che acquisisce servizi e li eroga, è anche promotore di sicurezza, con la definizione di standard e l’individuazione di best practice: questo terreno non è meno importante del primo, anzi è ancora più importante. Spesso è qui che il Paese fatica ad entrare nel valzer europeo. L’Agenda Digitale pone la sicurezza come uno degli assi della sua strategia: le aziende sono pronte a raccogliere questa sfida. Purché la danza cominci.