Se volete potete chiamarla così, tanto negli ultimi anni si può dire che qualsiasi cosa è diventata “cyber“; complici le opportunità di mercato e la “moda” del momento, abbiamo scambiato un settore critico per un settore opportunistico e di questo si deve parlare.
In queste ore l’Agenzia per la Cybersicurezza Nazionale (ACN) è al centro dell’ennesima polemica e per capire la gravità della situazione è necessario ricostruire un minimo i fatti.
Problemi di comunicazione
L’ACN non ha mai brillato troppo in “comunicazione istituzionale”, questo è testimoniato dal calibro di alcune risposte che sono state fornite nel corso del tempo dall’Agenzia e che, in parte, sono state documentate anche su questo blog. Il caso più eccezionale è stato quello legato allo scandalo dei numeri di telefono dei soggetti pubblici di cui abbiamo scritto in questo articolo “Tra data breach e comunicazioni imbarazzanti“. Credo sia chiaro a tutti che un’Agenzia governativa non può rispondere con toni al di fuori dell’istituzionale e che, per ogni risposta ignorata e non verificata, ci si assume la responsabilità delle proprie azioni. La risposta istituzionale non è solo una questione “formale” ma è dovuta ai cittadini che, attraverso le loro tasse, pagano stipendi e finanziano la struttura.
Problemi di trasparenza
In un interessante articolo pubblicato da “Il Fatto Quotidiano” e intitolato “ACN, via il responsabile della comunicazione e proteste sindacali“, i giornalisti Bisbiglia e Proietti riportano che la CISAL (Confederazione Italiana Sindacati Autonomi Lavoratori) “configura una condotta antisindacale” e che la stessa CISAL dichiara che non sarebbero chiare le modalità d’ingresso e selezione del personale ACN oltre al fatto che:
Molti di questi [n.d.a. assunti] arrivati inizialmente in comando/distacco spesso senza nessuna competenza in cybersicurezza, sono poi stati stabilizzati in posizioni gerarchicamente ed economicamente superiori rispetto al personale del CSIRT Italia.
Questo fatto, se venisse dimostrato, sarebbe particolarmente grave: innanzitutto per una sperequazione di competenze a cui gli italiani ormai sono abituati e poi per il pericoloso utilizzo di tale Agenzia. È ormai chiaro che il pericolo cyber, tanto reclamizzato sul web, sui giornali, nelle riviste, sta diventando l’ennesimo “mantra” cavalcato da sedicenti esperti e da uno stato che non ha le idee chiare di che cosa sia la cybersecurity sul piano geopolitico. Il CSIRT, che svolge un ruolo essenziale per la sicurezza informatica del Paese, sia per le P.A. che per le aziende private, non può essere soggetto a squilibri e pressioni ingiustificate, con il rischio di comprometterne il funzionamento.
Il CSIRT Italia (Computer Security Incident Response Team) è l’organismo nazionale responsabile della gestione degli incidenti di cybersicurezza a livello statale. Opera sotto l’Agenzia per la Cybersicurezza Nazionale (ACN). Coordina le risposte a incidenti informatici che coinvolgono infrastrutture critiche, enti pubblici e operatori di servizi essenziali. Riceve segnalazioni, analizza le minacce, fornisce supporto tecnico e diffonde allerte e buone pratiche di sicurezza. Collabora con altri CSIRT europei e internazionali. Supporta la prevenzione attraverso la condivisione di informazioni su vulnerabilità e attacchi. È un punto di contatto centrale per incidenti significativi a livello nazionale. Aiuta a rafforzare la resilienza informatica del Paese. Monitora costantemente la rete nazionale per identificare potenziali rischi. Promuove una cultura della sicurezza digitale tra enti pubblici e privati.
Problemi di cultura
Thomas Mann chiudeva una frase con la celebre espressione “tutto è politica” ma non necessariamente questo è un bene, soprattutto quando ad essere impattata da tale politica è un’agenzia “tecnica” che, per operare in modo performante, ha bisogno di stabilità, chiarezza e trasparenza. Il problema però è più esteso e sono anni che ci si torna sopra come in una spirale: in Italia la cultura della cybersecurity è scarsa. La politica (nella sua maggioranza) se ne riempie la bocca ma conosce a malapena i rischi, così come è scarsa la conoscenza di molti dei vertici designati a prendere decisioni strategiche sul tema. Si pensi alla grande polemica su Frattasi: attuale vertice di ACN e ritenuto inadeguato a ricoprire questo ruolo sia per l’età che per le conoscenze. In un articolo denominato “La cultura della gestione dei dati“, si era riportato uno stralcio di un’intervista del Senatore Matteo Renzi che dichiarava:
È evidente che non ci sono le capacità tecniche necessarie per gestire una materia vitale come la nostra sicurezza e la nostra privacy. Frattasi è un prefetto, di cosa parliamo?
Il problema dell’età può essere considerato relativo: una struttura di vertice deve avere conoscenze aggiornate nel campo ma anche una valida esperienza nella capacità decisionale. Ciò significa che ridurre la questione allo slogan “In alti paesi la cybersecurity viene fatta dai ventenni” non è esattamente l’approccio migliore. Lo dimostra anche il caso della CISA, l’agenzia governativa americana, che al momento vede personale non ventenne a capo della stessa.
Executive Director
Executive Assistant Director for Cybersecurity
Acting Executive Assistant Director for Infrastructure Security
Executive Assistant Director for Emergency Communications (ECD)
L’elenco completo è visibile qui e dimostra che è possibile avere un’agenzia governativa competente ed eterogenea nell’anagrafica dei propri dipendenti.
Cosa significa per l’Italia
Molte volte si trascura un fatto importante: ciò che accade nel nostro Paese non rimane al suo interno. Benché l’Italia parli poco degli esteri (se non delle notizie più comuni e diffuse), negli altri paesi è cultura leggere ciò che accade all’estero. Le polemiche e le problematiche sull’ACN valicano facilmente i confini italiani e raggiungono paesi alleati e non alleati. La credibilità dell’Italia ai tavoli tecnici è spesso garantita da personale competente che si sa far valere nelle conversazioni strategiche ma se queste persone venissero sostituite da soggetti incompetenti cosa accadrebbe?
Bisogna sempre tenere a mente che noi veniamo guardati da fuori, veniamo osservati da fuori, veniamo studiati da fuori e ciò che si apprende potrebbe essere uno “spettacolo” non così tanto dignitoso come si pensi.
Conclusioni
Un’agenzia governativa è per sua natura legata a doppio filo al concetto di “istituzione“: tutto deve essere istituzionale e quindi tutto deve essere assoggettato ad un decoro che non è opinabile ma è dovuto. Dovuto ai cittadini, dovuto agli alleati, dovuto agli obiettivi che s’intende perseguire. Un’agenzia governativa che smarrisce il senso istituzionale nelle sue attività sarà inevitabilmente meno credibile perché ritenuta incapace di rappresentare adeguatamente il proprio paese. La cosa preoccupante di questo aspetto è che le competenze possono essere trasmesse, le nozioni possono essere apprese ma il senso dello stato no, quello è innato nella persona. Ciò che sta accadendo con ACN dovrebbe far riflettere sul senso dello stato presente in molte realtà pubbliche e private italiane e sulle reali capacità di gestire un ambito così complesso come quello della cybersecurity.
