Le 6 aree dove spendere i 150 milioni del Governo per la cybersecurity

L’annuncio delle settimane scorse relative alla destinazione da parte del governo di un fondo di 150 milioni di dollari per la cybersecurity nazionale è stato accompagnato da annunci dello stesso tipo fatti dal governo degli Stati Uniti d’America, con una visibile ed enorme differenza: 19 Miliardi di dollari contro i nostri 150 milioni di euro.

La domanda che molti si pongono è se il nostro fondo sarà effettivamente sufficiente per indirizzare le priorità nazionali. L’Italia sarà davvero così virtuosa da poter fronteggiare la stessa minaccia con un fondo che è meno dell’1% di quello americano?

Innanzi tutto va ricordato che il fondo americano vede una moltitudine di voci che non sono propriamente dirette alla cybersecurity: il rinnovo delle applicazioni della PA è stato incluso per un totale di 3 miliardi di dollari, ma garantirà ben di più della semplice messa in sicurezza del parco applicativo e dei sistemi.

Come dovrebbe quindi muoversi l’Italia per investire correttamente questo fondo?

La risposta non è facile, poiché manca una vera e propria diagnosi della situazione italiana, in particolare l’esposizione ai rischi cyber dei sistemi del governo e del settore privato; manca poi la comprensione del profilo di vulnerabilità e dei possibili impatti, due dei fattori variabili fondamentali del rischio. Sulla minaccia non vi sono grandi dubbi: stiamo fronteggiando minacce globali, oramai ben descritte e documentate da centinaia di rapporti pubblici internazionali. Anche il nostro comparto d’intelligence ha presentato ieri la “Relazione sulla politica dell’informazione per la sicurezza 2015” nella quale trova ampio spazio la minaccia cyber.

Negli Stati Uniti nel 2009 Melissa Hathaway condusse la famosa “60 days review” che fornì al governo non solo un quadro sulla reale situazione della sicurezza all’interno dell’amministrazione, ma anche un piano di intervento.

In Italia questo manca: non sappiamo quale sia l’entità degli interventi necessari in pubblica amministrazione e la loro urgenza. Ma ancora peggio, non abbiamo dati relativi alla reale vulnerabilità del settore privato e del vero danno causato dalle minacce cyber. Il Quadro Strategico Nazionale fornisce undici indirizzi operativa, tra i quali “l’implementazione di un sistema integrato di Information Risk Management nazionale”, il quale dovrebbe offrire una fotografia del livello di esposizione del settore pubblico e privato. L’implementazione di questo indirizzo operativo è in corso, ma è un percorso molto lungo e complesso. Al momento un primo passo è stato fatto con la pubblicazione del Framework Nazionale di cybersecurity, ma siamo ancora lontani da avere dati in mano che possano fornire l’entità del danno.

La mia stima è che annualmente la minaccia Cyber causi all’Italia un danno compreso tra i 20 e 40 miliardi di euro, attraverso un depauperamento della capacità competitiva delle nostre aziende, derivata da attività di cyber spionaggio industriale e furto di proprietà intellettuale.

Con la mancanza di queste informazioni è quindi impossibile valutare l’adeguatezza del fondo di 150 Milioni. Si tratta comunque di un passo importante che non potrà che diminuire l’esposizione del rischio paese, sempre che questo fondo venga destinato correttamente.

Come potrebbero essere impiegati questi fondi? Si sa che 15 milioni saranno destinati alla Polizia Postale e delle Comunicazioni per le attività del Centro Nazionale Anticrimine Informatico e Protezione Infrastrutture Critiche (CNAIPIC). Per gli altri 135 milioni il governo non ha fornito indicazioni. Sulla base delle informazioni disponibili, ecco un possibile elenco di sei aree a cui destinare i fondi:

• Rafforzamento della capacità di difesa del governo e delle amministrazioni, attraverso il potenziamento delle strutture di CERT Nazionale, CERT-PA e CERT-Difesa. In particolare, è fondamentale investire nell’acquisizione di personale e competenze.
• Sviluppo ed estensione del progetto di Cyber Range Nazionale: annunciato a Dicembre 2015, il Cyber Range nazionale sarà una piattaforma chiave per lo sviluppo delle competenze e degli strumenti di difesa del nostro paese.
• Potenziamento delle capacità di analisi della minaccia: la conoscenza della minaccia è un elemento chiave per consentire alle amministrazioni e alle organizzazioni private di migliorare la loro difesa e di raggiungere più elevati standard di resilienza
• Costruzione di un programma di compliance nazionale per garantire la sicurezza della supply chain del governo e delle aziende strategiche per il paese
• Incentivi per l’innovazione e la ricerca in campo Cyber, al fine di garantire l’accesso competenze e strumenti nazionali
• Formazione delle aziende: il livello di consapevolezza è ancora troppo basso, in particolare nelle piccole e medie imprese. Imprenditori e manager dovranno acquisire competenze che li aiutino nell’affrontare i nuovi rischi cyber in una logica di apertura, sviluppo e innovazione.

Poiché i fondi sono molti limitati, il Governo dovrà comunque elaborare ulteriori strategie a costo 0 per migliorare i livelli di sicurezza del paese. Il governo dovrà necessariamente intervenire sul processo di innovazione/evoluzione del digitale nella PA: in questo modo potrà garantirsi un aumento della sicurezza con impatti economici prossimi allo zero, facendo rientrare la messa in sicurezza all’interno dell’evoluzione dei sistemi informativi. Inoltre, sarà fondamentale sviluppare un vero programma di partnership pubblico privato, finalizzato sia alla creazione di nuove competenze, sia alla creazione di capacità condivise. E’ un concetto avanzato che spesso viene escluso, poiché in sicurezza il concetto di apertura/condivisione è spesso tabù. Ma non vi sono grandi alternative. Come non vi furono grandi alternative nel 1949 quando si decise di dare vita all’Alleanza Atlantica (NATO), tra i cui fini vi era proprio la condivisione di risorse e capacità.