La cyber security nel PNRR: troppo poco e senza organicità - Cyber Security 360

l'analisi

La cyber security nel PNRR: troppo poco e senza organicità

Solo qui per la PA la cybersecurity è citata esplicitamente, con 620 milioni di euro. In altri ambiti i vantaggi cyber saranno indiretti – ad esempio per gli incentivi 4.0 alle aziende. Troppo poco e manca di certo una visione unitaria nel PNRR. Peccato: il Paese non può essere moderno, col digitale, e competitivo se non è anche cyber sicuro

26 Apr 2021
F
Luisa Franchina

Hermes Bay

Una spruzzata di cybersecurity qui e là, senza troppo impegno. La prima componente della missione di digitalizzazione del “Piano Nazionale di Ripresa e Resilienza” (PNRR), ora alle Camere dopo la revisione del Governo, riguarda la digitalizzazione e la modernizzazione della PA. In questo ambito, gli interventi sono cambiati, anche se resta ancora primario lo sviluppo di un cloud nazionale e l’effettiva interoperabilità delle banche dati.

Alla cyber security della PA – un grosso tallone d’Achille del Paese, come si è visto di recente e come riconosciuto dallo stesso ministro all’innovazione Vittorio Colao – solo 620 milioni di euro.

Peraltro solo qui la cyber citata esplicitamente all’interno di una voce di dettaglio, nel PNRR. In altri ambiti i vantaggi cyber saranno indiretti – ad esempio per gli incentivi 4.0 alle aziende, dove la cyber è citata solo di passaggio tra gli obiettivi.

Troppo poco e manca di certo una visione unitaria nel PNRR. Si poteva certo fare di più per un piano così importante e dove il digitale ha un ruolo così strategico. Alla missione denominata Digitalizzazione, innovazione e competitività sono allocati infatti ben 50,07 miliardi (Pnrr, React EU e fondo complementare).

Cyber security nella PA

Vediamo il digitale nella PA. Il riquadro di sintesi recita al primo punto: digitalizzare la pubblica amministrazione italiana con interventi tecnologici ad ampio spettro (cloud, interoperabilità dati, servizi digitali, cyber-security) accompagnati da incisive riforme strutturali.

WEBINAR
[WEBINAR 28 maggio] AI e cloud networking: come mettere in sicurezza l'azienda diffusa
Cloud
Intelligenza Artificiale

La possibilità di digitalizzare maggiormente e in modo più sicuro la PA e lo Stato in genere rappresenta una opportunità fondamentale per il nostro Paese.

Per la PA la cyber security è citata alla voce infrastrutture digitali e cyber, per circa 1.250 milioni, di cui circa 50 milioni già stanziati per la realizzazione di un data center del Ministero dell’Interno e per il potenziamento delle reti di connettività delle strutture operatici del CNVVF.

Alla cybersecurity nazionale 620 milioni di euro.

Si legge nel piano:

“La digitalizzazione aumenta nel suo complesso il livello di vulnerabilità della società da minacce cyber,
su tutti i fronti (ad es. frodi, ricatti informatici, attacchi terroristici, ecc.). Inoltre, la crescente dipendenza
da servizi “software” (e la conseguente esposizione alle intenzioni degli sviluppatori/proprietari degli
stessi) e l’aumento di interdipendenza delle “catene del valore digitali” (PA, aziende controllate dallo
Stato, privati) pongono ulteriore enfasi sulla significatività del rischio in gioco e sull’esigenza, quindi, di
una risposta forte. La trasformazione digitale della PA contiene importanti misure di rafforzamento delle
nostre difese cyber, a partire dalla piena attuazione della disciplina in materia di “Perimetro di Sicurezza
Nazionale Cibernetica”. Gli investimenti sono organizzati su quattro aree di intervento principali. In
primo luogo, sono rafforzati i presidi di front-line per la gestione degli alert e degli eventi a rischio
intercettatati verso la PA e le imprese di interesse nazionale. In secondo luogo, sono costruite o rese
più solide le capacità tecniche di valutazione e audit continuo della sicurezza degli apparati elettronici e
delle applicazioni utilizzate per l’erogazione di servizi critici da parte di soggetti che esercitano una
funzione essenziale. Inoltre, si investe nell’immissione di nuovo personale sia nelle aree di pubblica
sicurezza e polizia giudiziaria dedicate alla prevenzione e investigazione del crimine informatico diretto
contro singoli cittadini, sia in quelle dei comparti preposti a difendere il paese da minacce cibernetiche.
Infine, sono irrobustiti gli asset e le unità cyber incaricate della protezione della sicurezza nazionale e
della risposta alle minacce cyber. Tutto ciò è svolto in pieno raccordo con le iniziative Europee e alleate,
per assicurare la protezione degli interessi comuni dei cittadini e delle imprese”.

Poca cyber nelle imprese

Tuttavia, dove si parla di imprese (Sostenere la transizione digitale, l’innovazione e la competitività del sistema produttivo, con particolare attenzione alle PMI, alle filiere produttive e alle competenze tecnologiche e digitali, dotare tutto il territorio nazionale di connettività ad alte prestazioni) la parola sicurezza non compare; se non un cenno tra gli obiettivi. 

“Sostenere la transizione digitale e l’innovazione del sistema produttivo attraverso stimoli agli investimenti in tecnologie all’avanguardia e 4.0, ricerca, sviluppo e innovazione, cybersecurity”.

Manca la cyber nel PNRR

Manca di fatto la cyber nel PNRR. Certo manca un approccio unitario. Quell’approccio necessario a produrre un impatto rilevante sugli investimenti privati e sull’attrattività del Paese, attraverso un insieme articolato di interventi incidenti su Pubblica Amministrazione, sistema produttivo, turismo e cultura.

Da anni riteniamo tutti che la sicurezza sia un vantaggio competitivo, industriale e nazionale, come dimostra l’atteggiamento delle aziende pubbliche e private che difficilmente denunciano incidenti di sicurezza. Sono restie a dichiararsi non sicure proprio perché la security è richiesta dal mercato, è un vantaggio competitivo.

La visione strategica sembra, ancora una volta, costruita bottom up, sulla base di singole istanze particolari invece che su una visione globale, innovativa e consapevole.

Il PNRR tenta di cogliere l’opportunità offerta dalla Commissione Europea per trasformare i costi del rilancio in investimenti per il futuro.  

Nella componente 2 della prima missione si parla di digitalizzazione, innovazione e competitività del sistema produttivo. Si parla di reti ultraveloci e 5Gcon 6,31 miliardi e di tecnologie satellitari ed economia spaziale con 1,29 miliardi.

Un tema critico che ci saremmo aspettati di vedere affrontato è il rafforzamento della cybersecurity nazionale. Tuttavia, risulta ancora irrisorio lo stanziamento sui temi di cyber security e la suddivisione delle voci di intervento.

Ci saremmo anche aspettati di vedere un rafforzamento dell’industria nazionale, anche di nicchia, nei temi di tecnologie della sicurezza e della sicurezza informatica.

Tuttavia, ancora una colta, il PNRR sembra sorvolare sugli aspetti della digitalizzazione “smart”, non basata solo sul lavoro remoto, ma soprattutto basata sulla sicurezza “a casa e al lavoro”.

Una forma di digitalizzazione che costituisce, invece, una best practice di resilienza delle aziende tutte, pubbliche e private, per continuare a lavorare, almeno nei servizi immateriali, e che è basata, nella nuova disciplina della gestione delle crisi prolungate, studiata con la pandemia, sulla immediatezza dello switch a “full digital” (anche da casa e da connessioni private e residenziali) e sulla continuità dell’uso di connessioni private e residenziali.

Il PNRR dovrebbe essere uno strumento per spingersi in avanti, anche nelle forme organizzative che supportano la sicurezza, e per far crescere il Paese nella tecnologia sicura e nella tecnologia della sicurezza.

Ancora una volta, il PNRR potrebbe essere il luogo ideale, per esempio, per stanziare fondi sulla formazione, sulla informazione e sul lancio di piccole e medie imprese che sviluppino tecnologie sicure, per finanziare progetti di standardizzazione che mantengano il nostro Paese tra i principali attori della sicurezza mondiale e della certificazione di sicurezza e, infine, per rilanciare una Italia dove “il business è sicuro”, in modo da attrarre investimenti dall’estero.

Peccato: il Paese non può essere moderno, col digitale, e competitivo se non è anche cyber sicuro.

Articolo aggiornato dopo l’ulteriore modifica del piano a un’ora e mezza della sua presentazione

QUIZ
Bradipo, Orso o Ghepardo: quanto è flessibile e agile la tua azienda? Scoprilo nel Quiz
Datacenter
Digital Transformation
@RIPRODUZIONE RISERVATA

Articolo 1 di 5