Ue, Sfida cyber security per la presidenza italiana

«Quello della presidenza di turno italiana sarà il semestre europeo più digitale e più cyber della storia dell’Unione. Arriveranno all’esame dell’aula tutti i pacchetti digitali: la strategia e la direttiva di cybersecurity, il regolamento europeo sull’identità digitale, il pacchetto su data protection, connected continent ed e-commerce. Sarà un’occasione d’oro per dimostrare la stessa sensibilità che abbiamo avuto con l’identità digitale» .
A parlare è Andrea Rigoni, esperto di cybersecurity e membro della task force di Francesco Caio a Palazzo Chigi per l’attuazione dell’Agenda digitale, che ha introdotto una nuova visione della cybersecurity, dal principio del “bolt on”, cioè “incollato sopra”, al “built in”, che implica quindi i criteri di sicurezza già in fase di progettazione dei servizi. “È un approccio – spiega Rigoni – che sposta l’attenzione dalla pura e semplice difesa, e quindi dal criterio della limitazione dei danni, al principio di sicurezza come fattore abilitante. Quindi principi che devono essere visti non come obblighi a cui adeguarsi ex post, ma soluzioni a cui si può arrivare creando un framework, una struttura di regole di base per costruire servizi”.
Questo perché se un sistema non è costruito includendo già nella progettazione i requisiti più avanzati di sicurezza, i pericoli sono dietro l’angolo, e il paragone con la costruzione di un ponte rende pienamente l’idea. “Ma questa è una logica che nello sviluppo dei software e dei servizi digitali è ancora abbastanza immatura – spiega Rigoni – i vendor non sono responsabili per le vulnerabilità del software, però sono sensibili alle richieste dei clienti: questo vuol dire che se i clienti innalzano il livello delle richieste, il mercato reagirà a stretto giro producendo software sempre più sicuri. In questo il Governo può aiutare definendo i propri standard e le proprie regole d’acquisto”.
Così, la squadra di Francesco Caio ha lavorato su questo tema pensando alla sicurezza come fattore abilitante: “Disegnare e implementare sistemi e reti sicure è la chiave del successo – afferma Rigoni – per questo servono linee guida e standard flessibili, creati anche grazie a una cooperazione costante tra il pubblico e il privato, seguendo principi che nascono nell’interesse nazionale ma anche nell’interesse dei singoli, che potrebbero rischiare ad esempio, non adeguandosi, di perdere segreti industriali o più in generale possibili ricavi”.
Il ruolo del Governo è anche quello di identificare le aree di rischio che sono accettabili per le singole organizzazioni o aziende, ma che sono inaccettabili per la collettività. Solo qui intervengono le prescrizioni di legge, che possono essere standard e regole nella protezione non solo dell’individuo-azienda, ma dell’intero sistema.
“In questo quadro un Governo – continua Rigoni – deve essere in grado di definire i principi guida e di aiutare alla comprensione, perché in questa fase c’è ancora molta ignoranza sul tema: l’economia italiana è fatta da piccole e medie imprese, e la cultura della cybersecurity nelle piccole e medie imprese è molto bassa. Questo riflette la natura organizzativa delle Pmi, dove spesso non è pensabile avere un responsabile per la cybersecurity. E poi è fondamentale stimolare la creazione di capability e quindi di competenze, perché il più grosso problema che abbiamo è che mancano gli esperti”.
Per dotarsi di queste figure altri Stati sono partiti con programmi universitari, mentre in Italia, anche se la situazione sta iniziando a muoversi, attualmente le eccellenze rimangono limitate a pochi atenei come Trento, Milano, Modena e Roma. “Alcuni Governi – continua l’esperto – affidano la gestione della cybersecurity nazionale attraverso un’agenzia che ha il compito di fare standard e soprattutto verificare le performance. Perché spesso dopo le prescrizioni non si controllano i risultati, e non si capisce se le misure sono efficaci. I governi un po’ più evoluti stanno puntando a dare una serie di principi e poi lavorare a stretto contatto per vederne i risultati. Una modalità che serve anche a creare competenza e consapevolezza”.
Ma è anche vero che per le Pmi la soluzione potrebbe essere nel cloud, dove l’It diventerebbe una completa commodity, e la sicurezza sarebbe una caratteristica, e non più una funzione o un prodotto. “Questo – spiega Rigoni – innalzerà notevolmente i livelli di sicurezza: il cloud pone nuovi rischi, ma gli operatori dovranno gestirli al meglio se vorranno rimanere sul mercato. È la stessa logica delle compagnie aeree low cost: non può esserci spazio per voli non sicuri”.