L’Italia e gli Stati Uniti sono entrambi ottimi esempi di “forti difese informatiche”, secondo il Segretario Generale della NATO, Jens Stoltenberg, intervenuto lo scorso 9 novembre alla Nato Cyber Defence Pledge Conference 2022 che si è tenuta a porte chiuse alla Farnesina.
Il contesto di queste dichiarazioni è quello della guerra russo-ucraina che sta avendo come conseguenza, fra le altre, il rafforzamento delle difese cibernetiche della NATO. Stoltenberg ha quindi parlato della nuova postura della NATO in termini di reazione: le cyber-attività possono innescare l’Artico 5 del trattato atlantico che è alla base dell’Alleanza.
Un attacco a un alleato è un attacco a tutti gli alleati e l’art. 5 sancisce il mutuo soccorso tra Stati alleati. La sua estensione all’ambito cibernetico è stata stabilita in seguito al Vertice Straordinario dell’Organizzazione tenutosi a Bruxelles nel marzo 2022.
Baldoni: “Ecco cosa farà nel 2023 l’Agenzia della cyber, per una Italia più protetta”
Indice degli argomenti
Cyber difese: Italia esempio da seguire
L’Italia dal canto suo ha inserito il tema del contrasto cibernetico nell’articolo 37 del primo DL “Aiuti”. L’articolo prevede che il Presidente del Consiglio dei Ministri, acquisito il parere del Comitato parlamentare per la sicurezza della Repubblica, emani disposizioni per l’adozione di misure di intelligence di contrasto in ambito cibernetico, da attuarsi a cura di AISI e AISE sotto il coordinamento del DIS in situazioni di crisi o di emergenza, a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale.
L’articolo prevede, inoltre, la possibilità di avvalersi della cooperazione del Ministero della difesa e del ricorso alle garanzie funzionali di cui all’articolo 17 della legge 3 agosto 2007, n. 124. Il Copasir sarà chiamato ad esprimere una valutazione sull’applicazione della norma dopo 24 mesi dall’entrata in vigore.
Abbiamo dunque una norma che, per la prima volta nella nostra storia, prevede un contrasto a minacce cibernetiche “in rapporto al rischio per gli interessi nazionali coinvolti, secondo criteri di necessità e proporzionalità, anche in attuazione di obblighi assunti a livello internazionale”.
Secondo il Segretario l’Italia è a livello degli Stati Uniti come esempio di “forti difese informatiche”, grazie a provvedimenti come la Strategia Nazionale del maggio 2022 e la creazione dell’Agenzia per la Cybersecurity Nazionale.
Siamo sempre abituati a immaginarci come un fanalino di coda della sicurezza cibernetica, invece Stoltenberg cita il nostro Paese come esempio.
Questo dovrebbe farci capire una serie di cose.
Importante attuare le norme in tema cyber
Prima fra tutte, che l’attenzione posta dal Governo al tema della cyber security deve continuare e il nuovo Governo dovrà prendere visione del pacchetto normativo e dei prossimi passi da attuare per dare concretezza alle azioni previste, ma non ancora attuate.
Nella strategia e nel piano attuativo che la accompagnava a maggio sono state previste molte attività, come pure nelle norme, come quella del PSNC, che ancora attendono attuazione.
Pensiamo a tutto il tema delle certificazioni di prodotto che ora coinvolgeranno i dispositivi ICT per gli appartenenti al Perimetro di Sicurezza Nazionale Cibernetica, per gli operatori del cloud e per tutti coloro che operano in ambito 5G.
E questo è solo un esempio, ma molto significativo, perché le norme prevedono controlli, verifiche e certificazioni obbligatori, ma l’assenza di uno schema di valutazione (o di certificazione) lascia ancora nel dubbio le modalità e i processi con i quali attuare questa previsione normativa.
C’è ancora molto da lavorare per le PA e le PMI
In secondo luogo, l’affermazione di Stoltenberg ci dice che le azioni intraprese sono “un ottimo esempio”, il che significa che i dati relativi agli attacchi e agli impatti degli attacchi cyber ad aziende italiane, pubbliche e private, dovrebbero raccontare una situazione analoga.
Attendiamo la relazione del DIS al Parlamento sul 2022 e vedremo i risultati.
Nel frattempo si parla sempre più spesso di intraprendere azioni preventive sulle aziende per evitare che possano essere pagati riscatti per i ransomware: il provvedimento sembrerebbe auspicabile.
Ancora una volta occorre dare seguito tempestivamente a quanto delineato per mitigare i danni che potremmo subire a livello industriale dal dilagare del fenomeno dei ransomware.
Le nostre infrastrutture critiche lavorano da anni al tema della cyber security e sono sicuramente al passo con i tempi. I dati che potremmo considerare “temibili” sono quelli che riguardano la PA soprattutto locali e le PMI, ancora entrambi molto in difficoltà nell’operare in termini di cyber security.
Le PA locali non riescono a spendere i fondi del PNRR e sono ancora in una impasse strategica: molto spesso il personale al loro interno ha una scarsa preparazione in campo informatico e soprattutto in sicurezza informatica e la realizzazione di una strategia di cyber security diventa difficile.
I processi di digitalizzazione sicura e di messa in sicurezza delle pubbliche amministrazioni locali, elementi essenziali nell’assicurare a livello territoriale la qualità dei servizi ai cittadini, trovano nel PNRR un’opportunità di concreta attuazione.
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Accelerare sull’autonomia digitale nazionale
Infine, essere un “esempio” ci deve far riflettere sull’importanza di mantenere il piede sull’acceleratore della autonomia digitale nazionale: il mondo che cambia alla luce anche della guerra russo-ucraina e del post pandemia ci sta portando a intraprendere la strada delle capacità cyber dichiarate anche a livello militare e non più solo civile.
Avere dei “campioni” industriali nazionali significherebbe essere un interlocutore paritetico con qualsiasi altro Stato e con qualsiasi avversario, ma significherebbe anche avere capacità (umane e tecnologiche) interne al nostro Paese per difenderci.