Approvata la strategia nazionale di cybersicurezza 2022-2026
Lo scorso 18 maggio, durante la settimana che ha visto l’Italia in piena emergenza per gli attacchi cyber anche a causa del conflitto russo-ucraino, il Comitato interministeriale per la Cybersicurezza, presieduto dal premier Mario Draghi, ha approvato la Strategia Nazionale di Cybersicurezza (2022-2026) e l’annesso Piano di implementazione, entrambi elaborati dall’Agenzia per la Cybersicurezza Nazionale (ACN). Nella stessa riunione è stato approvato anche lo schema dell’ultimo DPCM, che indica i criteri che i laboratori devono rispettare per accreditarsi come laboratori di prova per il Centro di valutazione e certificazione nazionale (CVCN), per la realizzazione del Perimetro di sicurezza nazionale cibernetica gestito dall’Agenzia per la Cybersicurezza Nazionale. Analizziamo i principali elementi che caratterizzano la nuova Strategia Nazionale di Cybersicurezza.
Premessa
Il documento inizia con un’analisi dello scenario che caratterizza il periodo attuale, concentrandosi, in particolar modo, sulla circostanza che la quasi totalità delle azioni umane sfruttano innumerevoli servizi, interconnessi e comunicanti, concepiti per il soddisfacimento delle quotidiane esigenze delle comunità e per lo svolgimento delle relative attività economiche: infrastrutture energetiche, mercati finanziari, forniture di acqua potabile, trasporti di massa, e, non ultime, le funzioni essenziali dello Stato, incluse la sua difesa e integrità.
Tale complessità e l’interdipendenza dei sistemi ha favorito l’unificazione della dimensione digitale e il mondo reale. Da ciò si desume che se, da una parte, l’incessante evoluzione delle moderne tecnologie rende più conveniente la migrazione verso il digitale, dall’altra, solo la resilienza e la sicurezza delle reti e dei sistemi, su cui tali servizi si basano, possono garantire la sicurezza per la comunità e, in prospettiva, lo sviluppo economico e il benessere dello Stato.
In questo scenario occorre prepararsi seguendo un approccio che includa l’adozione di misure di prevenzione e mitigazione del rischio volte a innalzare la resilienza delle infrastrutture digitali. Queste ultime, secondo il nuovo paradigma, non includono soltanto reti, sistemi e dati, ma anche, e soprattutto, utenti, la cui consapevolezza va alimentata attraverso una diffusa cultura della cybersicurezza.
I recenti attacchi hanno fornito evidenze di danni economici e reputazionali per imprese, blocco dell’operatività di infrastrutture energetiche, malfunzionamenti di sistemi informativi impiegati da aziende ospedaliere e sanitarie, diffusione di dati personali che mirano a screditare figure pubbliche, fino a metterne in pericolo, talvolta, l’incolumità.
Tali premesse hanno consentito di individuare quattro aspetti su cui è stata sviluppata la nuova strategia:
- la definizione di adeguate strategie di cybersicurezza rientra a pieno titolo tra i doveri dello Stato;
- la cybersicurezza deve porsi a fondamento del processo di digitalizzazione del Paese, anche nell’ottica di conseguire l’autonomia nazionale strategica nel settore;
- la cybersicurezza non deve essere percepita come un costo, ma come un investimento e un fattore abilitante per lo sviluppo dell’economia e dell’industria nazionale, al fine di accrescere la competitività;
- la messa in sicurezza di infrastrutture, sistemi e informazioni dal punto di vista tecnico deve essere accompagnata da un progresso culturale ad ogni livello della società, verso un approccio “security-oriented”.
Le sfide da affrontare
L’evoluzione tecnologica ha determinato la comparsa di nuovi rischi, e ulteriori ne sorgeranno con l’avanzare della stessa e delle tecniche di attacco. A tal proposito, l’Agenzia ha delineato tre macrocategorie di rischi sistemici da dover gestire:
- i classici attacchi cyber che sfruttano errori software, errate configurazioni, debolezze nei protocolli e/o umane, per sottrarre dati o arrecare danni ai sistemi, che hanno un impatto sull’erogazione dei servizi, anche essenziali di un Paese, sul suo PIL e sulla sua reputazione;
- le tecnologie ICT sviluppate e prodotte da grandi realtà aziendali, talvolta controllate o, comunque, influenzate nel loro operato dai Governi in cui hanno sede, con conseguenti possibili ingerenze nella catena degli approvvigionamenti, sia in termini di disponibilità sul mercato delle relative componenti, sia di affidabilità delle stesse;
- la diffusione di fake news, deepfake e campagne di disinformazione che tendono a confondere e destabilizzare i cittadini di un Paese immergendoli in uno spazio informativo non controllato con un insieme pressoché infinito di sorgenti di notizie che polarizzano le opinioni cambiando il modo in cui percepiamo la realtà.
Alla luce dei citati rischi, la nuova Strategia Nazionale di Cybersicurezza, sviluppata dall’Agenzia per la Cybersicurezza Nazionale (ACN), mira ad affrontare le seguenti sfide:
- Assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione (PA) e del tessuto produttivo. “Non ci può essere transizione digitale senza un’adeguata resilienza agli attacchi e agli incidenti cyber”;
- Tendere ad autonomia strategica nazionale ed europea nel settore del digitale. “Più si è autonomi dal punto di vista tecnologico e più si possono attuare politiche di sovranità delle informazioni”;
- Anticipare l’evoluzione della minaccia cyber. “È apparso chiaro come sia necessario puntare su tattiche di difesa attiva volte ad aumentare i costi di eventuali attività cyber offensive, così da renderle economicamente svantaggiose. Occorre, per quanto possibile, anticipare la minaccia, ossia prevederla, prevenirla e mitigarne il più possibile gli impatti”;
- Gestire le crisi cibernetiche. “Gli ultimi incidenti hanno messo in evidenza l’importanza primaria di un meccanismo efficiente di gestione delle crisi cibernetiche, che consenta, con l’apporto di tutti i soggetti interessati, di graduare le attività sulla base di scenari predefiniti della minaccia cyber”;
- Contrastare la disinformazione online nel più ampio contesto della cd. minaccia ibrida. “Il ricorso sempre più massivo alla disinformazione online richiede, specie quando essa assume connotazioni strutturate, azioni preventive e di contrasto sinergiche e coordinate a livello sia nazionale che internazionale per ostacolare i tentativi di mettere a repentaglio il sistema di valori su cui si base la democrazia”.
È implicito che l’implementazione delle richiamate sfide prevede un adeguato programma di investimenti e leve finanziarie, la vera novità di questo Piano Strategico. In particolare, sono previsti: Fondi nazionali, con una Quota percentuale del 1,2% degli investimenti nazionali lordi su base annuale; Finanziamenti specifici, che l’Agenzia sarà chiamata a gestire in quanto è stata designata quale Centro Nazionale di Coordinamento (NCC); e, infine, le risorse previste nel Piano Nazione di Riprese e Resilienza (PNRR) per l’attività di Transizione Digitale e il potenziamento delle capacità di resilienza delle infrastrutture e dei servizi digitali del Paese.
Visione strategica: gli obiettivi da perseguire
La seconda parte del documento illustra gli obiettivi individuati per fronteggiare al meglio le sfide per il sistema-Paese sopra delineate: protezione, risposta e sviluppo, e le relative misure, funzionali ad assicurare la concreta attuazione della strategia, raggruppate per aree tematiche e declinabili dal punto di vista organizzativo, regolamentare e operativo. Ogni misura è associata all’obiettivo maggiormente caratterizzante, con l’indicazione degli attori responsabili dell’implementazione e tutti gli altri soggetti a vario titolo interessati, al netto di quelli direttamente beneficiari delle misure.
Per quanto riguarda il primo obiettivo, la strategia si concentra sulla protezione degli asset strategici nazionali. Esso si basa su un approccio sistemico orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli che possono abilitare una transizione digitale resiliente del Paese. In particolar modo, si dà enfasi allo sviluppo di strategie e iniziative per la verifica e valutazione della sicurezza delle infrastrutture ICT, da sviluppare attraverso il costituendo CVCN (Centro di Valutazione e Certificazione Nazionale) dell’Agenzia per la Cybersicurezza Nazionale, gli altri CV e i Laboratori Accreditati di Prova, ivi inclusi gli aspetti di approvvigionamento e supply-chain a impatto nazionale.
Per garantire un efficace e duraturo livello di protezione si delineano sette azioni di intervento:
- il potenziamento delle capacità del Centro di Valutazione e Certificazione Nazionale (CVCN) e dei Centri di Valutazione (CV), nonché l’integrazione con una rete di Laboratori Accreditati di Prova, che permetterà di sviluppare capacità nazionali di valutazione delle vulnerabilità di tecnologie avanzate a servizio degli asset più critici del Paese;
- la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente in materia di cybersicurezza, che tenga conto degli orientamenti e degli sviluppi in ambito europeo ed internazionale;
- la conoscenza approfondita del quadro della minaccia cibernetica e il possesso di adeguati strumenti tecnici, competenze specialistiche e capacità operative, in capo agli attori a vario titolo coinvolti, finalizzato all’incremento delle capacità nazionali di difesa, resilienza, contrasto al crimine informatico e cyber intelligence;
- il potenziamento del livello di maturità delle capacità cyber della Pubblica Amministrazione, assicurando una trasformazione digitale sicura e resiliente;
- la promozione dell’uso della crittografia, quale strumento di cybersicurezza, favorendone l’impiego lungo l’intero ciclo di vita dei sistemi e servizi ICT, in conformità ai principi della sicurezza e della tutela della privacy, nel rispetto dei principi stabiliti dalla normativa nazionale ed europea;
- l’implementazione di un’azione di coordinamento nazionale, coerente con le iniziative adottate a livello europeo e in sinergia con i Paesi like-minded, per prevenire e contrastare la disinformazione online, che sfruttando le caratteristiche del dominio cibernetico.
In merito al secondo obiettivo, la strategia identifica nella risposta alle minacce, agli incidenti e alle crisi cyber nazionali, la soluzione efficace per contrastare gli effetti degli incidenti attraverso l’impiego di elevate capacità nazionali di monitoraggio, rilevamento, analisi e risposta e l’attivazione di processi che coinvolgano tutti gli attori facenti parte dell’ecosistema di cybersicurezza nazionale.
Sul tema, si indica che una risposta quanto più tempestiva e risolutiva deve basarsi su:
- un sistema di gestione crisi cibernetica nazionale – assicurato dal Nucleo per la Cybersicurezza (NCS) – e transnazionale, che sia fondato su procedure di collaborazione consolidate supportate da costanti flussi informativi ed elementi di conoscenza condivisi anche grazie a reti e infrastrutture nazionali e transnazionali, con il coinvolgimento delle Amministrazioni e degli operatori privati interessati;
- l’integrazione degli attuali servizi cyber nazionali nei seguenti ambiti:
- identificazione della minaccia realizzando un “Hyper SOC”, ovvero un sistema di raccolta, correlazione e analisi di eventi di interesse da Security Operation Center (SOC), nonché dagli Internet Service Provider (ISP), al fine di individuare precocemente eventuali “pattern” di attacco complessi che potrebbero rappresentare minacce emergenti di interesse;
- assicurare e facilitare modalità di notifica unitaria degli incidenti di sicurezza cibernetica al Computer Security Incident Response Team (CSIRT), così da rendere più efficace la capacità di risposta e allarme tempestivo;
- risposta agli incidenti realizzando una rete di CSIRT/Computer Emergency Response Team (CERT) settoriali federati con lo CSIRT Italia per la condivisione di procedure, informazioni e supporto nella risposta alle minacce emergenti e agli incidenti;
- condivisione di informazioni realizzando un Information Sharing and Analysis Center (ISAC) centrale presso l’Agenzia, integrabile con una rete di ISAC settoriali sviluppati mediante iniziative pubblico-private, che possa potenziare la diffusione e l’applicazione di informazioni a maggior valore aggiunto per l’innalzamento del livello di cyber resilience del Paese;
- qualificazione di aziende in materia di incident response, in grado di fornire supporto allo CSIRT Italia nel caso in cui dovesse verificarsi una moltitudine di incidenti cyber di natura sistemica;
- l’organizzazione di periodiche esercitazioni di sicurezza cibernetica e resilienza, anche nell’ambito del Perimetro nazionale di sicurezza cibernetica, nonché la promozione e il coordinamento della partecipazione a quelle europee e internazionali;
- la definizione del posizionamento e della procedura nazionale in materia di attribuzione di attività cibernetiche ostili, che specifichi anche i diversi attori coinvolti e il relativo contributo;
- il contrasto al cybercrime, declinato nella prevenzione e nel contrasto delle attività criminali di matrice comune, organizzata e terroristica, rivolte all’integrità delle infrastrutture critiche informatizzate, ma anche le altre fattispecie di reato perpetrate attraverso le tecnologie ICT;
- il rafforzamento delle capacità di deterrenza in ambito cibernetico.
Il terzo obiettivo si concentra sullo sviluppo, consapevole e sicuro, delle tecnologie digitali, della ricerca e della competitività industriale, in grado di rispondere alle esigenze del mercato.
In particolare, sono già stati inseriti numerosi strumenti e avviate iniziative per supportare lo sviluppo delle capacità del sistema nazionale di ricerca, la trasformazione digitale e l’innovazione tecnologica:
- promuovere il ruolo del Centro Nazionale di Coordinamento (NCC) che, in stretto raccordo con il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca (ECCC), è chiamato a supportare lo sviluppo e il potenziamento dell’autonomia strategico-tecnologica e digitale dell’Unione europea e del nostro Paese;
- facilitare lo sviluppo di tecnologia nazionale ed europea, così da ridurre la dipendenza da tecnologie extra-UE, attraverso l’avvio di dedicate progettualità che saranno realizzate nell’ambito di un “parco nazionale della cybersicurezza” destinato, a tendere, ad inglobare i Cluster tecnologici che svolgono attività in materia.
- sostenere la realizzazione un “parco nazionale della cybersicurezza” che, mettendo a sistema competenze e risorse provenienti dalla Pubblica Amministrazione, dall’industria e dal mondo accademico e della ricerca, fornisca tutte le infrastrutture tecnologiche necessarie allo svolgimento di attività di ricerca e sviluppo nell’ambito della cybersecurity e delle tecnologie digitali;
- introdurre nuovi meccanismi e soluzioni incentivanti per continuare a supportare lo sviluppo industriale, tecnologico e della ricerca. Ciò, anche con l’obiettivo di:
-
- continuare a favorire la competitività del sistema produttivo del Paese, sostenendo le imprese nella loro transizione digitale ed ecologica, agevolandone l’internazionalizzazione e l’attrazione di investimenti;
- realizzare prodotti e servizi ICT ad alta affidabilità, anche incoraggiando la creazione di Product Security Incident Response Team (PSIRT) da parte degli operatori privati, per accrescere le loro capacità di gestire le vulnerabilità di prodotti ICT;
- dare un continuo impulso all’innovazione tecnologica e alla digitalizzazione della Pubblica Amministrazione e del tessuto produttivo del Paese, assicurando una costante rispondenza ai principi di cybersicurezza e facendo ricorso alle risorse messe a disposizione dal PNRR.
La strategia evidenzia che, per poter dare piena attuazione agli obiettivi descritti, è indispensabile fare riferimento a una serie di fattori abilitanti: la formazione, la promozione della cultura della sicurezza cibernetica e la cooperazione.
Infine, trasversale ai citati obiettivi, nonché ai richiamati fattori abilitanti, è la Partnership Pubblico-Privato (PPP), che permea interamente la strategia, improntata ad un approccio “whole-of-society”, che vede il settore pubblico agire sinergicamente con quello privato, il mondo accademico e della ricerca, i media, le famiglie e gli individui per rafforzare la resilienza cibernetica della nazione e della società nel suo insieme.
Conclusioni
Nel clima di cyberwar derivato dal conflitto russo-ucraino, il direttore dell’Agenzia Cybersicurezza Nazionale Roberto Baldoni crede sia necessario recuperare il passo rispetto all’Europa attraverso l’acquisizione di tecnologie e competenze. Sicuramente il rischio cyber non si placherà, anzi bisognerà mantenere l’attenzione alta. I settori maggiormente a rischio sono gli operatori energetici, finanziari e delle telecomunicazioni, oltre alla Pubblica Amministrazione. La situazione attuale è a macchia di leopardo: alcune sono bene organizzate, altre hanno problemi e sono in forte ritardo.
Il Framework normativo è stato completato, l’Agenzia sta iniziando a prendere forma, anche grazie ai concorsi in atto, ma il Gap organizzativo e tecnologico con gli altri paesi europei è ancora importante.
Si auspica che le risorse umane previste per i prossimi anni raggiungano i numeri desiderati. Lo scopo di questa operazione è diffondere una maggiore consapevolezza della trasformazione digitale e dei rischi che possono presentarsi a tutti i livelli, dalle Organizzazioni inserite nel Perimetro, fino al cittadino/utente. La maggior parte dei soggetti, rispetto ai tre paradigmi della sicurezza informatica, è concentrata prevalentemente sulla riservatezza e poco sull’integrità e disponibilità.
La Strategia, che consta di 85 punti, rappresenta la roadmap per la sicurezza digitale del Paese fino al 2026. La vera sfida è mettere a terra tutti gli obiettivi citati, la storia ci insegna altro, prima che si concretizzino attacchi molto più devastanti di quelli visti finora.
I prossimi passi, che consentiranno di implementare la strategia, dovranno essere mirati al coinvolgimento di attori capaci di raccogliere la sfida e di contribuire attivamente con le proprie competenze al raggiungimento degli obiettivi. Andrebbero quindi stabiliti e condivisi gli obiettivi strategici, le roadmap per conseguirli e definire una serie di indicatori che consentano di misurare l’evoluzione dell’implementazione.
Articolo a cura di Vincenzo Calabrò
È laureato in Ingegneria Informatica ed in Sicurezza Informatica presso le Università di Roma La Sapienza e di Milano. Ha indirizzato la sua formazione nei settori della Cyber Security e Digital Forensics ottenendo i diplomi di perfezionamento in Data Protection e Data Governance; Criminalità Informatica e Investigazioni Digitali e Big Data, Artificial Intelligence.
Ha, altresì, conseguito l’Advanced Cybersecurity Graduate Certificate alla School of Engineering della Stanford University; Professional Certificates in Information Security; Incident Response Process; Digital Forensics e Cybersecurity Engineering and Software Assurance presso il Software Engineering Institute della Carnegie Mellon University.
Dal 1992 è nei ruoli del Ministero dell’Interno ove ricopre lincarico di Funzionario alla Sicurezza CIS. In tale veste contribuisce alla valutazione dei rischi cyber, all’implementazione delle misure di sicurezza e la risoluzione di incidenti informatici. Inoltre, offre consulenza tecnica nel campo della Digital Forensics per l’Autorità giudiziaria, la Polizia giudiziaria e gli Studi legali.
Dal 2017 è Professore a contratto di Tecnologie per la Sicurezza Informatica presso alcune Università ove sviluppa le tematiche di Attack and Defense Strategies quali il penetration testing, la risk analysis, l’information security assessment, l’incident response e la digital forensics. Infine, è Autore di alcuni articoli e saggi sui temi della Sicurezza Informatica e
dell’Informatica Giuridica consultabili su https://www.vincenzocalabro.it