A che punto siamo con la cyber-security in Italia e in Europa

Il 4 dicembre, l’Italia ha celebrato il decennale della riforma dell’Intelligence, avvenuta nel 2007, che ha segnato il cambio di passo della sicurezza della Repubblica. Diversi sono i punti trattati da Alessandro Pansa, il direttore generale del DIS, in occasione della conferenza organizzata per l’occasione, alla presenza del Capo dello Stato, del Presidente del Consiglio e dei Ministri dell’Interno, degli Esteri e della Difesa. Diversi sono stati i punti trattati, tra i quali vorrei porre in risalto l’attenzione rivolta alla formazione e alla conoscenza diffusa, delle giovani generazioni, sui rischi derivanti dalle nuove tecnologie e delle modalità per auto-regolarsi e auto-difendersi dalle ciberinsidie. Ma facciamo il punto sulla cyber-security, per comprendere gli scenari e come le Istituzioni europee e nazionali stanno reagendo al nuovo grande problema del nostro tempo (e del futuro).

Il rapporto Clusit 2017, sulla sicurezza ICT in Italia, fotografa una situazione di crescita degli attacchi informatici (+3,75% nel 2016, rispetto all’anno precedente) e di una loro mutazione, riguardo i settori bersaglio e le modalità con le quali questi vengono realizzati.

Sui 1050 casi gravi e di pubblico dominio analizzati dal rapporto, 751 sono catalogabili come cibercrimini – i reati informatici compiuti con l’obiettivo di estorcere denaro, di sottrarre informazioni importanti richiedendone un riscatto per renderli nuovamente disponibili o con l’intento di frodare le vittime di phishing – cresciuti del 9,8% rispetto al 2015, seguiti dagli hackeraggi – ad esempio, sottrazione di dati sensibili al fine di renderli pubblici, blocco dell’accesso a siti internet – diminuiti del 23% rispetto al precedente anno restando, tuttavia, secondi in termini di numero assoluto. Diminuisce il ciberspionaggio, volto a sottrarre informazioni strategiche di tipo industriale e commerciale (una variazione negativa di 8,33% nel biennio di riferimento) e cresce del 117%, se pur ultimo in termini assoluti, la cyberwarfare – cioè tutte quelle azioni di tipo informatico in linea con le strategie militari, come l’intercettazione, la sottrazione di informazioni utili, la neutralizzazione di sistemi di comunicazione e infrastrutture critiche nemiche e il lancio di messaggi politici con chiari scopi di guerra psicologica.

Verticalizzando gli attacchi per settori colpiti, quello istituzionale (governativo, militare, servizi sanitari essenziali ed intelligence), se pur con una leggerissima flessione nel 2016 (-1,35%), resta primo assoluto con 220 attacchi di pubblico dominio rilevati, pari ad un quinto del totale, seguito da quello dei servizi online e del clouding con 179 casi nell’ultimo anno.

© Clusit 2017

Le Istituzioni, a fronte di un evidente interesse generale e per tutelare le proprie attività e i relativi dati hanno aperto una nuova stagione legislativa, sia a livello nazionale che dell’Unione europea. I governi nazionali, tra cui quello italiano, e la Commissione hanno costruito delle risposte normative volte a sviluppare una struttura di cybersecurity efficiente ed efficace che saranno, oltretutto, oggetto di analisi approfondita nel Rapporto Consumatori 2017 dell’Istituto per la Competitività, in uscita nella seconda settimana di dicembre.

Il nostro Paese, all’inizio di quest’anno, ha presentato il nuovo Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica, con l’obiettivo di sviluppare il Quadro Strategico Nazionale (QSN) composto da 6 indirizzi strategici:

1.      Potenziamento delle capacità di difesa delle infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese;

2.      Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati;

3.      Incentivazione della cooperazione tra istituzioni ed imprese nazionali;

4.      Promozione e diffusione della cultura della sicurezza cibernetica;

5.      Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica;

6.      Rafforzamento delle capacità di contrasto alle attività e contenuti illegali online.

Il Piano Nazionale non è un mero elenco di buoni propositi, ma la strategia per rendere concreto l’innalzamento del livello di sicurezza informatica del Paese, traducendo quei 6 indirizzi strategici in 11 indirizzi operativi, interessando ogni singolo aspetto della cybersecurity nazionale:

1.      Potenziamento capacità di intelligence, di polizia e di difesa civile e militare;

2.      Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati;

3.      Promozione e diffusione della cultura della sicurezza informatica. Formazione ed addestramento;

4.      Cooperazione internazionale ed esercitazioni;

5.      Operatività delle strutture nazionale di incident prevention, response e remediation;

6.      Interventi legislativi e compliance con obblighi internazionali;

7.      Compliance a standard e protocolli di sicurezza;

8.      Supporto allo sviluppo industriale e tecnologico;

9.      Comunicazione strategica e operativa;

10.  Risorse;

11.  Implementazione di un sistema di cyber risk management nazionale;

In soldoni, il PN punta ad una riorganizzazione della struttura italiana di difesa cibernetica, semplificandone la governance, ad un miglior coordinamento dei CERT (Computer Emergency Response Team) –  attualmente presenti in diversi ministeri con un loro progressivo accorpamento in due macro organismi, quello Nazionale e quello della Pubblica Amministrazione.

Nuova architettura cyber italiana © I-Com, Istituto per la Competitività, 2017

Viene resa obbligatoria, in attuazione della Direttiva NIS dell’Unione europea, la comunicazione di eventi cibernetici significativi da parte dei servizi di comunicazione elettronica, delle reti pubbliche di comunicazione, degli operatori dei servizi essenziali e delle infrastrutture critiche. Se pur resta da sciogliere il nodo della divergenza normativa tra il nuovo Regolamento Generale per la Tutela dei Dati Personali (GDPR) e la già citata Direttiva NIS, in quanto quest’ultima prevede l’obbligo, nei confronti dei settori strategici ed essenziali, di comunicare ogni evento d’impatto sulla fornitura dei servizi stessi esclusivamente alle autorità competenti, per evidenti motivi di sicurezza nazionale; diversamente, il nuovo Regolamento sulla Privacy (a pieno regime da maggio 2018) impone la notifica di violazioni dei dati anche ai “data subjects”, ovvero i soggetti a cui quelle informazioni violate facciano riferimento.

Tornando alla struttura di difesa cyber nazionale, un ruolo centrale sarà ricoperto anche dall’AgID, l’Agenzia per l’Italia Digitale, chiamata a dettare indirizzi, regole tecniche e linee guida in materia di sicurezza informatica e dei relativi standard, assicurandone una qualità tecnica elevata ed un costante controllo dei sistemi informatici pubblici e della loro rete di interconnessione, attenzionando i piani ICT delle diverse amministrazioni pubbliche.

Interessante risulta anche la rilevanza assegnata al settore R&S e alla formazione: il Piano punta alla costituzione di una rete che metta a sistema il mondo accademico e della ricerca, anche attraverso un soggetto giuridico dedicato (es. una fondazione), offrendo impulsi positivi e sostegno a questo ambito da cui non si potrà prescindere per migliorare le capacità di ciberdifesa del Paese, in particolare, attraverso iniziative di finanziamento di start-up e/o la partecipazione al capitale societario di realtà imprenditoriali d’interesse, attraverso le venture capital; la costituzione di un “Centro nazionale di Ricerca e Sviluppo in Cybersecurity”, con un’attività rivolta, principalmente, nei settori della malware analysis e della security governance; e di un “Centro nazionale di crittografia” da impiegare nella progettazione di cifrari, algoritmi e di una blockchain nazionale.

Ancora più recente è stato l’intervento della Commissione europea che, durante il discorso del Presidente Juncker sullo Stato dell’Unione, lo scorso 13 settembre, ha presentato una roadmap europea sulla cybersecurity, ponendola ai primi posti della propria agenda, affianco ai principali nodi economici e allo stringente problema dell’immigrazione.

Quattro pilastri europei sulla cybersecurity: collaborazione tra gli Stati membri, costante ricerca, tempestivo controllo e risposte adeguate. Per ognuno di questi obiettivi, la Commissione offre delle risposte attraverso la proposta di Regolamento presentata proprio durante lo Stato dell’Unione (Cybersecurity Act).

Protagonista della nuova azione dell’UE sulla cybersecurity è la nuova Agenzia europea per la Cybersecurity, evoluzione dell’attuale ENISA (l’Agenzia dell’UE per la Sicurezza delle Reti e dell’Informazione) il cui mandato scadrà nel 2020 e che sarà rinnovato attribuendole maggiori poteri, adeguate risorse, per un termine permanente. Il suo principale compito sarà di coordinare gli Stati riguardo le operazioni di difesa cibernetica, di migliorarne le capacità e la formazione al fine di una struttura di cyber defense solida e senza punti deboli nella maglia di cotta della cybersecurity europea. L’attività dell’Agenzia sarà rivolta anche al mercato, attraverso la preparazione dei sistemi europei di certificazione.

Proprio riguardo la certificazione sulla cybersecurity, la Commissione punta a sgomberare il campo dai differenti standard di sicurezza, attualmente presenti tra gli Stati membri, che hanno partorito singole certificazioni nazionali con problemi relativi al riconoscimento di queste all’interno del Mercato Unico. Un unico sistema di certificazione cyber comporterà un duplice vantaggio: da una parte costi più bassi e unici per i produttori che si ritroverebbero a richiedere la verifica dei propri prodotti una sola volta (es. il certificato degli smart meter, i contatori intelligenti, in Germania ha un costo di 1 milione di euro, diversamente da Regno Unito e Francia dove lo stesso si aggira intorno ai 150mila euro).

Riguardo la deterrenza delle azioni criminose, la Commissione intende procedere con un adeguamento della politica criminale degli Stati UE più stringente riguardo i ciberattacchi (es. le frodi), con l’allargamento della cornice edittale dai 2 ai 5 anni, a seconda delle tipologie e gravità dei reati commessi, e con dure sanzioni per le persone giuridiche coinvolte in attività di cibercriminalità. Il diritto penale sarà il binario parallelo a quello dell’attività diretta delle Istituzioni europee e nazionali al contrasto alla criminalità cibernetica.

L’attacco, di un mese fa, ad opera di Anonymous potrà essere una piccola spina nel fianco della sicurezza informatica, ma i potenziali pericoli a cui siamo esposti e che incrementeranno la loro portata in modo esponenziale, nel corso dei prossimi anni, non può tollerare indugi e tempi troppo lunghi. Serve passare alla fase operativa quanto prima e le risposte istituzionali presenti sul tavolo fanno ben sperare ma i tempi di concretizzazione di questi saranno vitali e implicheranno una maggiore o minore efficacia nella realtà dei fatti.