l'analisi

Cybersicurezza, l’Italia s’è desta: luci e ombre della strategia nazionale

La strategia nazionale di cybersicurezza allinea il nostro paese al resto del mondo in tema di sicurezza delle reti e dei sistemi. Non mancano gli spunti interessanti, ma servirebbe forse un po’ più di concretezza

Pubblicato il 31 Mag 2022

Danilo Bruschi

Professore ordinario, Dipartimento di Informatica Giovanni degli Antoni

cybersecurity governo meloni

Con la predisposizione della strategia nazionale di cybersicurezza e il suo piano implementativo presentati il 25 maggio scorso, il nostro Paese si è allineato a quanto accade nel resto del mondo, non senza qualche spunto interessante.

Strategia di sicurezza nazionale cibernetica: come sarà attuata

Le novità della strategia 22-26

Partiamo col ricordare che la strategia appena approntata si inserisce nel solco di quanto disposto dalla direttiva NIS del 2013, componente principale della strategia europea di cybersecurity, che imponeva agli stati membri, tra le altre misure, l’adozione di una strategia nazionale sulla sicurezza delle reti e dei sistemi. A seguito di questa direttiva il nostro paese ha provveduto ad emanare il suo primo piano nazionale “ufficiale” per la cybersicurezza nel 2014 (si noti la data, il problema era noto dalla fine degli anni ’80) seguita poi da un aggiornamento avvenuto nel 2017 ed ora, appunto, dalla strategia.

Vorrei però soffermarmi su alcuni aspetti che troviamo nella strategia 22-26, molti dei quali costituiscono una novità rispetto alla strategia 2017:

  • La “stabilizzazione” dell’ecosistema nazionale cyber.
  • L’accenno ad un programma di investimenti.
  • La rilevanza della necessità di disporre di un’adeguata forza lavoro qualificata
  • Il frequente richiamo alla necessità di raggiungere una sovranità digitale.
  • La necessità di predisporre un sistema per il monitoraggio dell’efficacia e dell’impatto della strategia sul sistema paese.
  • I programmi di awareness per le varie fasce di utenza.

L’ecosistema cyber nazionale: rischio accentramento?

Buona parte della strategia è dedicata a descrivere il nuovo assetto dell’architettura cyber nazionale dopo l’istituzione dell’agenzia di cybersicurezza nazionale. Un assetto in cui tolte le competenze di lotta al crimine, difesa nazionale e intelligence viene concentrato tutto nelle mani dell’agenzia che si deve occupare di: prevenzione, detection e response, certificazione, gestione del perimetro, rapporti con gli enti europei, cooperazioni nazionali e internazionali, programmi di awareness, ricerca e sviluppo, formazione, definizione di profili professionali e chi più ne ha più ne metta. Decisamente troppo.

Cybersicurezza, Gabrielli e Baldoni presentano la Strategia nazionale

Cybersicurezza, Gabrielli e Baldoni presentano la Strategia nazionale

Guarda questo video su YouTube

Siamo passati da un sistema particolarmente frammentato di competenze pre-agenzia ad un sistema monolitico di gestione della cybersecurity. Al di là del problema qualitativo e quantitativo del reperimento delle competenze necessarie per poter far funzionare un tale ente e conseguentemente poter dar seguito alla strategia di cui parleremo a breve, resta il grosso rischio legato all’accentramento di poteri. Se l’agenzia per qualche motivo dovesse avere qualche disfunzione, la stessa si ripercuoterebbe inevitabilmente sull’intero comparto cybersecurity, si tratta cioè di un’architettura la cui resilience è prossima allo zero. Paradossalmente l’ente che dovrebbe garantire la cyber-resilience del paese è esso stesso non resiliente.

Il programma di investimenti

Va sicuramente apprezzato lo sforzo per individuare un supporto finanziario alla strategia anche perché è difficile perseguire un qualunque obiettivo senza le necessarie risorse. Il quadro degli investimenti delineato però resta ancora molto vago. È un fenomeno ben noto a chi lavora in questo settore. Le parole non si sprecano per enfatizzare il problema cybersecurity e le sue conseguenze, però quando si tratta di passare dalle parole ai fatti (cioè ai finanziamenti) la situazione cambia. Nel caso che stiamo analizzando non sono forniti dati certi ad eccezione dei già noti 600 milioni del PNRR peraltro già destinati. Si accenna a programmi europei in cui il livello di competitività è estremamente elevato e di conseguenza la probabilità di successo molto bassa, e alla possibilità di riservare una quota percentuale (1,2%) degli investimenti nazionali lordi su base annuale a “specifici progetti di interesse”. Se non abbiamo sbagliato a fare i conti si tratta di circa 300 milioni di euro/anno, cosa si intenda però per specifici progetti di interesse, resta un problema da definire. Un po’ fuorviante anche l’aver riportato nel documento le cifre stanziate per progetti europei e PNRR che riguardano contesti ben più ampi della sola cybersecurity.

Cos’è una strategia di cybersicurezza

In generale, una strategia di cybersicurezza rappresenta nell’ambito di ogni organizzazione un documento di indirizzo da cui non si dovrebbe in alcun modo prescindere. Equivale di fatto agli schizzi realizzati nell’ambito di un progetto architetturale. Raccomandata da tutti gli standard di settore, è l’atto “ufficiale” con il cui il top management di un’organizzazione/ente concretizza il proprio impegno e gli obiettivi che intende perseguire nell’ambito della cybersecurity. È un documento che può assumere significati diversi in funzione del contenuto e per il quale non esiste alcun formato standard di riferimento. Si può andare dalla mera dichiarazione di intenti alla definizione di direttive e specifiche ben delimitate e dei corrispettivi piani di investimento. Nel caso di organizzazioni profit dovrebbe rappresentare il documento da cui discendono gli investimenti nel settore cybersecurity, nel caso di stati sovrani ci si limita generalmente ad indicare obiettivi di grande respiro la cui valenza è inopinabile ma che vista la genericità possono essere perseguiti solo in minima parte.

Per avere un’idea più concreta di quanto appena affermato è sufficiente visitare il sito dell’agenzia europea per la cybersecurity che raccoglie le strategie di tutti i paesi della UE e si può constatare come le strategie dei diversi paesi siano tutte composte da obiettivi di ampio respiro, tra i più gettonati: la riduzione della minaccia cyber, il rafforzamento delle infrastrutture di difesa, il rafforzamento delle infrastrutture di risposta agli incidenti, le campagne di awareness per le diverse classi di utenza, il rafforzamento della cooperazione pubblico-privato, il rafforzamento delle competenze, la cooperazione internazionale.

Sono tutti temi che ritroviamo esplicitamente o in forma più o meno velata anche nella strategia nazionale presentata la scorsa settimana e che, vista la complessità del fenomeno che stiamo cercando di arginare, ritroveremo nelle strategie a venire per i prossimi decenni.

Le competenze cyber

In più punti la strategia richiama la necessità di poter disporre delle necessarie competenze sia qualitative che quantitative per poter essere attuata. Chiunque operi nel settore sa benissimo che attualmente il mercato non dispone di una simile offerta, stiamo parlando probabilmente del settore con il maggior skill shortage a livello mondiale.

Sostanzialmente, abbiamo deciso che entro tre anni vogliamo vincere la “Champions” ma ci manca ancora la squadra per giocare.

Nella strategia ci si richiama ad un possibile “rientro dei cervelli” per completare l’organico mancante. Certo la cosa sarebbe più credibile se venisse esibita una stima dei numeri di cui stiamo parlando. Si parla anche di aumentare l’offerta formativa a livello nazionale sul tema cyber, ma per aumentare l’offerta formativa ci vogliono i formatori possibilmente “in gamba” e anche di questi non mi pare ce ne siamo molti all’orizzonte. Per fare cybersecurity sul serio è necessaria una cultura di tipo sistemistico che storicamente l’Europa e il nostro paese non hanno mai coltivato o stimolato, contrariamente a quanto accadeva dall’altra parte dell’oceano. Il numero di persone che si occupa seriamente di questi temi è da noi molto ristretto, il suo innalzamento richiede un cambio di rotta culturale i cui tempi non sono certo coerenti con la timeline della strategia.

La sovranità digitale

Anche l’estensore della strategia nazionale di cybersicurezza deve essersi lasciato influenzare dal clima generale che sta attraversando, nostro malgrado, il mondo intero e si è lasciato attrarre dalle sirene della sovranità. Il tema è di una certa rilevanza anche perché ripreso nella nota di presentazione del Presidente del Consiglio “…la presente strategia nazionale di cybersicurezza contribuisce, anche attraverso l’identificazione e il perseguimento di iniziative progettuali di sviluppo tecnologico volte a conseguire un adeguato livello di autonomia strategica nel settore e, conseguentemente, di sovranità digitale, per le quali saranno stanziati con continuità negli anni adeguati fondi”.

È un tema che viene articolato nell’ambito della strategia sia in contesto nazionale che europeo. È ragionevole che uno stato/continente aspiri all’autonomia in alcuni settori chiave, sarebbe però anche necessario che questa aspirazione venisse suffragata da un’analisi, anche sommaria, costi/benefici che possa giustificare che gli “adeguati fondi” siano spesi oculatamente. La sovranità in cybersecurity non può prescindere dalla sovranità in cyber e la sovranità in cyber richiede il recupero di almeno trent’anni di ritardo. Lo sforzo richiesto non è certamente alla portata di un singolo paese e richiede di intraprendere iniziative radicali come quella annunciata il mese scorso da governo cinese che nell’arco dei prossimi due-tre anni vuole soppiantare integralmente hardware e software di produzione occidentale. Non bastano solo le risorse economiche servono anche quelle umane, e come ho già detto precedentemente le conoscenze sistemistiche, necessarie per intraprendere questa avventura, non sono nelle corde della tradizione europea e non si costruiscono in qualche mese. È giusto sognare, ma è altrettanto ingiusto illudere.

Sistema di monitoraggio

Nell’ambito della strategia viene evidenziata la necessità di individuare dei meccanismi o degli indicatori che consentano di valutare l’impatto e l’efficacia della strategia stessa sul sistema paese. È un passaggio importate. Come già detto questi documenti si susseguono in dodo abbastanza ripetitivo nel corso degli anni, ma sinora pochi si sono preoccupati di verificarne l’effettiva efficacia. Ad esempio, un obiettivo che si può trovare nelle strategie di tutti i paesi è la riduzione della minaccia cyber. Dando un’occhiata alle statistiche che ci vengono propinate periodicamente da più parti non si può dire certo dire che questo obiettivo sia stato minimamente raggiunto, anzi.

È indubbiamente un obiettivo da perseguire ma forse si sta sbagliando qualcosa ed è giunto il momento che qualcuno si ponga il problema. Ben venga quindi l’idea di individuare indicatori di monitoraggio e conseguentemente innescare un processo di rivisitazione critica di questi documenti. A ben voler vedere sarebbe anche opportuno che il processo di monitoraggio venisse svolto da un’entità indipendente rispetto agli enti coinvolti nella stesura e nell’applicazione della strategia, applicando in questo modo il principio di “segregation of duties”, fondamentale per garantire la trasparenza e la sicurezza dei processi. È contro ogni logica organizzativa che chi implementa una strategia sia anche chiamato a valutare la qualità del lavoro svolto.

Il tema dell’awareness

Un’ultima considerazione vorrei dedicarla al tema dell’awareness richiamato anche con una certa insistenza nella strategia con il motto “whole-of-society”. Il tema non è nuovo, tutt’altro, credo di aver partecipato ad uno dei primi progetti europei su cybersecurity awarenees nei primi anni 2000. Nonostante ciò, gli utenti “inconsapevoli” continuano ad essere il vettore di attacco preferito e più efficace, e le strategie di cybersecurity insistono nel propinarci iniziative di sensibilizzazione, che a quanto pare non sortiscono gli effetti desiderati. Tutta colpa dell’analfabetismo digitale che dilaga? Credo di no. Una parte di responsabilità se la devono prendere anche gli addetti ai lavori. Ci sono processi, soluzioni e meccanismi di sicurezza difficili da usare e comprendere anche per gli addetti ai lavori. Si pensi solo all’invio di un messaggio di posta elettronica cifrato o alla sua firma digitale, strumenti che potrebbero essere molto efficaci per risolvere il problema del phishing ma che si preferisce non insegnare perché “troppo difficili da usare”. Da diversi anni nella comunità internazionale si è posta una certa attenzione al requisito di usabilità dei sistemi di sicurezza informatica, un requisito praticamente sinora ignorato nelle fasi di progettazione e poco considerato nella fase di acquisizione. Sarebbe quindi più che opportuno che accanto ai programmi di awareness le strategie di cybersecurity a tutti i livelli promuovessero l’adozione nei limiti del possibile si soluzioni di sicurezza che prevedano il minimo intervento degli utenti. Come comunità è necessario a fare in modo che la cybersecurity sia “embedded” e non “add-on”.

In conclusione, una strategia allineata a quanto succede nel resto del mondo, con qualche spunto interessante. La concretezza non è certo la sua dote migliore.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Canvas di OpenAI: il salto evolutivo con l'esecuzione HTML diretta