Il potenziamento della Cybersecurity richiede fondi (che non mancano) e sinergia tra pubblico e privato

Il ranking 2022-2023 del MIT di Boston sullo stato della Cybersecurity internazionale, pone l’Italia all’11° posto della classifica. Non solo il nostro Paese non è nella Top 5 delle nazioni più strutturate e avanzate in tema di protezione cibernetica, ma si trova a metà elenco dei 10 Paesi che stanno facendo progressi nella creazione di un ecosistema di difesa informatica. Le risorse oggi ci sono e l’Agenzia per la Cybersicurezza Nazionale (ACN) sta lavorando per rafforzare il perimetro di sicurezza nazionale, ma per la pubblica amministrazione è ancora difficile garantire la piena resilienza cyber.

Se ne è parlato il 2 dicembre scorso, in occasione di un evento ibrido a porte chiuse del format “Confronti”, dal titolo “Cybersecurity, il quadro delle azioni per il rafforzamento dell’infrastruttura”, organizzato da FPA in collaborazione con Tim.

Minacce in crescita: tipologie e trend

Al tavolo è intervenuto Fabrizio Baiardi, ICT Risk Assessment and Management dell’Università di Pisa & Haruspex nonché Full Professor at Department of Computer Science, che ha ricordato come nel mondo si verifichi un attacco cibernetico ogni 39 secondi e il 64% delle realtà produttive, private o pubbliche, è stato oggetto di attacco almeno una volta. L’escalation di eventi ostili verificatisi nel 2021 vede le tipologie del ransomware e dei supply chain attacks in cima alla classifica: si tratta delle due modalità attraverso le quali il cybercrime conta rispettivamente di estorcere riscatti e di penetrare nei sistemi dell’organizzazione-bersaglio attraverso i loro inconsapevoli fornitori.

Tra i soggetti che più rischiano un attacco informatico ci sono proprio l’amministrazione pubblica e i governi: a livello mondiale e al netto dei settori salute, energia, difesa e scuola, gli enti sono stati vittima dei cyber criminali nel 24,21% dei casi. Il Rapporto Clusit 2022 si focalizza meglio sul contesto italiano e descrive il settore governativo come primo obiettivo dei cyber criminali. La PA, infatti, ha totalizzato il 15% degli attacchi totali nel 2021.

Mentre la “Relazione sulla politica dell’informazione per la sicurezza” relativa all’anno 2021, curata dal Comparto Intelligence della Presidenza del Consiglio dei ministri comprende in un unico dato, 69%, tutti i target pubblici dai criminali informatici. E questo dato onnicomprensivo è davvero allarmante. Qualsiasi sia la prospettiva dalla quale si sceglie di guardare il fenomeno, appare chiaro come la Cybersecurity sia un’emergenza.

L’Italia accelera sulla Cybersecurity: la strategia dell’ACN e i fondi disponibili

La sicurezza informatica sta conquistando spazi sempre più ampi in ogni intervento governativo, sia livello europeo, sia italiano. Ultima in ordine di tempo è la decisione, nell’ambito della legge di Bilancio 2023, di sbloccare una prima parte dell’1,2% degli investimenti nazionali lordi su base annuale che il Governo ha scelto di destinare alla Cybersecurity..

“L’Italia sta facendo grossi passi avanti in termini di Cybersecurity – ha fatto notare Luca Nicoletti, Responsabile del Servizio Programmi Industriali, di sviluppo, ricerca e formazione Agenzia per la Cybersicurezza Nazionale. A fine maggio è stata pubblicata la Strategia Nazionale della Cybersicurezza, che comprende anche l’elenco delle misure che l’Agenzia intende adottare”. Va detto che il rischio Cyber presenta tre dimensioni: gli attacchi, il rischio tecnologico e il rischio che deriva dalla disinformazione.

“L’Agenzia si concentra in particolare sui temi del rischio di attacchi cyber e di quello tecnologico. Le azioni, dunque, mirano ad anticipare l’evoluzione della minaccia e rafforzare la capacità di gestione delle crisi cibernetica e gli incidenti. L’introduzione del PSN e la migrazione al Cloud rafforzeranno sicuramente la PA, ma sappiamo che i tecnici non sono in numero sufficiente per gestire i 10mila datacenter nei quali sono archiviati i dati della PA”. Il secondo tema è quello dell’autonomia tecnologica: “È importante riportare in Italia lo sviluppo della tecnologia (per poterne controllare la sicurezza, ndr). Cercheremo di sviluppare la nuova imprenditorialità attraverso interventi di valorizzazione dell’imprenditorialità innovativa e della ricerca pubblica”.

L’ACN intende finanziare la Strategia con i fondi del PNRR, complessivamente circa 1 miliardo di euro (si tratta dello 0,5% del PNRR, di cui 623 milioni di euro a fondo perduto). Ai finanziamenti del PNRR si sommano le quote dei fondi europei Europa Digitale e Orizzonte Europa destinate all’Italia, che non sono mai sufficientemente utilizzati.

Gli strumenti per l’impiego dei fondi e l’esperienza di TIM

L’ACN ha in carico 5 delle 50 milestone del PNRR da chiudere entro fine dicembre.

“Abbiamo già attivato 5 bandi per interventi di potenziamento cyber della PA, che devono necessariamente coinvolgere il settore privato – ha spiegato Nicoletti -. Dobbiamo innestare un circolo virtuoso di collaborazione tra settore pubblico e settore privato, perché Internet è un ecosistema fatto e gestito da privati e non è pensabile che la PA possa da sola possa avere un impatto significativo in tema di cybersecurity”.

Tra i player tecnologici a fianco della PA c’è TIM, che compare tra le aggiudicatarie delle tre convenzioni bandite da Consip, di cui 2 già attive e la terza attesa per i primi mesi del 2023.

“TIM si occupa di Cybersecurity da più di 10 anni e, di anno in anno, consolida la propria proposta sul mercato attraverso la nuova TIM enterprise e la valorizzazione di tutte le società del gruppo: c’è attenzione fortissima verso la cybersecurity, con Telsi, l’IoT e l’AI, con Olivetti, e Noovle per il Cloud ” – ha spiegato Massimo Sordilli – Responsabile Sales Central Government TIM.

Claudio Pellegrini – Responsabile Sales Local Government, Health & Education TIM – ha aggiunto che: “L’azienda si è fatta una grande cultura sulla cybersecurity e sulla governance del dato, in modo compliance con il GDPR, lavorando con le amministrazioni su progetti di Smart city, Sanità (con la Telemedicina), Cultura e Turismo”.

Conclusioni

Il Confronto ha dato spazio anche agli interventi degli ospiti, in una tavola rotonda utile a identificare gli scogli sui quali le amministrazioni, soprattutto le più piccole, vanno a sbattere quando intraprendono il percorso di potenziamento cibernetico.

Il diritto alla protezione cibernetica va calato nella realtà. Tuttavia, dal dibattito emergono diversi deficit. Tra i primi, la carenza di personale competente e la capacità organizzativa. Inoltre, il Cyber resilience act obbliga a proteggere qualsiasi soluzione o dispositivo digitale e troppo spesso non si comprende che ogni progetto finanziato dal PNRR contiene un’anima digitale che richiede soluzioni di Cybersicurezza.

I fondi ci sono e vengono distribuiti, ma affiora anche un problema nei bilanci dei singoli enti, che troppo spesso sono costruiti senza una particolare attenzione alla cybersecurity. Vi è mancanza di comprensione sia relativamente ai bandi della ACN attivi, sia alle soluzioni. Difatti, i piccoli Comuni hanno difficoltà per via della scarsità di competenze, quindi è utile aggregarsi e mettere a fattor comune le risorse oppure affidarsi a un soggetto aggregatore che prepari pacchetti di soluzioni tecnologiche. Il partenariato con i player tecnologici privati, però, rimane la via maestra per il potenziamento della cybersecurity.