Sicurezza del territorio e cybersecurity, l’era della convergenza

La sicurezza fisica e la cybersecurity all’apparenza sono domini di competenza molto distanti. Nella sicurezza fisica l’obiettivo è la protezione di beni materiali, di persone e di servizi essenziali, mentre nella Cybersecurity è mirata alla protezione di informazioni e servizi informativi. In realtà, il confine tra i due domini sta svanendo negli ultimi anni, poiché sono sempre più i casi dimostrati di possibili danni diretti e indiretti a beni materiali e persone anche attraverso attività condotte per mezzo del Cyberspace. A dimostrazione che si tratti di due domini separati vi sono numerose evidenze. Nell’immaginario comune, chi si occupa di sicurezza fisica veste o ha vestito una divisa, mentre chi opera nel settore Cyber è immaginato come un ragazzino che passa le notti a giocare con il computer e a violare applicazioni e sistemi.

Se questo poteva essere parzialmente vero vent’anni fa, oggi le cose sono cambiate notevolmente. Non nelle apparenze, ma nella sostanza. La protezione del territorio, la protezione dell’amministrazioni e la Cyber Security hanno più punti in comune che differenze. In particolare se si smette di guardare questi domini come aree specialistiche da esperti, ma le si affronta in modo più strategico, in particolare dal punto di vista dei decisori politici, di governo e di amministrazione.

Partiamo dall’evidenza dell’aspetto comune più importante: la minaccia. Gli attori di minaccia che operano nel settore fisico e nel settore Cyber sono progressivamente conversi. Il Cyber non è più un dominio a se stante, ma è parte integrante del tessuto economico e sociale dei paesi avanzati (e non). La minaccia combina indistintamente il fisico e il virtuale per perseguire il proprio scopo. Spesso, proprio questa sparizione di confine nell’ambito di manovra della minaccia è il punto che mette in difficoltà chi si occupa di difesa, protezione e resilienza, poiché se aderente agli schemi tradizionali di gestione separata del rischio fisico con il rischio cyber, mal riuscirà a fronteggiarla. Questo aspetto è confermato da molti recenti attacchi cyber, nei quali la componente “cinetica” ha giocato un ruolo rilevante nel successo della violazione. Si prenda come esempio l’attacco perpetrato da una minaccia di matrice statuale a danno del sistema elettrico Ucraino il 23 Dicembre del 2015. Anche quelli che una volta erano considerati Hackers per hobby, oggi sono di fatto dei veri e propri vandali o ladri o truffatori che compiono crimini vecchi, perpetrati con l’uso di strumenti nuovi. Con questo non si deve pensare che il nostro ordinamento non vada fatto evolvere: alcune tipologie di reato tradizionale mal si sposano con alcune varianti del mondo cyber, come ad esempio l’impersonificazione, il furto d’identità virtuale, ecc.

Tale convergenza sta portando alla contaminazione di strumenti, tecniche, processi e competenze tra i due domini. Ad esempio, si sta finalmente comprendendo l’importanza chiave in Cyber Security di operare un monitoraggio costante e proattivo dei sistemi al fine di rilevare tentativi di attacco. Ancora più importante è disporre della capacità di gestione tempestiva di un incidente. L’analisi, l’inteligence e la preparazione alla reazione sono diventati aspetti chiave. Non ha caso la Direttiva Europea NIS, il Quadro Strategico Nazionale per la protezione dello spazio cibernetica e il Piano Nazionale stimolano le organizzazioni pubbliche e private a dotarsi di CERT (Computer Emergency Readiness Team). Queste strutture dovranno essere necessariamente presenti in ogni amministrazione che abbia in gestione diretta o indiretta un proprio sistema informativo. In una grande amministrazione, questa sarà una struttura importante dotata di suo personale, in una amministrazione locale di piccole dimensioni si tratterà di un incarico e di un insieme di procedure, indotte attraverso linee guida, regolamenti, formazione e esercitazioni. Suona complesso, ma nella realtà lo è di più. E’ il mondo che è diventato più interconnesso e complicato e non ci resta che adeguarci. Se rinneghiamo questa complessità e cerchiamo scorciatoie, falliremo. Questi aspetti sono anche ribaditi in più parti del Framework Nazionale di Cyber Security, lanciato ad inizio 2016. E se ne parlerà anche a Icitylab il 21 ottobre e ai Cantieri della Sicurezza Digitale il 3 novembre.

Il Governo ha un ruolo chiave guidare il settore pubblico e privato in questo percorso. Con il pubblico ha il dovere di utilizzare tutti gli strumenti legislativi e attuativi per portare le amministrazioni ad un livello minimo di sicurezza. Con il privato ha il dovere di fornire una guida che non vincoli la competitività, ma che non metta a rischio il sistema paese.