Il 25 maggio 2022 c’è stata la conferenza stampa del Sottosegretario, Autorità delegata per la sicurezza della Repubblica, Franco Gabrielli, e del Direttore dell’Agenzia per la Cybersicurezza Nazionale, Roberto Baldoni, per la presentazione della Strategia nazionale di cybersicurezza (2022-2026) e l’annesso Piano di implementazione. Facciamo alcune riflessioni in merito.
Informazioni di base
La strategia si basa su due tomi:
- Tomo 1: la strategia. Contiene la descrizione della strategia che si intende adottare nel periodo 2022-2026 e che troverà realizzazione attraverso 82 misure elencate nel tomo 2.
- Tomo 2: l’implementazione. 82 misure da adottare per realizzare tale strategia e incrementare il livello di sicurezza informatica nazionale.
Il documento si presenta chiaro, facilmente leggibile e con una struttura fruibile anche dai meno esperti; questo va riconosciuto come merito, soprattutto quando si parla di una materia come l’informatica che per molti rimane ostica perché tecnica. È importante ricordare che fanno parte dell’Agenzia per la Cybersicurezza Nazionale (ACN) tre attori essenziali:
- Il Computer Security Incident Response Team (CSIRT) Italia, la cui azione è volta alla prevenzione, al monitoraggio, al rilevamento, all’analisi e alla risposta ad incidenti cibernetici;
- Il Centro di Valutazione e Certificazione Nazionale (CVCN), che si occuperà di verificare la sicurezza e l’assenza di vulnerabilità note in beni, sistemi e servizi ICT in uso nelle infrastrutture da cui dipendono le funzioni e i servizi essenziali del Paese;
- Centro Nazionale di Coordinamento in materia di cybersicurezza nell’ambito industriale, tecnologico e della ricerca.
Alcune misure interessanti
Di seguito si riportano alcune misure che si ritengono particolarmente interessanti tra le 82 pubblicate.
Misura 15 – Qualificazione dei servizi cloud
Provvedere alla qualificazione dei servizi cloud per la Pubblica Amministrazione, in attuazione della Strategia Cloud Italia, al fine di assicurare adeguati livelli di sicurezza per i servizi e i dati della PA
È chiaro da tempo che il cloud è considerato l’elemento risolutivo di molti problemi della cybersecurity e, più in generale, della corretta gestione dei sistemi informativi. Lo stesso prof. Baldoni, durante la presentazione, ha fatto l’esempio dei costosi e complessi CED della P.A. che potranno essere dismessi (o razionalizzati) a favore di una tecnologia più sicura perché basata su un’infrastruttura geograficamente distribuita e fondata su livelli di servizio di elevata qualità. Intorno al cloud nazionale tuttavia si sono presentate anche molte perplessità in merito alla trasparenza dei player (che sarebbero soggetti a Cloud Act) e alla scarsa attenzione al mercato italiano (v. l’editoriale di Key4Biz). In tal senso c’è da dire che una copiosa parte della strategia è proprio studiata per riportare in Italia capacità e competenze orientate allo sviluppo e al monitoraggio di soluzioni tecnologiche.
Misura 18 – Risoluzione dei DNS nazionali
Promuovere l’implementazione di una infrastruttura di risoluzione DNS nazionale al servizio degli operatori pubblici e privati, sostenendo l’applicazione di controlli di sicurezza sulla navigazione e protezione contro attività malevole condotte anche tramite il DNS.
È importante che i domini italiani possano essere monitorati e gestiti internamente in termini di risoluzioni dei DNS (Domain Name Server). Questo è alla base di importanti attività di controllo ma anche di difesa: pochi giorni fa, durante un convegno, citavo la tecnica di difesa SCOLD Network, plausibilmente usata per respingere gli attacchi del 15 maggio contro l’Eurovision Song Contest (per approfondire aprire questo articolo). La misura 18 porta “in casa” un pezzo importante della gestione del traffico sui domini nazionali.
Misura 22 – Cifratura
Promuovere l’uso della crittografia in ambito non classificato, quale impostazione predefinita e comunque fin dalla fase di progettazione di reti, applicazioni e servizi, in conformità ai principi della sicurezza e della tutela della vita privata, nel rispetto dei principi stabiliti dalla normativa nazionale ed europea
La cifratura, argomento assolutamente sottovalutato in numerosi ambienti pubblici, trova ulteriore spazio (era stata menzionata anche nel considerando 83 del GDPR). Ovviamente in questo caso se ne parla ad altri livelli ma è comunque rilevante che si insista su un punto così fondamentale come l’implementazione e l’utilizzo delle tecnologie e meccaniche di cifratura.
Misura 26 – Collaborazione europea alla gestione degli incidenti
Contribuire alla fattiva ed efficace attivazione dei meccanismi europei di risposta coordinata agli incidenti e alle crisi cibernetiche transnazionali su larga scala.
L’importanza di una strategia più europea nella gestione degli incidenti è fondamentale per poter affrontare difese e controffensive più impegnative e organizzate. Le minacce cibernetiche possono essere affrontate al meglio solo con una visione e un’azione coordinata: rafforzare una visione europea del fenomeno è fondamentale.
Misura 30 – Prevenzione attacchi anche con I.A.
Realizzare un sistema di raccolta e analisi HyperSOC per aggregare, correlare ed analizzare eventi di sicurezza di interesse al fine di individuare precocemente eventuali “pattern” di attacco complessi, nonché abilitare una gestione del rischio cyber in chiave preventiva e integrata tra molteplici sorgenti dati, sfrut- tando anche infrastrutture di High Performance Computing e tecnologie di Servizi cyber nazionali Attori responsabili ACN Altri soggetti interessati Atenei, Ricerca, Amministrazioni centrali, Operatori privati, Regioni e Province autonome Intelligenza Artificiale e il machine learning.
È importante che ci sia stato un orientamento alla prevenzione degli attacchi tramite il potenziamento delle metodologie attraverso l’impiego di tecnologie quali l’intelligenza artificiale e il machine learning. Molti apparati di difesa, che fanno uso di tecnologie similari, si sono rivelati particolarmente efficaci nell’individuazione e nel contrasto delle minacce cibernetiche.
Misure 31 – Collaborazione con i provider per la prevenzione
Stipulare apposite convenzioni con gli Internet Service Provider (ISP), al fine di condividere eventi di interesse, così da supportare sia il raggiungimento della misura 30, sia l’individuazione precoce di eventuali minacce emergenti e la mitigazione di attacchi al nostro Paese.
Questo punto è veramente fondamentale: c’è la necessità di avere una collaborazione tempestiva ed efficace con i provider italiani per poter mitigare gli incidenti che potrebbero derivare dalle offensive come quella di Killnet di cui abbiamo parlato qui.
Misura 38 e 39 – Esercitazione
Prevedere l’organizzazione di periodiche esercitazioni interministeriali, anche in ambito Perimetro, che riguardano aspetti tecnici e operativi di gestione di eventi o crisi con profili di cybersicurezza. (Misura 38) […] Promuovere e coordinare la partecipazione a esercitazioni europee e internazionali che riguardano la simulazione di eventi di natura cibernetica, al fine di innalzare la resilienza del Paese (Misura 39).
Sulle attività come penetration test o similari si discute da molto tempo. La necessità di effettuare questo tipo di attività internamente oltre che tra i paesi europei è fondamentale: è la stessa identica cosa delle simulazioni antincendio o di quelle per il recupero dei feriti. Si basano su un principio fondamentale: non si può improvvisare ed agire in ordine sparso. In passato ci sono state delle realtà pubbliche che, in modo molto lungimirante, si sono adoperate per effettuare questo tipo di esercitazione e potremmo citare l’Istituto Poligrafico e Zecca dello Stato. La speranza è che diventi una prassi regolare che, però, deve essere effettivamente condotta all’interno delle P.A. e non condotta da remoto dai fornitori senza alcun tipo di efficacia effettiva.
Considerazioni generali
Ci sono molti aspetti che andrebbero presi in considerazione riguardo quanto detto da Gabrielli e Baldoni: è apprezzabile il tono chiaro e assolutamente franco con cui si sono rivolti alla platea dei giornalisti, senza negare problematiche ma rimarcando anche la necessità di una stampa più competente e preparata. Apprezzabile è stato evidenziare l’importanza del fattore culturale in questa rivoluzione tecnologica, fattore culturale che gioca un ruolo sempre più rilevante nell’orientamento dell’opinione pubblica.
Qualcuno tra i giornalisti ha chiesto se siano pronte sanzioni per chi non si allinea alla nuova strategia e questo è stato confermato sia da Gabrielli che da Baldoni, specificando che queste sanzioni saranno anche più “pesanti” rispetto a quelle precedenti. Tuttavia è stato chiarito che l’atteggiamento non sarà punitivo e intimidatorio ma di affiancamento e di accompagnamento ad una trasformazione della sicurezza informatica per gli enti che non sono pronti. Obiettivamente è un atteggiamento solo parzialmente condivisibile: dal 31/12/2017 (data in cui è entrata in vigore la Circolare 2/2017 di AgID) ben poche realtà pubbliche si sono adoperate per adottarle. Sono passati oltre 4 anni, un periodo sufficiente per essere comprensivi e “accompagnare” le P.A. più lente nel cambiamento. Bisogna considerare, tra l’altro, che le più virtuose non si sono viste riconoscere alcun vantaggio dalla loro tempestiva reazione ma hanno constatato come le meno virtuose siano state ignorate nella loro staticità. Un atteggiamento che rischia di ripetersi anche con questa nuova strategia e la domanda del giornalista sulle sanzioni dimostra proprio quanto sia sentito questo “paradosso”. I danni di questa inerzia, tra l’altro, spesso li hanno pagati i cittadini che si sono visti i loro dati esfiltrati dalle P.A. e divulgati.
Infine è pregevole la volontà di riportare in italia delle conoscenze e delle tecnologie che oggi non possediamo più internamente ma che acquisiamo all’esterno, con il conseguente rischio di ritrovarci a doverci occupare delle potenziali vulnerabilità (o dei comportamenti indesiderati) che potrebbero manifestarsi.
Scaricare la strategia
Per scaricare i documenti fare clic su uno dei pulsanti riportati di seguito.
Video della presentazione
Conclusioni
A parer di chi scrive la strategia sulla cybersecurity presentata da Gabrielli e Baldoni è davvero interessante e carica di opportunità da traguardare (come ha ripetuto più volte lo stesso Baldoni). Bisognerà però vedere concretamente come questo si calerà all’interno delle P.A., con quali tempi e quali modalità perché è opportuno ricordare che il clima di indifferenza verso la Circolare 2/2017 di AgID, assunto da molte (non tutte) le P.A., è un indicatore troppo importante per essere ignorato.
