l'analisi

Cybersicurezza, l’Italia s’è desta: luci e ombre della strategia nazionale

La strategia nazionale di cybersicurezza allinea il nostro paese al resto del mondo in tema di sicurezza delle reti e dei sistemi. Non mancano gli spunti interessanti, ma servirebbe forse un po’ più di concretezza

31 Mag 2022
Danilo Bruschi

Professore ordinario, Dipartimento di Informatica Giovanni degli Antoni

cybersecurity

Con la predisposizione della strategia nazionale di cybersicurezza e il suo piano implementativo presentati il 25 maggio scorso, il nostro Paese si è allineato a quanto accade nel resto del mondo, non senza qualche spunto interessante.

Strategia di sicurezza nazionale cibernetica: come sarà attuata

Le novità della strategia 22-26

Partiamo col ricordare che la strategia appena approntata si inserisce nel solco di quanto disposto dalla direttiva NIS del 2013, componente principale della strategia europea di cybersecurity, che imponeva agli stati membri, tra le altre misure, l’adozione di una strategia nazionale sulla sicurezza delle reti e dei sistemi. A seguito di questa direttiva il nostro paese ha provveduto ad emanare il suo primo piano nazionale “ufficiale” per la cybersicurezza nel 2014 (si noti la data, il problema era noto dalla fine degli anni ’80) seguita poi da un aggiornamento avvenuto nel 2017 ed ora, appunto, dalla strategia.

WHITEPAPER
PREDICTIVE ANALYSIS: perché la manutenzione degli impianti è cambiata. Per sempre.
Big Data
Intelligenza Artificiale

Vorrei però soffermarmi su alcuni aspetti che troviamo nella strategia 22-26, molti dei quali costituiscono una novità rispetto alla strategia 2017:

  • La “stabilizzazione” dell’ecosistema nazionale cyber.
  • L’accenno ad un programma di investimenti.
  • La rilevanza della necessità di disporre di un’adeguata forza lavoro qualificata
  • Il frequente richiamo alla necessità di raggiungere una sovranità digitale.
  • La necessità di predisporre un sistema per il monitoraggio dell’efficacia e dell’impatto della strategia sul sistema paese.
  • I programmi di awareness per le varie fasce di utenza.

L’ecosistema cyber nazionale: rischio accentramento?

Buona parte della strategia è dedicata a descrivere il nuovo assetto dell’architettura cyber nazionale dopo l’istituzione dell’agenzia di cybersicurezza nazionale. Un assetto in cui tolte le competenze di lotta al crimine, difesa nazionale e intelligence viene concentrato tutto nelle mani dell’agenzia che si deve occupare di: prevenzione, detection e response, certificazione, gestione del perimetro, rapporti con gli enti europei, cooperazioni nazionali e internazionali, programmi di awareness, ricerca e sviluppo, formazione, definizione di profili professionali e chi più ne ha più ne metta. Decisamente troppo.

Cybersicurezza, Gabrielli e Baldoni presentano la Strategia nazionale

Siamo passati da un sistema particolarmente frammentato di competenze pre-agenzia ad un sistema monolitico di gestione della cybersecurity. Al di là del problema qualitativo e quantitativo del reperimento delle competenze necessarie per poter far funzionare un tale ente e conseguentemente poter dar seguito alla strategia di cui parleremo a breve, resta il grosso rischio legato all’accentramento di poteri. Se l’agenzia per qualche motivo dovesse avere qualche disfunzione, la stessa si ripercuoterebbe inevitabilmente sull’intero comparto cybersecurity, si tratta cioè di un’architettura la cui resilience è prossima allo zero. Paradossalmente l’ente che dovrebbe garantire la cyber-resilience del paese è esso stesso non resiliente.

Il programma di investimenti

Va sicuramente apprezzato lo sforzo per individuare un supporto finanziario alla strategia anche perché è difficile perseguire un qualunque obiettivo senza le necessarie risorse. Il quadro degli investimenti delineato però resta ancora molto vago. È un fenomeno ben noto a chi lavora in questo settore. Le parole non si sprecano per enfatizzare il problema cybersecurity e le sue conseguenze, però quando si tratta di passare dalle parole ai fatti (cioè ai finanziamenti) la situazione cambia. Nel caso che stiamo analizzando non sono forniti dati certi ad eccezione dei già noti 600 milioni del PNRR peraltro già destinati. Si accenna a programmi europei in cui il livello di competitività è estremamente elevato e di conseguenza la probabilità di successo molto bassa, e alla possibilità di riservare una quota percentuale (1,2%) degli investimenti nazionali lordi su base annuale a “specifici progetti di interesse”. Se non abbiamo sbagliato a fare i conti si tratta di circa 300 milioni di euro/anno, cosa si intenda però per specifici progetti di interesse, resta un problema da definire. Un po’ fuorviante anche l’aver riportato nel documento le cifre stanziate per progetti europei e PNRR che riguardano contesti ben più ampi della sola cybersecurity.

Le competenze cyber

In più punti la strategia richiama la necessità di poter disporre delle necessarie competenze sia qualitative che quantitative per poter essere attuata. Chiunque operi nel settore sa benissimo che attualmente il mercato non dispone di una simile offerta, stiamo parlando probabilmente del settore con il maggior skill shortage a livello mondiale.

Sostanzialmente, abbiamo deciso che entro tre anni vogliamo vincere la “Champions” ma ci manca ancora la squadra per giocare.

Nella strategia ci si richiama ad un possibile “rientro dei cervelli” per completare l’organico mancante. Certo la cosa sarebbe più credibile se venisse esibita una stima dei numeri di cui stiamo parlando. Si parla anche di aumentare l’offerta formativa a livello nazionale sul tema cyber, ma per aumentare l’offerta formativa ci vogliono i formatori possibilmente “in gamba” e anche di questi non mi pare ce ne siamo molti all’orizzonte. Per fare cybersecurity sul serio è necessaria una cultura di tipo sistemistico che storicamente l’Europa e il nostro paese non hanno mai coltivato o stimolato, contrariamente a quanto accadeva dall’altra parte dell’oceano. Il numero di persone che si occupa seriamente di questi temi è da noi molto ristretto, il suo innalzamento richiede un cambio di rotta culturale i cui tempi non sono certo coerenti con la timeline della strategia.

La sovranità digitale

Anche l’estensore della strategia nazionale di cybersicurezza deve essersi lasciato influenzare dal clima generale che sta attraversando, nostro malgrado, il mondo intero e si è lasciato attrarre dalle sirene della sovranità. Il tema è di una certa rilevanza anche perché ripreso nella nota di presentazione del Presidente del Consiglio “…la presente strategia nazionale di cybersicurezza contribuisce, anche attraverso l’identificazione e il perseguimento di iniziative progettuali di sviluppo tecnologico volte a conseguire un adeguato livello di autonomia strategica nel settore e, conseguentemente, di sovranità digitale, per le quali saranno stanziati con continuità negli anni adeguati fondi”.

È un tema che viene articolato nell’ambito della strategia sia in contesto nazionale che europeo. È ragionevole che uno stato/continente aspiri all’autonomia in alcuni settori chiave, sarebbe però anche necessario che questa aspirazione venisse suffragata da un’analisi, anche sommaria, costi/benefici che possa giustificare che gli “adeguati fondi” siano spesi oculatamente. La sovranità in cybersecurity non può prescindere dalla sovranità in cyber e la sovranità in cyber richiede il recupero di almeno trent’anni di ritardo. Lo sforzo richiesto non è certamente alla portata di un singolo paese e richiede di intraprendere iniziative radicali come quella annunciata il mese scorso da governo cinese che nell’arco dei prossimi due-tre anni vuole soppiantare integralmente hardware e software di produzione occidentale. Non bastano solo le risorse economiche servono anche quelle umane, e come ho già detto precedentemente le conoscenze sistemistiche, necessarie per intraprendere questa avventura, non sono nelle corde della tradizione europea e non si costruiscono in qualche mese. È giusto sognare, ma è altrettanto ingiusto illudere.

Sistema di monitoraggio

Nell’ambito della strategia viene evidenziata la necessità di individuare dei meccanismi o degli indicatori che consentano di valutare l’impatto e l’efficacia della strategia stessa sul sistema paese. È un passaggio importate. Come già detto questi documenti si susseguono in dodo abbastanza ripetitivo nel corso degli anni, ma sinora pochi si sono preoccupati di verificarne l’effettiva efficacia. Ad esempio, un obiettivo che si può trovare nelle strategie di tutti i paesi è la riduzione della minaccia cyber. Dando un’occhiata alle statistiche che ci vengono propinate periodicamente da più parti non si può dire certo dire che questo obiettivo sia stato minimamente raggiunto, anzi.

È indubbiamente un obiettivo da perseguire ma forse si sta sbagliando qualcosa ed è giunto il momento che qualcuno si ponga il problema. Ben venga quindi l’idea di individuare indicatori di monitoraggio e conseguentemente innescare un processo di rivisitazione critica di questi documenti. A ben voler vedere sarebbe anche opportuno che il processo di monitoraggio venisse svolto da un’entità indipendente rispetto agli enti coinvolti nella stesura e nell’applicazione della strategia, applicando in questo modo il principio di “segregation of duties”, fondamentale per garantire la trasparenza e la sicurezza dei processi. È contro ogni logica organizzativa che chi implementa una strategia sia anche chiamato a valutare la qualità del lavoro svolto.

Il tema dell’awareness

Un’ultima considerazione vorrei dedicarla al tema dell’awareness richiamato anche con una certa insistenza nella strategia con il motto “whole-of-society”. Il tema non è nuovo, tutt’altro, credo di aver partecipato ad uno dei primi progetti europei su cybersecurity awarenees nei primi anni 2000. Nonostante ciò, gli utenti “inconsapevoli” continuano ad essere il vettore di attacco preferito e più efficace, e le strategie di cybersecurity insistono nel propinarci iniziative di sensibilizzazione, che a quanto pare non sortiscono gli effetti desiderati. Tutta colpa dell’analfabetismo digitale che dilaga? Credo di no. Una parte di responsabilità se la devono prendere anche gli addetti ai lavori. Ci sono processi, soluzioni e meccanismi di sicurezza difficili da usare e comprendere anche per gli addetti ai lavori. Si pensi solo all’invio di un messaggio di posta elettronica cifrato o alla sua firma digitale, strumenti che potrebbero essere molto efficaci per risolvere il problema del phishing ma che si preferisce non insegnare perché “troppo difficili da usare”. Da diversi anni nella comunità internazionale si è posta una certa attenzione al requisito di usabilità dei sistemi di sicurezza informatica, un requisito praticamente sinora ignorato nelle fasi di progettazione e poco considerato nella fase di acquisizione. Sarebbe quindi più che opportuno che accanto ai programmi di awareness le strategie di cybersecurity a tutti i livelli promuovessero l’adozione nei limiti del possibile si soluzioni di sicurezza che prevedano il minimo intervento degli utenti. Come comunità è necessario a fare in modo che la cybersecurity sia “embedded” e non “add-on”.

In conclusione, una strategia allineata a quanto succede nel resto del mondo, con qualche spunto interessante. La concretezza non è certo la sua dote migliore.

WEBINAR
30 Giugno 2022 - 14:30
[WEBINAR] Data Governance Strategy: tu sei pronto?
CIO
IoT
@RIPRODUZIONE RISERVATA

Articolo 1 di 4