Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

SICurezza informatica

Cybersecurity, la politica se l’è dimenticata: quattro dossier urgenti

Cybersecurity grande assente nei programmi elettorali. Un grave errore trascurarla, però. Come insegna il recente caso M5S. Ecco perché e le cose da fare subito con il nuovo Governo

16 Feb 2018

Corrado Giustozzi

esperto di sicurezza cibernetica presso il CERT-PA AgID


L’Italia è in pieno periodo elettorale, e l’opinione pubblica è chiamata a riflettere su quelle che sono le maggiori priorità nazionali, così come individuate ed indirizzate nei programmi elettorali delle varie compagini che si presentano al voto del 4 marzo.

Tra i tanti temi più o meno caldi su cui si accende il dibattito mediatico, tuttavia, la cibersecurity praticamente non compare mai: un segnale curioso e forse addirittura preoccupante, il quale denota quantomeno una scarsa attenzione da parte della futura classe politica verso un tema che invece, stando se non altro alle cronache quotidiane, non solo risulta essere sempre più importante nella vita di imprese e cittadini ma addirittura rischia di condizionare i destini politici delle nazioni.

Nei programmi invece si parla, e tanto, di digitalizzazione, di Industria 4.0, di nuove tecnologie, di ambienti di lavoro e città smart: senza tenere in considerazione il fatto che tutte queste bellissime cose, laddove non siano dotate di intrinseci prerequisiti di sicurezza, affidabilità e fiducia, non possono funzionare né essere usate.

Il paradosso politico della cybersecurity

Perché questo paradosso? Forse la cybersecurity è ancora considerata un tema troppo tecnico, troppo da nerd, per poter avere dignità di comparire almeno in un punto elenco di un programma politico? Se così fosse si dimostrerebbe infine che, per tanti che ne parlano, sono realmente pochi quelli che ne capiscono… e quindi meglio concentrarsi su qualcosa di più vicino all’opinione pubblica, più immediatamente comprensibile anche all’uomo della strada. Come se i temi della cybersecurity non riguardassero anche l’uomo della strada ma fossero solo una cosa esoterica e lontana, da film di fantapolitica.

Il caso M5S

Eppure proprio in questi giorni di campagna elettorale anche l’uomo della strada si è trovato spettatore in prima fila di un clamoroso episodio dai forti risvolti mediatici, incentrato proprio su di un “incidente cyber” che ha coinvolto direttamente una delle forze politiche in campo. In effetti la nota vicenda della debolezza della piattaforma Rousseau del Movimento 5 Stelle era iniziata già qualche tempo fa, a seguito di una denuncia mediatica da parte di un “hacker etico” che aveva reso nota l’esistenza di alcune vulnerabilità in grado di comprometterne il regolare funzionamento, pur senza rivelarne i dettagli tecnici. Ciò aveva tra l’altro comportato la discesa in campo addirittura del Garante per la protezione dei dati personali, il quale era doverosamente intervenuto per chiarire gli aspetti rilevanti della vicenda, evidenziare le carenze della piattaforma dal punto di vista della sicurezza ed imporre ai gestori l’adozione di più efficaci misure tecniche di protezione.

Più recentemente tuttavia la questione si è infiammata quando il responsabile della violazione del sito è stato identificato e denunciato dalle forze dell’ordine, suscitando così un dibattito in merito alla liceità del suo comportamento; dibattito che si è ben presto allargato all’etica dell’hacking “white hat” ed all’opportunità o meno di introdurre anche nel nostro ordinamento, così come avviene in altri Paesi, il concetto di “responsible disclosure” con conseguente impunità per chi scopre falle nella sicurezza altrui. Tutto ciò ha suscitato una certa apprensione nell’opinione pubblica e dato luogo a discussioni dai toni talvolta persino aspri, ed è dunque singolare che non abbia prodotto strascichi sul piano dei programmi politici della compagine direttamente coinvolta o anche delle altre.

LEGGI SICUREZZA INFORMATICA PERCHE’ SIAMO A UNA SVOLTA

I quattro nodi del dopo voto

Tra l’altro il dopo-voto si preannuncia come un periodo denso di attività operative nel settore cyber per l’esecutivo che verrà, il quale si troverà a dover gestire un’eredità importante lasciatagli non solo dal Governo precedente ma, più in generale, dai numerosi adempimenti derivanti dalle importanti norme europee che entreranno in vigore, neanche a farlo apposta, proprio nelle settimane immediatamente successive alle elezioni.

  • Si comincerà a maggio con la definitiva entrata in vigore del GDPR, ossia del nuovo Regolamento europeo sulla protezione dei dati personali. Entro quella scadenza l’Italia dovrà aver varato gli ultimi pacchetti di norma attuative, e verosimilmente toccherà al nuovo Governo farlo (anche se sulla scorta di una legge delega approvata a fine dello scorso anno dal Governo uscente).
  • Entro maggio il nostro Paese dovrà anche aver recepito la cosiddetta Direttiva NIS riguardante l’innalzamento della sicurezza per gli operatori di servizi essenziali (un concetto nuovo, che amplia quello di “infrastrutture critiche”). Questo compito potrebbe in effetti non restare in capo al nuovo Governo, dato che l’esecutivo uscente sta proprio in questi giorni spingendo sull’acceleratore per poter verosimilmente emettere il relativo decreto legislativo prima delle elezioni: l’approvazione della bozza da parte del Consiglio dei Ministri si è avuta l’8 febbraio, e i tempi tecnici per la conclusione dell’iter in tempo utile ci sono. Al nuovo governo spetterà tuttavia il compito di attuare alcune delle previsioni della norma, tra le quali spicca ad esempio l’obbligo di definire, entro il prossimo novembre, quali siano effettivamente gli operatori nazionali di servizi essenziali.
  • Sempre al prossimo esecutivo spetterà il compito di normare alcuni aspetti attuativi di dettaglio, quali ad esempio la modalità con cui il CERT Nazionale ed il CERT della Pubblica Amministrazione dovranno fondersi per andare a costituire lo CSIRT Italiano unico, come da esplicita indicazione contenuta nell’approvando decreto di recepimento della direttiva NIS.
  • Infine il prossimo Governo avrà più in generale il compito di completare l’attuazione dei punti previsti dal vigente Piano Nazionale per la protezione dello spazio cibernetico, anche e soprattutto completando l’implementazione del sistema di gestione delle crisi che ruota attorno al riformato Nucleo per la Sicurezza Cibernetica, il quale non è ancora del tutto operativo nella sua nuova configurazione che lo ha visto uscire dall’alveo dell’Uffico del Consigliere militare del Presidente del Consiglio per inserirsi in quello del Dipartimento per le Informazioni per la Sicurezza (DIS). La recente attesissima nomina del “vicedirettore cyber” del DIS da parte del Governo uscente ha sbloccato una situazione di stallo che durava da diversi mesi, ed ora la strada è spianata perché la nuova struttura venga dotata di risorse e avviata al funzionamento in completa sostituzione della vecchia.

Insomma la cybersecurity, anche se non esplicitamente presente nei programmi delle forze politiche, giocherà un ruolo sempre più importante per la nostra Nazione. Auspichiamo quindi che il nuovo esecutivo possa efficacemente proseguire l’azione impostata quello che lo ha preceduto, e capitalizzare senza ulteriori indugi sulle riforme impostate. Ogni ritardo su questo programma potrebbe infatti rivelarsi estremamente svantaggioso per il Paese.

LEGGI LE MINACCE INFORMATICHE 2018