Per gli addetti ai lavori della Cyber Security, vi sono una serie di parole chiave che oramai non possono più mancare in qualsiasi strategia o piano nazionale: sono rispettivamente Public Private Partnership e Information Sharing.
Sebbene l’Italia non disponga ancora di una strategia nazionale di Cyber Security, questi due concetti sono stati proposti nella relazione che il Copasir (Comitato Parlamentare per la Sicurezza della Repubblica) ha presentato il 7 luglio del 2010 alle Camere relativamente le “possibili implicazioni e minacce per la sicurezza nazionale derivanti dallo spazio cibernetico”.
I frequentatori del contesto internazionale sanno bene come questi due argomenti siano all’ordine del giorno di qualsiasi discussione relativa alla Cyber Security.
L’Information Sharing nasce dall’Intelligence, ovvero dalle pratiche utilizzate dalle Agenzie di Sicurezza Nazionale al fine di individuare e studiare le minacce e determinare le modalità più efficaci per contrastarle e per minimizzare gli effetti.
Il cyber space è di fatto un insieme complesso di reti e sistemi interconnessi a livello planetario. Questa frammentazione lo rende fondamentalmente diverso dallo spazio fisico: non esistono grandezze fondamentali e non vi è la possibilità di osservarlo nel suo insieme, come invece avviene nel mondo reale; di fatto, non esiste l’equivalente di un satellite.
Questa difficoltà nell’avere una visione d’insieme è uno degli aspetti più sfruttati da organizzazioni criminali e soggetti con intenzioni ostili. Ogni organizzazione ha nel cyber space una “vista dalla trincea”: è in grado di vedere ciò che accade all’interno della propria rete, non è invece in grado di vedere che cosa accada al di fuori.
Questa vista parziale ha molteplici implicazioni. Primo: l’attività di prevenzione e di preparazione agli attacchi è carente, di fatto rendendo l’organizzazione più vulnerabile. Secondo: in caso di attacco o intrusione, l’organizzazione deve individuare autonomamente le modalità di risposta e mitigazione, aumentando i costi della sicurezza e il costo derivato dall’impatto degli attacchi. Terzo: i governi e gli organi nazionali di difesa hanno difficoltà ad avere una vista complessiva sulla minaccia.
Quello che manca è sostanzialmente ciò che la dottrina militare definisce Shared Situational Awareness. Rispetto alla dottrina militare vi è però una differenza sostanziale: allo stato attuale, nel cyber space ogni organizzazione è responsabile della propria sicurezza; il ruolo dei Governi e della Difesa sono ancora limitati nella protezione delle reti delle organizzazioni private. Se a questo si aggiunge che il cyber space è quasi interamente di proprietà e sotto il controllo di organizzazioni private, è evidente che vanno individuati nuovi modelli di difesa.
È su questo principio che nascono le Partnership Pubblico Private (PPP): permettere agli attori del cyber space di poter condividere informazioni e cooperare in modo da migliorare la propria capacità di difesa e di risposta alle minacce. È per questi motivi che una delle finalità principali delle PPP è proprio lo scambio di informazioni.
La Commissione europea ha lanciato diverse iniziative: nel piano di azioni per l’Agenda Digitale europea è prevista la creazione di una rete europea di scambio di informazioni denominata Eisas (European Information Sharing and Alerting System), a cui gli Stati membri sono invitati ad aderire entro il 2013. Inoltre sempre la Commissione Ue ha avviato un gruppo di lavoro denominato E3PR (European Public Private Partnership for Resilience), che si è riunito a Parigi il 10 ed 11 dicembre scorso e precedentemente a Roma nel marzo di quest’anno presso la Fondazione Gcsec di Poste Italiane.
L’Italia può contare su numerosi progetti avviati con fondi europei: MS3I (Messaging Standard for Sharing Security Information) conclusosi nel 2010, che ha visto la partecipazione del ministero dell’Interno; Neisas (National and European Information Sharing and Alerting System), conclusosi nel 2011 con la partecipazione della Presidenza del Consiglio dei ministri e infine Of2cen, progetto della Polizia Postale e delle Comunicazioni sviluppato in partnership con le banche italiane e con altre forze di Polizia europee. Inoltre da tre anni è attiva l’European Electronic Crime Task Force, iniziativa avviata da Poste Italiane, dalla Polizia Postale e dal Us Secret Service e che vede impegnate decine di realtà pubbliche e private.
Nonostante queste esperienze positive, in Italia manca ancora una vera e propria PPP per la Cyber Security: i tempi però sono maturi, le organizzazioni sentono la necessità di fare sistema e sono disposte a partecipare e supportare iniziative di questo genere. È arrivato il momento di affrontare il tema della Cyber Security anche nel nostro paese ed abbiamo l’opportunità di partire con iniziative concrete e dal forte impatto.
