Lo scorso 18 maggio, durante la settimana che ha visto l’Italia in piena emergenza per gli attacchi cyber anche a causa del conflitto russo-ucraino, il Comitato interministeriale per la Cybersicurezza, presieduto dal premier Mario Draghi, ha approvato la Strategia Nazionale di Cybersicurezza (2022-2026) e l’annesso Piano di implementazione, entrambi elaborati dall’Agenzia per la Cybersicurezza Nazionale (ACN). Nella stessa riunione è stato approvato anche lo schema dell’ultimo DPCM, che indica i criteri che i laboratori devono rispettare per accreditarsi come laboratori di prova per il Centro di valutazione e certificazione nazionale (CVCN), per la realizzazione del Perimetro di sicurezza nazionale cibernetica gestito dall’Agenzia per la Cybersicurezza Nazionale. Analizziamo i principali elementi che caratterizzano la nuova Strategia Nazionale di Cybersicurezza.
Il documento inizia con un’analisi dello scenario che caratterizza il periodo attuale, concentrandosi, in particolar modo, sulla circostanza che la quasi totalità delle azioni umane sfruttano innumerevoli servizi, interconnessi e comunicanti, concepiti per il soddisfacimento delle quotidiane esigenze delle comunità e per lo svolgimento delle relative attività economiche: infrastrutture energetiche, mercati finanziari, forniture di acqua potabile, trasporti di massa, e, non ultime, le funzioni essenziali dello Stato, incluse la sua difesa e integrità.
Tale complessità e l’interdipendenza dei sistemi ha favorito l’unificazione della dimensione digitale e il mondo reale. Da ciò si desume che se, da una parte, l’incessante evoluzione delle moderne tecnologie rende più conveniente la migrazione verso il digitale, dall’altra, solo la resilienza e la sicurezza delle reti e dei sistemi, su cui tali servizi si basano, possono garantire la sicurezza per la comunità e, in prospettiva, lo sviluppo economico e il benessere dello Stato.
In questo scenario occorre prepararsi seguendo un approccio che includa l’adozione di misure di prevenzione e mitigazione del rischio volte a innalzare la resilienza delle infrastrutture digitali. Queste ultime, secondo il nuovo paradigma, non includono soltanto reti, sistemi e dati, ma anche, e soprattutto, utenti, la cui consapevolezza va alimentata attraverso una diffusa cultura della cybersicurezza.
I recenti attacchi hanno fornito evidenze di danni economici e reputazionali per imprese, blocco dell’operatività di infrastrutture energetiche, malfunzionamenti di sistemi informativi impiegati da aziende ospedaliere e sanitarie, diffusione di dati personali che mirano a screditare figure pubbliche, fino a metterne in pericolo, talvolta, l’incolumità.
Tali premesse hanno consentito di individuare quattro aspetti su cui è stata sviluppata la nuova strategia:
L’evoluzione tecnologica ha determinato la comparsa di nuovi rischi, e ulteriori ne sorgeranno con l’avanzare della stessa e delle tecniche di attacco. A tal proposito, l’Agenzia ha delineato tre macrocategorie di rischi sistemici da dover gestire:
Alla luce dei citati rischi, la nuova Strategia Nazionale di Cybersicurezza, sviluppata dall’Agenzia per la Cybersicurezza Nazionale (ACN), mira ad affrontare le seguenti sfide:
È implicito che l’implementazione delle richiamate sfide prevede un adeguato programma di investimenti e leve finanziarie, la vera novità di questo Piano Strategico. In particolare, sono previsti: Fondi nazionali, con una Quota percentuale del 1,2% degli investimenti nazionali lordi su base annuale; Finanziamenti specifici, che l’Agenzia sarà chiamata a gestire in quanto è stata designata quale Centro Nazionale di Coordinamento (NCC); e, infine, le risorse previste nel Piano Nazione di Riprese e Resilienza (PNRR) per l’attività di Transizione Digitale e il potenziamento delle capacità di resilienza delle infrastrutture e dei servizi digitali del Paese.
La seconda parte del documento illustra gli obiettivi individuati per fronteggiare al meglio le sfide per il sistema-Paese sopra delineate: protezione, risposta e sviluppo, e le relative misure, funzionali ad assicurare la concreta attuazione della strategia, raggruppate per aree tematiche e declinabili dal punto di vista organizzativo, regolamentare e operativo. Ogni misura è associata all’obiettivo maggiormente caratterizzante, con l’indicazione degli attori responsabili dell’implementazione e tutti gli altri soggetti a vario titolo interessati, al netto di quelli direttamente beneficiari delle misure.
Per quanto riguarda il primo obiettivo, la strategia si concentra sulla protezione degli asset strategici nazionali. Esso si basa su un approccio sistemico orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli che possono abilitare una transizione digitale resiliente del Paese. In particolar modo, si dà enfasi allo sviluppo di strategie e iniziative per la verifica e valutazione della sicurezza delle infrastrutture ICT, da sviluppare attraverso il costituendo CVCN (Centro di Valutazione e Certificazione Nazionale) dell’Agenzia per la Cybersicurezza Nazionale, gli altri CV e i Laboratori Accreditati di Prova, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale.
Per garantire un efficace e duraturo livello di protezione si delineano sette azioni di intervento:
In merito al secondo obiettivo, la strategia identifica nella risposta alle minacce, agli incidenti e alle crisi cyber nazionali, la soluzione efficace per contrastare gli effetti degli incidenti attraverso l’impiego di elevate capacità nazionali di monitoraggio, rilevamento, analisi e risposta e l’attivazione di processi che coinvolgano tutti gli attori facenti parte dell’ecosistema di cybersicurezza nazionale.
Sul tema, si indica che una risposta quanto più tempestiva e risolutiva deve basarsi su:
Il terzo obiettivo si concentra sullo sviluppo, consapevole e sicuro, delle tecnologie digitali, della ricerca e della competitività industriale, in grado di rispondere alle esigenze del mercato.
In particolare, sono già stati inseriti numerosi strumenti e avviate iniziative per supportare lo sviluppo delle capacità del sistema nazionale di ricerca, la trasformazione digitale e l’innovazione tecnologica:
La strategia evidenzia che, per poter dare piena attuazione agli obiettivi descritti, è indispensabile fare riferimento a una serie di fattori abilitanti: la formazione, la promozione della cultura della sicurezza cibernetica e la cooperazione.
Infine, trasversale ai citati obiettivi, nonché ai richiamati fattori abilitanti, è la Partnership Pubblico-Privato (PPP), che permea interamente la strategia, improntata ad un approccio “whole-of-society”, che vede il settore pubblico agire sinergicamente con quello privato, il mondo accademico e della ricerca, i media, le famiglie e gli individui per rafforzare la resilienza cibernetica della nazione e della società nel suo insieme.
Nel clima di cyberwar derivato dal conflitto russo-ucraino, il direttore dell’Agenzia Cybersicurezza Nazionale Roberto Baldoni crede sia necessario recuperare il passo rispetto all’Europa attraverso l’acquisizione di tecnologie e competenze. Sicuramente il rischio cyber non si placherà, anzi bisognerà mantenere l’attenzione alta. I settori maggiormente a rischio sono gli operatori energetici, finanziari e delle telecomunicazioni, oltre alla Pubblica Amministrazione. La situazione attuale è a macchia di leopardo: alcune sono bene organizzate, altre hanno problemi e sono in forte ritardo.
Il Framework normativo è stato completato, l’Agenzia sta iniziando a prendere forma, anche grazie ai concorsi in atto, ma il Gap organizzativo e tecnologico con gli altri paesi europei è ancora importante.
Si auspica che le risorse umane previste per i prossimi anni raggiungano i numeri desiderati. Lo scopo di questa operazione è diffondere una maggiore consapevolezza della trasformazione digitale e dei rischi che possono presentarsi a tutti i livelli, dalle Organizzazioni inserite nel Perimetro, fino al cittadino/utente. La maggior parte dei soggetti, rispetto ai tre paradigmi della sicurezza informatica, è concentrata prevalentemente sulla riservatezza e poco sull’integrità e disponibilità.
La Strategia, che consta di 85 punti, rappresenta la roadmap per la sicurezza digitale del Paese fino al 2026. La vera sfida è mettere a terra tutti gli obiettivi citati, la storia ci insegna altro, prima che si concretizzino attacchi molto più devastanti di quelli visti finora.
I prossimi passi, che consentiranno di implementare la strategia, dovranno essere mirati al coinvolgimento di attori capaci di raccogliere la sfida e di contribuire attivamente con le proprie competenze al raggiungimento degli obiettivi. Andrebbero quindi stabiliti e condivisi gli obiettivi strategici, le roadmap per conseguirli e definire una serie di indicatori che consentano di misurare l’evoluzione dell’implementazione.
Articolo a cura di Vincenzo Calabrò
I modelli di Intelligenza Artificiale (AI) stanno assumendo molto velocemente un grande ruolo nella vita…
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…