Istituto Italiano di Cybersicurezza: perché serve ora e come impostarlo bene (guardando alla Ue) - Agenda Digitale

sicurezza nazionale

Istituto Italiano di Cybersicurezza: perché serve ora e come impostarlo bene (guardando alla Ue)

La sicurezza informatica è ormai questione geopolitica. Tecnologie come 5G, cloud, AI, calcolo quantistico influenzano la sicurezza nazionale. L’Italia deve essere consapevole dei rischi e godere dei benefici. Ecco perché un Istituto Italiano di Cybersicurezza sarebbe strategico, guardando all’approccio di altri Paesi Ue

21 Dic 2020
Rocco De Nicola

IMT – Scuola Alti Studi Lucca

Luigi Martino

C3T e Università di Firenze)

Il cyberspazio è il nuovo campo di battaglia per gli Stati che, tra le altre cose, vogliono mantenere o ottenere il controllo di tecnologie emergenti e influenzare l’agenda internazionale per gli standard tecnici a livello globale. Le capacità informatiche si stanno configurando come strumenti del potere statale che possono essere usati contro gli avversari.

In questo contesto, in Italia si sta sviluppando nelle aule parlamentari e sui giornali il dibattito sulla creazione dell’Istituto Italiano di Cybersicurezza (IIC). Nessuno sembra mettere in discussione la necessità di istituire un istituto nazionale che si occupi di sicurezza informatica ma ognuno sembra avere in mente ruoli, funzioni e governance diverse.

La (vera) importanza dell’Istituto Italiano di Cybersicurezza

Tuttavia, la notizia interessante è data dal fatto che tutti sembrano riconoscere che l’Istituto debba avere due scopi principali:

  • “Promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica”.
  • “Favorire lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni in una cornice di sicurezza e il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica, a tutela dell’interesse della sicurezza nazionale nel settore”.

Molti commentatori hanno però messo in discussione il fatto che si stia pensando di affidare il coordinamento nella fase iniziale al Dipartimento Informazioni e Sicurezza (DIS) definendolo, con tono polemico e vena denigrante come “l’Istituto dei Servizi”. Ovviamente rimane lungi da noi l’intenzione di intervenire nel dibattito tutto politico all’interno della maggioranza di Governo relativamente al quale l’IIC è solo una delle pedine del gioco e forse ritenuta anche una delle meno importanti.

Difatti, il ruolo dei servizi non è di per sé interessante, è invece di fondamentale importanza avere anche in Italia, quanto prima, un laboratorio di ricerca e sviluppo sulla cybersecurity che metta in uno stesso contesto e in relazione il mondo della ricerca accademica, quello dello sviluppo industriale e quello degli stakeholder pubblici. In questo contesto di ampia condivisione e con spirito precompetitivo potranno essere messe a disposizione le innovazioni internazionali nel settore, e potranno essere definite nuove metodologie e tecnologie che il mondo accademico utilizzerà per pubblicazioni, insegnamento e spin off, le aziende per sviluppare nuovi prodotti e il comparto governativo e di law enforcement per avere visione delle ultime tecnologie e beneficiare da un’osmotica collaborazione e interazione con un ambiente di ricerca innovativo.

Un Istituto Italiano di Cybersicurezza amplificherebbe e potenzierebbe il lavoro dei singoli operatori della cybersecurity e rafforzerebbe il Paese su un piano ormai diventato centrale e strategico per la nostra industria, per la sicurezza degli stessi cittadini e, in ultima istanza, per la salvaguardia degli interessi dell’intero Sistema Paese. In questo senso, la creazione di un Istituto che si occupi di sicurezza informatica in modo osmotico è improcrastinabile. Tale opinione è validata dalle evidenze empiriche che sono emerse dall’analisi comparata che abbiamo condotto sui modelli simili già sviluppati in altri Paesi europei.

Collaborazione pubblico-privato: le esperienze europee

Infatti, a livello europeo e internazionale sono presenti diverse tipologie di collaborazioni tra attori pubblici e privati (anche sotto forma di partenariati pubblico-privato – PPP) sviluppate al fine di garantire una migliore cooperazione attraverso un concetto di sicurezza compartecipata. E sono varie le organizzazioni che, seppur differenti per forma giuridica e organizzazione, sono simili all’IIC negli obiettivi che si prefigurano di perseguire.

Da una nostra analisi empirica sono emersi vari esempi relativi a vari Paesi europei, alcuni dei quali sono molto vicini per centralità e dimensioni al caso italiano:

  • In Francia è stato lanciato il progetto Campus Cyber[1] che vede direttamente coinvolta l’agenzia nazionale di sicurezza (ANSSI) e si pone come ecosistema di riferimento per lo sviluppo di capacità nazionali di cybersecurity, e punta a essere il punto di riferimento della cybersecurity, riunendo i principali attori nazionali e internazionali del settore.
  • In Germania, il governo ha annunciato la creazione di un’agenzia federale dedicata alla lotta contro le minacce informatiche che minano la sicurezza del Paese[2]. L’organizzazione riceverà 350 milioni di euro di finanziamenti fino al 2023 e avrà sede nella città orientale di Halle.
  • In Inghilterra, dal 2018 è attivo il programma LORCA (London Office for Rapid Cybersecurity Advancement)[3] con un budget di 13,5 milioni di sterline all’anno per sostenere lo sviluppo di oltre 72 aziende nel settore della cybersecurity.
  • In Olanda è stato istituito un centro nazionale (NCSC) come braccio operativo del Ministero degli Interni e perno dell’ecosistema nazionale di cybersecurity.
  • In Europa è stato appena deciso di localizzare in Romania il centro di competenza europeo per la sicurezza informatica che si collegherà con una rete di centri di coordinamento nazionali e che sarà il principale organismo per la gestione delle risorse finanziarie dell’UE dedicate alla ricerca sulla sicurezza informatica nell’ambito dei due programmi proposti – Digital Europe e Horizon Europe – nell’ambito del prossimo quadro finanziario pluriennale, per il periodo 2021-2027.

L’analisi ha portato alla luce le evidenze per poter valutare e, quindi, comparare gli sviluppi nazionali delle forme di collaborazione tra settore pubblico, privato, centri di ricerca e università sulla cybersecurity con particolare riferimento allo sviluppo di capacità di difesa nazionali e all’affidamento di tale compito a strutture nazionali.

Quale approccio per una struttura nazionale di cybersecurity

In merito alla cornice normativa a livello europeo, l’implementazione delle direttive europee (ECI e NIS) e la strategia europea di cybersecurity, oltre alle forme di sviluppo di PPP sovranazionali (con le difficoltà evidenziate sopra), hanno spinto gli Stati membri verso forme di collaborazione a livello operativo, volte al rafforzamento delle misure di cybersecurity delle organizzazioni secondo le indicazioni dei policy maker europei. Da questo punto di vista, come visto per i PPP sovranazionali, le best practice internazionali suggeriscono un tipo di approccio bottom-up che veda il coinvolgimento degli stakeholder sin dalle fasi iniziali “fondativi” delle strutture o delle policy nazionali.

La strategia di Germania e Francia

Risulta evidente, comunque, una distinzione relativamente alle scelte degli Stati in merito al “cosa” deve fare una struttura nazionale che si occupi di cybersecurity. L’esempio della nascente agenzia di cybersecurity tedesca e del futuro Cyber Campus francese suggeriscono di puntare su un approccio inclusivo, al fine di svolgere non solo un’azione di sintesi nell’ambito della ricerca, ma anche di favorire, allo stesso tempo, la nascita di un ecosistema e di un indotto di cybersecurity intorno alla struttura stessa. Esse sembrano puntare a concentrare, anche geograficamente, le capacità di difesa nazionali in una struttura fondante che funzioni da centro attrattivo principale.

La Governance interna

Per quanto riguarda la governance interna dei centri presi in considerazione, il modello tedesco si è concentrato sulla responsabilità politica, in capo al Ministero della Difesa, con un modello di governance agile, che prevede un amministratore delegato (sebbene, come visto, di provenienza “pubblica”) e un direttore commerciale, mettendo in evidenza anche il carattere di potenziale economico dell’agenzia. In questa prospettiva, il modello inglese del LORCA punta su una governance delegata a una struttura privata, pur mantenendo salda e continuativa la collaborazione con il NCSC, garantendo sia lo sviluppo di tecnologie rilevanti per la sicurezza nazionale sia l’eventuale accompagnamento nei mercati internazionali. Il modello francese del Cyber Campus si è dotato di una governance mista attraverso la creazione di una SAS, con capitale pubblico (49%) e privato (51%).

Il target della struttura

Una questione centrale si concentra, dunque, sul target principe della struttura, ovvero se un caso di successo debba basarsi su un output specifico come quello relativo alla gestione di un evento critico o se, invece, il perseguimento di un obiettivo comune condiviso (es. agevolare lo sviluppo tecnologico come nel caso britannico o francese) possa stabilire il rapporto di fiducia necessario tra gli attori coinvolti (università, agenzie governative e attori privati) tale da poter determinare il successo della collaborazione.

La cyber security all’interno della sicurezza nazionale

Il punto in comune in tutti i modelli analizzati risiede tuttavia nella consapevolezza che la cybersecurity è parte integrante della sicurezza nazionale e necessita di una collaborazione osmotica tra istituzioni, università e privati.

In quest’ottica, la collaborazione deve basarsi sulla capacità dell’attore pubblico di comprendere il valore aggiunto di una partnership con gli attori accademici e privati, in particolare verso gli ambiti più innovativi e l’industrializzazione della ricerca.

Il modello israeliano di Beer Sheva

Questa condizione è alla base, ad esempio, del modello israeliano di Beer Sheva, dove si è deciso di puntare sulla convergenza di obiettivi tra i principali attori di un ecosistema, con il fine ultimo di fornire allo Stato le capacità cyber, operative e tecniche, necessarie per la sua sicurezza favorendo, allo stesso modo, lo sviluppo economico del Paese e la leadership a livello internazionale nel settore tecnologico.

L’analisi delle diverse scelte suggerisce anche come sia opportuno inserire degli strumenti di bilanciamento che possano stabilire, in qualche misura, controllo e responsabilità politica su tali iniziative.

Le raccomandazioni per un IIC più efficace

In generale, alla luce di tali considerazioni, formuliamo alcune raccomandazioni che pensiamo possano essere utili per aumentare l’efficacia di un eventuale IIC:

  • vanno stabiliti chiari meccanismi e processi decisionali sin dalle fasi iniziali, sia nei casi di strutture centralizzate o agenzie (caso tedesco) sia nei casi di coinvolgimento maggiore del settore privato (caso francese e inglese) definendo governance, obiettivi e strumenti con un piano operativo condiviso;
  • va definito un modello di business che garantisca disseminazione di risultati e iniziative, facendo un uso corretto delle informazioni e che assicuri la sostenibilità nel medio e nel lungo periodo;
  • va preferita una struttura inclusiva che sia capace di coinvolgere i centri di ricerca, i centri di competenza regionali quali ad esempio il C3T[4] (Centro di Competenza sulla Cybersecurity Toscano), il comparto governativo e le varie strutture di law enforcement, le piccole e medie imprese e le realtà più innovative sul territorio nazionale, oltre a stabilire rapporti sovranazionali (in particolare, a livello europeo) con centri analoghi;
  • va definita un’unica struttura nazionale capace di coordinare le ricerca, operando in senso preventivo (intelligence) nei confronti della minaccia e dei rischi cyber e che rispetti la necessità di mantenere un rapporto di fiducia tra le parti nonché capace di intraprendere le misure necessarie di difesa, detenendo banche dati e registri e emanando le necessarie indicazioni e linee guida.

Queste indicazioni sono il risultato di analisi che evidenziano l’urgenza di ottimizzare risorse e competenze per poter rispondere efficacemente alla minaccia di tipo cyber, ovvero prevenirla. Allo stesso tempo, la maturità di una struttura si manifesta attraverso una governance efficace e obiettivi chiari e condivisi.

Conclusioni

La costituzione di un Istituto dedicato alle problematiche di cybersecurity può sradicare, alla fonte, i motivi scatenanti di un indebolimento delle capacità nazionali: non solo, infatti, gli attori coinvolti non sarebbero più in una condizione di estraneità rispetto alla difesa dello Stato, ma la relazione collaborativa garantirebbe il superamento di eventuali difficoltà operative. Inoltre, il coordinamento della ricerca da parte di un attore statale permetterebbe di mantenere la responsabilità e la direzione strategica (e politica) per la sicurezza nazionale nelle mani dell’attore pubblico.

___________________________________________________________________________________________

  1. https://www.ssi.gouv.fr/agence/cybersecurite/un-campus-dedie-a-la-cybersecurite/
  2. https://www.securitymagazine.com/articles/93076-germany-launches-cybersecurity-agency
  3. https://www.lorca.co.uk/
  4. https://www.c3t.it/

@RIPRODUZIONE RISERVATA

Articoli correlati