Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

Sicurezza

Quelle verità mai dette sulla cyber security

di Raoul Chiesa, Clusit, Enisa

25 Mar 2014

25 marzo 2014

Abbiamo creato un mostro, una information society che si basa su sistemi operativi, protocolli di comunicazione e software totalmente insicuri. Mentre la Pa mette i nostri dati online, sempre più sediamo su una bomba pronta ad esplodere. L’Italia per questi temi finora ha solo decreti riempi poltrone

Il prossimo semestre il nostro Paese sarà di turno alla presidenza UE e c’è da scommettere che  tratterà il tema della cybersecurity, in un modo o nell’altro.

Dico in un modo o nell’altro perché difficilmente ho visto una nazione sottovalutare così tanto della “Cybersecurity” per anni ed anni, come ha fatto invece l’Italia. Ci penso oggi, mentre sono in volo da 15 ore, libero quindi da distrazioni mentali.

Innanzitutto diciamoci una cosa: Cybersecurity non significa niente, anche se è certamente meglio della terribile parola “Sicurezza cibernetica” che siamo riusciti ad inserire in ben due DPCM e che evoca, soprattutto ai 40enni come me, ricordi da bambino, come Ufo Robot  e Mazinga Z. Eppure parlamentari, senatori (spesso molto, molto anziani), militari, giornalisti, si riempiono la bocca con questa sicurezza cibernetica. Siamo arrivati al paradosso per il quale anche i miei colleghi che si occupano proprio di InfoSec, si ritrovano costretti ad utilizzare questo termine. Ma non è certamente questo il punto.

La Cybersecurity è un mantra, un termine che piano piano ha preso piede, dagli USA all’UE, ma che in realtà vuole (vorrebbe?) occuparsi di un tema che esiste da sempre, l’Information Security (InfoSec), che in italiano si traduce con Sicurezza delle Informazioni.

Questo mi porta ad una seconda riflessione, l’ENISA. Sono uno dei trenta esperti scelti ad-personam nel (già) lontano 2010 – e riconfermato nel 2012, con mandato sino al 2015 – dall’European Union Network and Information Security Agency. Stiamo parlando dell’agenzia europea che ha il compito di supportare i 27 Paesi membri dell’EU ad essere più sicuri, dal punto di vista della sicurezza delle informazioni. E’ stata creata nel 2004 e da pochi mesi le sono stati estesi i poteri. Ma nessuno la conosce, nessuno sa della sua esistenza, delle attività dell’Agenzia. Faccio spesso conferenze, tengo lezioni universitarie e Master, mi invitano a parlare, spiego e racconto la mia vita, il mio lavoro, quello che faccio. Da qualche anno faccio sempre due domande al pubblico: se sanno cos’è l’ENISA e se sapevano che ottobre è il mese europeo della cybersecurity (ECSM, European Cyber Security Month, un’iniziativa voluta proprio dall’ENISA e supportata in tutti i 27 Paesi membri). In ambo i casi posso leggere il vuoto totale negli occhi delle persone sedute di fronte a me.

Torniamo però alle nostre care “informazioni”. Viviamo nella società più digitale di sempre, lo diceva già Al Gore proprio con il concetto di Information Society e Digital Life. Una società alla cui base sta, appunto, l’informazione, una società con keyword chiare quali global, always-on, broadband, mobile, digital inclusion, E-government, infrastrutture critiche, sicurezza, resilience.

Insisto un attimo sul concetto di “informazione”. L’informazione è potere. Ce lo dimostra l’affaire NSA (il cosiddetto Datagate, come lo chiamiamo in Italia), ma ce lo dimostrò anche nel 2005 l’hacking all’operatore Vodafone in Grecia, e ce lo dimostra un altro hacking verso un altro operatore mobile basato in Belgio, Belgacom, nel settembre del 2013. In ambo i casi, l’obiettivo degli attaccanti era quello di intercettare le chiamate vocali e gli SMS di diversi utenti (un centinaio, nel caso di Atene, tra cui il Primo Ministro ed il Capo dell’Intelligence; un numero ad oggi ancora sconosciuto nel caso di Belgacom, che tra i suoi clienti annovera la Commissione Europea e la stessa ENISA). E questo ci porta, dovrebbe portare noi italiani, a capire finalmente un’altra parola molto trendy, Cyberwar. Così come non amo il termine cyber, non posso certo amare quello di Cyberwar e preferisco quindi parlare di Information Warfare, che altro non è se non il (classico) concetto di Warfare, applicato all’odierna società delle informazioni.

E’ oramai ovvio, scontato, chiaro, evidente come, nonostante la totale assenza di legislazioni e regulation in tal senso, diverse nazioni del mondo, Europa inclusa, non si siano focalizzate solo sul concetto di Digital Defense, come tutti pensiamo, ma anche su quello di Digital Offense. Che è poi quello che mi chiedono i nostri militari, ai più diversi livelli, quando ci incontriamo informalmente e ce la raccontiamo un pò. Loro si sono (giustamente) stufati di vedere gli altri Paesi attaccare, mentre il nostro sta ancora sta cercando di capire come difendersi, come accorgersi di essere attaccato.

Vedete, nel “cyber” ci sono alcune differenze rispetto a quanto eravamo abituati. Prima di tutto, quelle informazioni che stanno alla base di tutto questo discorso non si rubano, ma si copiano. E’ una differenza sostanziale dato che, se mi rubano qualcosa, prima o poi me ne accorgo, perché non c’è più. Se invece me lo copiano, me ne accorgerò solo quando sarà troppo tardi, ed un’altra azienda concorrente sarà uscita sul mercato con il mio know-how, un prodotto simile ma migliore, o semplicemente più economico.

Questo è il motivo per il quale, nel mondo dell’InfoSec, gira una battuta, purtroppo terribilmente vera, che recita: “Ci sono due tipi di aziende. Quelle che sono state bucate, e quelle che ancora non lo sanno”. I cento target di Vodafone Grecia se ne sono accorti dopo un anno (almeno) e per puro caso; quelli di Belgacom se ne sono accorti solo perché un personaggio di nome Edward Snowden ha deciso di seguire le orme di un altro giovane ragazzo (22 anni, contro i 30 di Snowden; 19 anni il primo, all’epoca dei fatti, 26 il secondo), Bradley Manning, ed in ambo i casi la regia è di un terzo, scomodo, eclettico ed originale personaggio, Julian Assange, con cui chi scrive faceva hacking nella seconda metà degli anni ’80 ed all’inizio degli anni ’90, e che incontrai nel 2007 al Chaos Computer Club di Berlino, quando era totalmente sconosciuto a teneva un intervento davanti a meno di dieci persone. Ma torneremo anche su questo punto, magari in un prossimo articolo sulla democrazia ed il controllo di internet e delle informazioni: per intanto, consiglio due visioni davvero interessanti, “We steal secrets – the story of Wikileaks”, diretto da Alex Gibney e documentario premiato dagli Academy Award, e “The fifth estate” di Bill Condon, un film che mi ha molto colpito). Quello che è però certo è che l’Unione Europea non sta facendo niente, non ha fatto dichiarazioni forti, ufficiali, concrete, in merito allo scandalo NSA. Questo ci deve fare riflettere, dato che è in gioco la privacy e, come disse la Presidente del Brasile alla sede delle Nazioni Unite a New York pochi mesi fa, “senza privacy non può esserci democrazia”.

Parlando di differenze nel mondo cyber non possiamo non citare la velocità, un fattore essenziale quando trattiamo di contrasto al Cybercrime, quando parliamo di Cyber Espionage e di Information Warfare (due concetti ed approcci sempre più vicini), quando parliamo di guerra elettronica e di guerra digitale (due concetti ed approcci apparentemente vicini, ma invece molto diversi). Il concetto di velocità mi fa pensare al DPCM del gennaio 2013 e di conseguenza a quelle aziende che “ancora non sanno” di essere state violate. Mi riferisco al CERT Governativo, un “qualcosa” che ancora non abbiamo concretamente, dopo anni ed anni di parole, silenzi, promesse, creazione di unità speciali, nuclei speciali ed, immagino, tanti soldi spesi inutilmente. Un GOV-CERT (Computer Emergency Response Team) è l’entità che si interfaccia con il Governo, segnala le vulnerabilità e gli attacchi (in arrivo o in corso) al Sistema Paese e si unisce ad un ecosistema, peraltro abbastanza complesso, nel quale le informazioni di uno Stato devono essere protette e messe in sicurezza.

L’Italia, ad oggi, checché ne dicano, non ha un GOV-CERT; abbiamo fatto dei decreti riempi-poltrone, siamo riusciti a mettere persone non propriamente competenti all’interno di macchine burocratiche di diverso tipo, ma non abbiamo un GOV-CERT. Quando lo avremo, immagino già la gara di vendor di sicurezza (magari stranieri, come siamo riusciti a fare più volte) nel magna-magna generale, per dotarci di soluzioni inutili o non adatte/sufficienti.

In Croazia il CERT nazionale è gestito da meno di dieci persone, utilizzano solo software open source, ha un budget molto ridotto e funziona benissimo. Continuando a pensare a quelle aziende che ancora non sanno di essere esposte, in Qatar il CERT nazionale è proattivo ed effettua scansioni ed analisi quotidiane di tutto il proprio spazio internet nazionale: se individua insicurezze, alza il telefono e chiama l’azienda in questione, pregandola di “patchare” quella falla. Mesi fa proponevo un approccio del genere a livello istituzionale, e mi è stato risposto di farmi gli affari miei e di non fare nemmeno presente, se possibile, che esistono queste possibilità.

E pensare che l’esempio del CERT ideale non lo avevamo lontano, bastava guardare alla Svizzera ed al bellissimo lavoro fatto da MELANI, il loro centro di coordinamento, che passa poi le informazioni al GOV-CERT, all’Intelligence svizzera, ai militari svizzeri; il GOV-CERT, in coordinamento con intelligence e militari, avverte poi le aziende ed i cittadini. Semplice, lineare, efficace, veloce, ben organizzato.

Velocità, semplicità, essere snelli: queste sono le keyword per vincere il nemico. Quando uscì il DPCM di gennaio dovetti confrontarmi con amici, tecnici con maggiore esperienza di me nel politichese avanzato, per comprenderne i flussi, informativi ed operativi. Chi l’ha scritto è riuscito a costruire una catena di comando e scambio delle informazioni che sembra infinita, inventandosi addirittura nuovi attori e nuovi ruoli: siamo ridicoli, questo modello non ci permetterà mai di vincere le battaglie e le guerre che il mondo attuale ci propone quotidianamente, gli incidenti che accadano ogni ora, gli attacchi che riceviamo ogni minuto, come aziende e come cittadini.

Questo mi fa ripensare a quando fui chiamato dal COPASIR per andare a Roma e spiegare ai membri della Commissione che cosa stava accadendo al nostro Paese, in un’audizione molto lunga e dettagliata, dove la gran parte di quanto raccontai agli interessatissimi membri (tra cui ricordo con stima Rutelli, D’Alema ed Esposito) finì nel primo report di sempre del Comitato su questi argomenti, pubblicato dal COPASIR nell’agosto del 2010. Quello fu il classico “calcio d’inizio” ed il nostro Paese, la parte politica del nostro Paese, iniziò ad occuparsi di sicurezza delle informazioni.

Ci abbiamo però messo una serie di anni per il primo DPCM, ed un ulteriore anno per la nostra National Cybersecurity Strategy, ultimi in coda non solo al fanalino europeo, ma di molte nazioni del mondo. Va detto però che il documento uscito è molto bello, persino un guru dell’InfoSec come Bruce Schneier ci ha fatto i complimenti! Non capisco allora perché persone messe a Palazzo Chigi, alle cui presentazioni ho assistito durante alcuni, recenti eventi del mondo InfoSec (e quindi, con un pubblico davvero interessato a saperne di più ed aiutare il proprio Paese) vadano a parlare della Cybersecurity Strategy europea, che è nota da oltre un anno, e non di quella italiana che è invece appena uscita.

Come ho scritto all’inizio di questo articolo, mi trovo su un aereo. Sto volando verso Sydney, in Australia, per parlare di resilienza, o cyber-resilience se preferite. Ho accettato l’invito del “World Cyber Resilience Congress – A Call to Action” proprio per quella frase alla fine del titolo, A Call to Action e per la serietà del relatori, a differenza della maggior parte degli eventi di sicurezza informatica italiani: incontrerò colleghi dal World Economic Forum, US Department of Homeland Security, l’ex Advisor alla Casa Bianca, compagnie aeree, assicurazioni, operatori mobili, bancari, di energia, grande distribuzione, aziende di consulenza strategica, contractor militari.

Parliamo quindi un attimo del concetto di resilienza. Tutto quello che ho scritto sinora è certamente importante, ma non rende ancora l’idea della gravità della situazione e degli scenari che stiamo vivendo. Recentemente ho letto un’intervista ad uno dei soliti “cyber esperti”, una figura molto più politica che tecnica, il quale si è accorto che la sicurezza può essere un driver, un vantaggio competitivo, un “fattore abilitante”: è la scoperta dell’acqua calda, è come Angela Merkel che si accorge di come l’80% del traffico Internet mondiale passi – “oh mio Dio!” – dagli USA.

Ma c’è forse di peggio. Sembra quasi di intravedere uno “spianare la strada” ai lavori dell’Agenda Digitale (a tutt’oggi fermi come una statua di sale) verso la sicurezza informatica. Lo dico con cognizione di causa, dato che quando fui chiamato in audizione all’Agenzia per l’Italia Digitale quello che vidi non mi piacque: persone lente, prive di idee, non competenti sulla materia ma contente di riempire poltrone e di non fare nulla, se non l’indispensabile. Parallelamente a quell’incontro mi fu chiesto (da un altro interlocutore, una di quelle poche persone in quell’ambiente che fanno, sono competenti ed hanno da dire e da dare) di contribuire alla stesura delle politiche di sicurezza per la Pubblica Amministrazione italiana, centrale e locale. L’ho fatto, lo abbiamo fatto, ma l’output del Gruppo di Lavoro è stato fermato, bloccato, affossato…

Vedo poi in eventi pubblici le slide della stessa Agenzia per l’Italia Digitale e noto con piacere di come il Rapporto CLUSIT – uno studio alla cui stesura collaboro sin dalla prima edizione, fatto da un’Associazione che mi vede tra i fondatori e con la quale facciamo cultura e sensibilizzazione da oramai 14 anni – sia ampliamente citato. Questo è bene, ma mi sono chiesto il perché. E la risposta ci porta, purtroppo in un loop, continuiamo a parlare delle stesse cose ed a pagare le conseguenze dei nostri errori: a livello ufficiale, nazionale ed istituzionale, non abbiamo dati, non abbiamo statistiche concrete sugli attacchi informatici, se non le denunce fatte dai cittadini alla Polizia Postale e delle Comunicazioni (ed il già citato Rapporto CLUSIT). Dai cittadini, sì, perché nella maggior parte dei casi le aziende non denunciano – sempre ammesso che si accorgano della violazione, come abbiamo già detto.

Ora, tornando ai sedicenti esperti che parlano di sicurezza come fattore abilitante, ritengo sia ora di dire le cose come stanno. Abbiamo creato un mostro, una information society che si basa su sistemi operativi, protocolli di comunicazione e software totalmente insicuri. Sediamo su una bomba pronta ad esplodere, e non ce ne siamo ancora accorti. O non vogliamo capirlo, non ci conviene capirlo, non ci conviene ammetterlo?

Qui si deve parlare di security-by-design e non raffazzonata, aggiunta come una pezza sempre e solo quando esce, anzi, scoppia, il problema; si devono obbligare i fornitori di ICT a prevedere la security nei loro contratti, a prendersene la responsabilità laddove la mancanza di security causi incidenti più o meno gravi; la si deve smettere di fare gare per la PA, le banche, le infrastrutture critiche, dove la security si compra “un tanto al chilo”, i programmatori sono braccianti da spremere e pagare persino meno delle software house indiane e persone con forti responsabilità in mano (i casi di Snowden e Manning dovrebbero insegnare, anche in questo caso) sono sottopagate, dobbiamo smetterla di trattare l’argomento “sicurezza dei dati” come un costo ed una rottura di scatole.

Non possiamo rischiare di continuare a vedere aziende ospedalieri o comuni, regioni e province, come scopro dalle tante segnalazioni che mi arrivano dai diversi network di contatti a cui appartengo, che hanno messo on-line le cartelle dei pazienti o semplicemente hanno basi di dati sui cittadini (E-Government!), ma senza il minimo accorgimento di sicurezza, o pagando (le solite) aziende private per creare insicurezza all’interno dei loro portali; non è possibile, almeno per me, continuare a parlare con banche che non capiscono cos’è la Cybercrime Intelligence, solo perché i loro fornitori attuali vendono loro spazzatura ed ignoranza. C’è bisogno di serie azioni di Governo, di un colpo di mannaia verso tutto quello che è vecchio, inutile e che è stato sino ad oggi, completamente pensato e progettato nel modo sbagliato, per evitare di continuare a sprecare risorse economiche ed umane: non possiamo più permettercelo.

Se non cambiamo questo approccio, avremo dei seri problemi. Avremo di fronte a noi scenari apocalittici, e questo costituirà l’ennesimo freno alla ripresa dell’economia, italiana ed europea.

Viaggiare è bello, apre la mente, permette confronti con altri Paesi, ti fa pensare. Questa fine di marzo è per me un periodo di numerosi viaggi, non solo quello in Australia. Non appena rientrerò in Italia, tra pochi giorni, mi aspetta un altro volo, questa volta più breve, verso Stoccolma. Sono stato chiamato dall’Atlantic Council e dalla NATO, insieme ad un ristrettissimo gruppo di cyber esperti e decision makers, per parlare di cosa la NATO dovrebbe fare nei prossimi tre anni su queste tematiche. Nell’agenda del workshop è stato addirittura inserito il concetto di Patriotic Hackers, un qualcosa di cui parlai in un evento, ospite al Senato italiano, oramai quattro anni fa. Nessuno volle ascoltare, nessuno volle capire, tutti fecero finta di nulla. Intanto, tutti i Paesi del mondo stanno utilizzando ethical hacker per raggiungere i loro scopi e difendere la sicurezza nazionale, mettendo insieme le competenze di questi piccoli geni dell’informatica e le strategie dei propri Governi. Nel workshop di Stoccolma sarò, tanto per cambiare, l’unico italiano, così come già è successo in tanti eventi internazionali. Perchè quello che mi dicono gli stranieri quando viaggio in giro per il mondo, bene o male, poggia sempre su due argomenti: perché sei da solo, perché gli altri italiani con i quali ci interfacciamo parlano un pessimo inglese e non ci capiscono mai?

Nel ventunesimo secolo, nel pieno della società dell’informazione, dobbiamo ancora avere a che fare con italiani che non parlano l’inglese o lo parlano in modo maccheronico?? Ma stiamo scherzando?

L’ultimo aereo che prenderò in questo mese di marzo sarà verso la Germania, nuovamente per la NATO. Il mondo dell’InfoSec, in questo caso rappresentato dall’APWG (Anti-Phishing Working Group) incontrerà quello militare, insieme alla Commissione Europea,  al mondo accademico, al Law Enforcement, alle aziende private (europee, americane, svizzere, russe); si parlerà anche di Kiev e di come il cybercrime ed il cyber espionage siano fortemente attivi anche in un Paese in cui è in corso una rivoluzione.

Prima di partire ho letto attentamente l’agenda, lo schedule di questi tre giorni presso la base militare NATO di Oberammagau. Non sarò, una volta tanto, il solo italiano, saremo in quattro a tenere alta la bandiera del nostro Paese, quattro giovani, cocciuti, competenti, aperti nella mentalità e nel modo di fare, che credono in un obiettivo: rendere più sicure le informazioni nel nostro Paese.

L’Italia ha da poco un nuovo Primo Ministro, certamente giovane, che mi sembra cocciuto, competente, aperto nella mentalità e nel modo di fare e che crede negli obiettivi che persegue. Mi farebbe tanto piacere se uno di quegli obiettivi fosse la Sicurezza delle Informazioni. E non la sicurezza cibernetica.

  • Maurizio Dal Re

    Finalmente, un punto di vista autorevole da un insider addetto ai lavori!

    Nel settore pubblico italiano, sulla materia hi-tech in generale e sull’argomento specifico in particolare, perdurano una (quasi totale) mancanza di visione, di consapevolezza e di formazione che ci rendono fanalini di coda sul panorama internazionale.

    Anch’io, caro Raoul, ho vissuto, dal 2002 ad oggi, la tua triste esperienza di trovarmi quasi sempre l’unico italiano in certi consessi, fiere e convegni internazionali o, peggio, di dover assistere a penose presentazioni in un inglese stentato di certi pubblici rappresentanti italiani.

    Purtroppo, anche in grandi aziende para-pubbliche italiane, che di questa materia si fanno vanto e sulla quale potrebbero avere anche un mercato all’estero, esistono una diffusissima ignoranza ed una totale mancanza di strategia che, in un perverso meccanismo di causa-effetto, le porta ad appiattirsi su richieste e necessità contingenti, a loro volta inconsapevoli (nel migliore dei casi), del comparto pubblico italiano.

    E così, esperienza vissuta, nonostante gli inviti e le direttive governative a proteggere ed incrementare le capability nazionali del settore, noi come azienda, pur essendo presenti dal 2005 ai vertici di una parte della PA come (ancora) unica società italiana del settore, siamo costantemente a rischio di essere soppiantati da big vendor stranieri, a causa della citata diffusa incompetenza ed ignoranza (nel migliore dei casi, per non pensare male…).

    …che tristezza.

    Caro Raoul, per soddisfazione professionale e personale, ci ritroveremo a bere insieme una birra o un tè in un qualche mercato/consesso internazionale, costretti a rinunciare al buon vino italiano.

    Buon lavoro e a presto.

    Maurizio Dal Re
    CEO, Araknos
    Bologna-Casablanca-Dubai

  • even57

    Bravissimo
    concordo sulle tue valutazioni e sui tuoi pensieri. Troppo spesso in ambito italiano si ricoprono incarichi senza averne le competenze. Siamo lenti nelle risposte e poco coordinati. Complimenti
    Enrico Righetti

  • Ilgioa

    Concordo su praticamente tutto. Ma mi fa sorridere che l’autore si annoveri ancora tra i “giovani”… Se vogliamo davvero stare al passo degli altri paesi, una delle piccole cose da iniziare a fare è smettere di considerare “giovane” chi ha più di trent’anni. Solo così ci potremo davvero accorgere quanto sono vecchi quelli che stanno in cabina di comando.

  • carlettogc

    Ciao carissimo, ormai non so quante volte abbiamo disquisito sull’argomento a tavoli differenti, vuoi come relatori che come auditori. Il nostro “quality network”, fortunatamente, ci migliora e ci permette di crescere personalmente e professionalmente, se servisse anche su altri tavoli potremmo lamentarci di meno, il realtà è assolutamente vero che NON veniamo ascoltati per nulla! Ed anche io, tra un volo e l’altro all’estero (perché in Italia ho dovuto smettere di parlare ai “muri” diciamo così) mi sono fatto delle domande proprio rileggendo questo tuo piccolo gioiellino di articolo.
    1. perché quando parliamo all’estero le nostre idee non solo si materializzano ma diventano anche generatore di business (che tanto piace a qualcuno?) e a casa nostra no?
    2. se ci sono Decreti e leggi perché non vengono applicati?
    3. se continuano a chiamarci per avere informazioni e consigli perché poi tutto svanisce per anni?
    E bene, mi sono anche dovuto dare delle risposte…
    1. perché sebbene siamo competenti (permettimi di sedermi accanto a te), non facciamo parte di quelle “schiere” (o lobby come preferisci) nelle quali quando qualcuno racconta che l’acqua a 100 gradi bolle tutti applaudono… sappiamo come funziona l’Italia: è il risultato di questo nostro essere “vecchi” (ne parlavo proprio oggi con colleghi ad Abu Dhabi) come sistema paese. E sul concetto di vecchi e di poltrone dovremmo aprire un altro post…
    2. probabilmente perché è necessario che “le carte” siano a posto. Non possiamo certo non essere al passo con i tempi e non avere nemmeno delle leggi ad hoc, anche perché in campo internazionale ai nostri politici basta sventolare il “foglio di carta” e dire: ” noi in Italia la legge ce l’abbiamo!”… poi tra il dire ed il fare…. infatti siamo il paese al mondo in assoluto che ha più leggi e contestualmente quello in cui queste leggi non vengono applicate, rispettate, fatte rispettare etc… però sono convinto che per dare contezza a questi “decreti” in qualche modo sia necessaria un’azione decisa di governo che passi non solo per dei controlli, ma anche per delle sanzioni, che in Italia purtroppo pare servano solo a fare cassa quanto serve.
    3. perché probabilmente non si ha una politica del fare reale. Ho notato che una volta proposta una soluzione il successivo passo di chi riceve l’informazione è quello di analizzare la situazione per capire come, per mettere in essere quella soluzione, si possa montare dietro un processo in cui ci si possa fare del business. E tanto queste analisi vanno avanti, più si complica il processo, più si dilatano i tempi, più si perde in efficacia ed efficienza.
    Non si capisce ancora che una volta diventati bersaglio è solo una questione di tempo (poco) prima di avere già il danno fatto.
    Se si capisse che il tempo per decidere e risolvere deve essere più breve del tempo per creare un danno allora forse avremmo la soddisfazione di vedere i nostri suggerimenti applicati in tempi molto più rapidi.
    Forse un giorno mi metterò a scrivere di tutti i dati del nostro governo che circolano già in giro per le reti planetarie.
    Quando vedremo una portaerei come la nostra Cavour ma battente bandiera Cinese per i mari del mondo forse qualcuno si farà delle domande, speriamo che sia dia anche delle risposte!
    Grazie, caro Raoul, degli spunti che sempre ci dai per dire (almeno questo) la nostra.
    E grazie anche a Enrico e Maurizio, persone di qualità con le quali mi piace continuare a crescere nei pensieri e soprattutto nello spirito (fortunatamente sempre liberi!)

    Carlo LANDO

  • TnT

    Condivido una serie di affermazioni del presente articolo prima fra tutte “l’informazione e’ potere” o meglio “e’ energia”.
    Volendo seguire “Velocità, semplicità, essere snelli” ha senso in questo scenario costruire un set di KPI di sicurezza (automatici, quantitativi e dinamici) che qualifichino “rendere piu’ sicuro le informazioni nel nostro paese”?

  • neverblack

    faccio parte del anche io del giro di chi le dice , le cose, direttamente. ma non viene ascoltato. purtroppo non mi posso identificare per ovvi motivi ma chi mi conosce leggendo tra le righe sotto sa chi sono e lo sa senza dubbio.
    sono d’accordo con quanto scritto da RC. avrei solo da dire qualcosa sul discorso convergenza guerra elettronica e guerra digitale, secondo me sempre piu’ vicine , ma la cosa importante e’ ora condividere , seppur su un blog come questo, il fatto che qui in Italia parliamo tanto ma facciamo poco. veramente. che si debba mettere mano ai processi di sviluppo dei sistemi critici e sensibili, quel Secure by Design citato? ne parliamo da anni. poi nulla. che si debba evitare di fare ancora i piazzisti di societa’ non nazionali che ci vendono sicurezza dopo averci venduto i “buchi”? lo sappiamo , lo sanno tutti. ma i manager senza vision e gentucola alla quale poco interessa il bene del Paese, continuano a giocare . in Italia abbiamo TUTTE le Eccellenze tecnologiche e imprenditoriali che servono per proteggerci e, magari, controattaccare se necessario. Tutte. ma investiamo li’ no? il cert nazionale con tutti i subcert di dominio ma facciamoli davvero Nazionali, caro Renzi! facciamoci le ns barriere eppoi vediamo!! gli altri lo stanno facendo.No,preferiamo mettere tecnologia che se fosse davvero CONTROLLATA in ingresso da chi la deve usare sai le sorprese? tecnologia che poi, dopo 6 mesi, dobbiamo o patchare o ricambiare perche’ l’hanno bucata.ma non vedete cosa sta accadendo con SNowden e NSA? bah. per noi del gruppo ristretto diciamo che era almeno Prevedibile, no? bene e bravi tutti. a quell’appuntamento con the o birra chiamatemi che corro con piacere.

  • wild hawk

    Signor Chiesa,forse ci saremmo gia’ incrociati in “lontananza” visto che come giustamente ha rimarcato i “piccoli” anche se hanno avuto la fortuna di formarsi in un settore ben descritto da Lei e che condivido totalmente ,soprattutto , perche’ sono Italiano e difendo l’Italia, anche da solo se necessario.
    Alle sue parole, forse l’unica cosa che potrei aggiungere e’mirata alla coscienza che i pezzi di ferro servono a poco e alla tavola rotonda si devono sedere chi, scusi la modestia, ne capisce! In una visione di spending review queste sue parole sicuramente saranno come una pietra lanciata in uno stagno e gli attuali politici e soprattutto il coetaneo Prime Minister sicuramente sonon open mind sull’ascoltare fino a capire il reale problema che c’e’ sulla Sicurezza delle Informazioni della Nostra Nazione. S i fanno carte, contratti, decreti e poi? Chi ha dato il contributo per rendere il tutto fattibile e smetterla con questo clientalismo che ormai mi nausea. Mi fermo qui perche’ rischierei di utilizzare tutta la bandwidth di internet ma una cosa le dico con onesta’ professionale, sincerita’e chiarezza: io ci sono!!!!! E grazie perche’ quell’Italiano solo possa a breve non esserlo piu’.

  • SectorNoLimits

    Ciao Raoul, sono assolutamente d’accordo con il tuo sfogo, tanto che ne ho scritto anch’io di getto, ovviamente avvalorando le tue tesi. Ecco l’articolo: http://www.ettoreguarnaccia.com/archives/2885
    Grazie per lo spunto! Ciao.

Articoli correlati