Baldoni: “Finanziamenti, tempo scaduto: il Governo acceleri su cybersecurity”

Attualmente tutti i settori economici e le infrastrutture critiche di un Paese avanzato poggiano sul cyberspace, quell’insieme di sistemi informativi interconnessi, dispositivi personali e reti su cui viaggiano e sono immagazzinate informazioni sensibili. Nel prossimo futuro, quando le rivoluzioni legate all’Internet of Things, all’industry 4.0, alla robotica, alle smart cities, all’agricoltura di precisione saranno a un buon livello di completamento, economia e cyberspace saranno un tutt’uno. Per questo tutti i paesi si stanno attrezzando attraverso programmi imponenti di protezione del proprio cyberspace.

Questi programmi coinvolgono tutti i settori della società contro le minacce terroristiche, criminali e di spionaggio nazionale e industriale. L’obiettivo è di proteggere i cittadini, i servizi primari e le infrastrutture critiche del paese e, allo stesso tempo, rendere il cyberspace nazionale un posto sicuro dove sviluppare attività imprenditoriali. La Francia investirà 1 miliardo di euro in cyber security, UK ha già investito la stessa cifra negli ultimi cinque anni ed ha impegnato 3.2 miliardi di sterline da utilizzarsi entro il 2020. Negli Stati Uniti alcuni giorni fa il Presidente Obama ha allocato 19 miliardi di dollari per la protezione del proprio cyberspace nei prossimi cinque anni. Questi si aggiungono ai budget miliardari destinati alle agenzie federali come NSA, CIA, FBI, NIST, DHS. Inoltre in questo settore gli stati diventano imprenditori e supportano il settore della cyber security attraverso investimenti in start-up che abbiano come obiettivo soluzioni per i problemi cyber che il governo deve affrontare. Da anni negli Stati Uniti lavora il fondo IN-Q-TEL specializzato nel supportare soluzioni in ambito cyber per la comunità di intelligence statunitense, UK ha predisposto un fondo di investimento governativo di 165 milioni di sterline a questo scopo e Israele ha creato una economia basandosi su questo paradigma.

Cosa stiamo facendo noi? Il paese è fermo al 24 gennaio 2013, cioè a quel DPCM che ha organizzato l’architettura nazionale di cyber security, che pianifica di coinvolgere tutte le organizzazioni del Comitato Interministeriale Sicurezza della Repubblica, le aziende, le università i cittadini. Insomma il paese intero. Tutto questo a “costo zero” come scritto nell’ultimo capoverso del DPCM. Va dato merito a questo governo che nell’ultima legge di stabilità ha stanziato 150 milioni di euro su questo capitolo per il 2016. Tuttavia questi fondi, per una delle più grandi economie al mondo, sono insufficienti. Non bastano a supportare il rafforzamento delle difese cyber del sistema paese – come risulta chiaro dal confronto con gli altri paesi – e, inoltre, ad oggi non è chiaro come verranno impiegate queste risorse, su quali azioni strategiche e con quali tempistiche.

In questi tre anni di costo zero comunque qualcosa si è mosso. In particolare, il dispiegamento dell’architettura nazionale di cyber security e il rapporto di quest’ultima con le imprese strategiche italiane e con le università e i centri di ricerca. La funzionalità e l’efficienza dell’architettura nazionale è in questo momento sotto osservazione del Presidente del Consiglio, a seguito della direttiva del 1 Agosto 2015, e della commissione difesa della Camera. Le università si sono organizzate attraverso il Laboratorio Nazionale di Cyber Security del Consorzio Interuniversitario Nazionale Informatica (CINI) che unisce tutte le eccellenze scientifiche Italiane del settore. Dal punto di vista pubblico il Laboratorio Nazionale ha pubblicato il Libro Bianco “Il Futuro della Cyber Security in Italia”, dove si propongono delle raccomandazioni verso i decisori governativi per far funzionare meglio l’architettura cyber nazionale e, recentemente, ha pubblicato il Framework Nazionale per la Cyber Security. Per capire come il tema sia sentito a livello di sistema paese, la presentazione del Framework Nazionale – svoltasi a Roma lo scorso 4 febbraio – ha visto la partecipazione nell’aula Magna dell’università di Roma La Sapienza di oltre 900 professionisti della comunità sicurezza tra accademici, industriali, operatori governativi e della pubblica amministrazione. Il Framework Nazionale per la Cyber Security è stato un esercizio durato nove mesi che fornisce all’Italia un punto di riferimento (e uno strumento) per migliorare le proprie pratiche di cyber security dentro le organizzazioni private e pubbliche. Lavoro che ci pone al livello delle migliori pratiche internazionali.

Non siamo quindi all’anno zero nella cyber security come ha ricordato il Sottosegretario Minniti durante il suo intervento alla presentazione del Framework Nazionale di Cyber Security, tuttavia se non verranno pianificati dei finanziamenti adeguati nel tempo da parte del governo su questa materia, il sistema nazionale non riuscirà a prendere quella velocità necessaria per rispondere alle minacce cibernetiche e imploderà lentamente con riflessi nefasti sulla nostra economia, staccandoci sempre più dal gruppo dei paesi avanzati. Il Sottosegretario ha anche pubblicamente “adottato” il Framework. Questo significa impegni importanti per la gestione dell’evoluzione del Framework e per la sua adozione da parte delle aziende e delle pubbliche amministrazioni. Chi gestirà il l’evoluzione del Framework? con quali risorse? Il Framework è solo uno dei molti strumenti e processi che servono per l’implementazione di un piano strategico nazionale, come standard di sicurezza, SOC, CERT, certificazione dell’hardware e delle reti, consolidamento dei datacenter, information sharing, sistemi di intelligence, progetti pilota nazionali di cyber security, startup, ricerca, formazione ecc. Processi che possono cambiare il volto del nostro paese dando una spinta decisiva ed irreversibile alla sua digitalizzazione.

Ecco, il governo dovrebbe cavalcare quell’energia positiva che emanava l’aula magna della Sapienza per lanciare un grande piano di cyber security nell’interesse nazionale e per dare un’opportunità di crescita al paese. Un piano con risorse certe e pianificate nel tempo che possa permettere di trovare un “Italian way” per la cyber security, che tenga conto delle nostre caratteristiche produttive e di sistema. Italian way che deve includere una strada tutta nostra, ad esempio, all’ approvvigionamento della componentistica hardware, dei software e dei servizi ed alla gestione delle catene di approvvigionamento. In armonia con il mercato, ma garantendo all’Italia una autonomia in alcune scelte strategiche. Strada già intrapresa da Francia e Germania. Italian way che deve infine portare anche alla creazione di collaborazioni innovative tra pubblico, privato e ricerca in grado di dare quella accelerazione al processo di implementazione del piano strategico nazionale che il pubblico da solo non potrebbe mai garantire. Allo stesso tempo i privati devono partecipare a questo piano in un’ottica di cofinanziamento. Il cyberspace infatti non riconosce differenza tra pubblico e privato, tra militare e civile, la minaccia colpisce in modo indiscriminato e tutti sono chiamati a dare il loro contributo.