Presentate le linee guida della strategia nazionale per difendere cittadini e aziende italiane dalle minacce cibernetiche. Ecco come si svilupperà.
La prima bozza della strategia nazionale per la sicurezza informatica sarà pubblicata verso settembre. Ma Roberto Baldoni, vicedirettore del Dipartimento per le informazioni sulla sicurezza (Dis), che vigila sulle infrastrutture critiche e sullo spazio cibernetico italiano, ha già tracciato i binari su cui viaggerà il piano. Obiettivo: alzare le difese informatiche del paese davanti a minacce sempre più aggressive e preoccupanti. “Si stima che la perdita economica imputabile al cybercrimenel 2020 possa raggiungere i tremila miliardi di dollari e che gli attacchi informatici possano interessare il 74% del volume degli affari mondiali”, ha dichiarato Elisabetta Trenta, ministra della Difesa, all’apertura di Itasec, la conferenza italiana sulla sicurezza informatica.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Nel 2019 il Nucleo di sicurezza cibernetica (Nsc), che Baldoni presiede, aggiungerà tasselli alla strategia del governo. Primo: isolare “un perimetro nazionale di sicurezza cibernetica, per tutelare i fornitori e proteggere i servizi la cui interruzione comprometterebbe la sicurezza nazionale”, spiega Baldoni.
Secondo: attivare la direttiva europea Nis sulla cybersecurity, verificare che le aziende interessate la mettano a regime e coordinare le autorità coinvolte. Terzo: certificare le tecnologie informatiche per assicurarsi che rispettino gli standard nazionali ed europei. Affidando il controllo al futuro Centro di valutazione e certificazione nazionale (Cvcn).
Le munizioni di legge
L’attacco hacker che il 12 novembre 2018 ha colpito 500mila caselle di posta elettronica certificata e alcuni tribunali in Italia, costretti alla paralisi per un giorno, è stato il banco di prova del nuovo corso.
In parallelo, il 2018 ha segnato una stretta nelle regole di protezione dei dati. A maggio è entrato in vigore il regolamento europeo sulle informazioni personali (Gdpr). È iniziata l’attuazione della Nis. E l’Italia ha scritto un decreto per applicare anche alle società di telecomunicazioni difese simili a quelle che devono alzare le aziende nel mirino della Nis (pubblicato in gazzetta ufficiale a fine gennaio 2019).
Leggi che, sommate a quelle contro l’antiterrorismo e il golden power contro gli investimenti predatori, riconoscono i nuovi volti che assume la minaccia informatica. Ma che non bastano. “La disinformazione porta nuove complessità nella società”, riconosce Baldoni. E il cybercrime, aggiunge, “subirà un’accelerazone che proseguirà nei prossimi anni con l’intelligenza artificiale”.
Hacker (Getty Images)
La risposta
Le contromisure già messe a punto vanno dall’accordo con il garante dei dati personali alla Nis. A dicembre il Dis ha individuato le 465 aziende pubbliche e private che possono essere classificate come operatori dei servizi essenziali (ose). Ossia società che forniscono servizi indispensabili per il paese e il cui blocco potrebbe mettere a repentaglio la sicurezza di cittadini e aziende. Dagli ospedali alle reti elettriche, dai trasporti all’industria finanziaria.
Queste 465 aziende “dovranno alzare le loro difese, quando saranno diffuse le linee guida”, spiega Baldoni. Che si aspetta che il numero lieviti presto. “Abbiamo iniziato a ricevere richieste di aziende che vogliono diventare ose. Per diventarlo c’è stata selezione accurata, non è definitiva e presto la estenderemo”, osserva il numero due del Dis: “Se fino a dieci anni fa la sicurezza informatica era percepita come un peso, ora è vista come un valore del marchio”.
Intermezzo promozionale ... continua la lettura dopo il box:
Altro intervento sarà una stretta sugli appalti pubblici. “Siamo in fase avanzata”, annuncia Baldoni. L’obiettivo è indicare la sicurezza informatica come un parametro dirimente per vincere un’asta. “Oggi le gare sui telefonini, su beni e servizi pubblici non trattano a parte la sicurezza informatica, che entra nel massimo ribasso. Noi dobbiamo cambiare questa mentalità”, incalza. E una veste giuridica dovrà ricevere il neonato Csirt (Computer security incident response team), che dovrà prevenire e gestire gli attacchi informatici e ricevere notifiche sulle intrusioni.
Regole interne
Il nucleo guidato da Baldoni accenderà anche un faro sulle difese di prodotti e aziende italiane. Ossia in quella larghissima area che esula dalla Nis, che, riconosce il numero due del Dis, “non guarda agli affari interni di un paese, ma riguarda problematiche transfrontaliere”. In questo ottica si inserisce la creazione di un Centro di valutazione e certificazione nazionale, da insediare al ministero dello Sviluppo economico.
Prima delle elezioni europee la Commissione dovrebbe riuscire a mettere nero su bianco la direttiva sulla certificazione informatica. “Sarà un elemento importante per il settore industriale del sistema paese, che impatterà su medicale, energia, manifattura”, elenca Baldoni. Per il quale, quindi, “servirà un’autorità nazionale che proponga schemi di certificazione alle Ue, che li dovrà accettare”. Un ufficio a cui si potrebbe anche affidare l’analisi delle tecnologie sul 5G, su cui si gioca il braccio di ferro tra Cina e Stati Uniti.
Il clima politico si sta surriscaldando. All’ultima assemblea delle Nazioni Unite Russia e Stati Uniti hanno timbrato due risoluzioni parallelo e creato due diversi gruppi di lavoro sulle minacce del cyberspazio. Nel frattempo l’Europa dovrebbe mettere a punto uno strumento per sanzionare chi attacca gli spazi informatici dei paesi membri. Una risoluzione, però, che potrebbe non vedere luce prima di maggio.
Diplomazia, esercito e formazione
Per Baldoni quella cibernetica “è una battaglia di difesa ed economica”. Per l’ambasciatore Francesco Maria Talò, coordinatore della partita della cybersecurity al ministero degli Esteri, “oggi le aziende italiane esportano tra 80 e 120 miliardi di euro, ma c’è spazio per crescere e arrivare a 180 miliardi entro il 2020”. I riflessi civili delle minacce cyber sono sotto la lente anche ai piani alti della difesa. La ministra Trenta sostiene “una soluzione che consenta di includere nel 2%” del prodotto interno lordo che i paesi Nato versano all’alleanza atlantica “anche gli investimenti in cybersecurity”, non necessariamente destinati ai bilanci militari, ma anche per interventi civili.
In aggiunta al sottosegretario alla Difesa Angelo Tofalo è stato affidato un tavolo tecnico per aumentare gli investimenti in ambito cyber. Tra le proposte, l’ipotesi di una mini-leva per fare formazione in sicurezza informatica, come ha riferito in audizione alle commissioni Difesa di Camera e Senato il generale Francesco Vestito, a capo del Comando interforze per le operazioni cyber.
Baldoni guarda ai centri di competenza. A Roma, Genova e in Toscana ne sono nati di specializzata in sicurezza informatica. Potrebbe essere affidata a loro la stesura dei criteri per certificare le tecnologie pulite. E potrebbero essere coinvolti nel formare addetti in grado di alzare le difese cyber che la nuova strategia nazionale impone.
Sicurezza informatica, la strategia dell’Italia contro gli attacchi hacker