Cyber security per la crescita economica del Paese: ecco il ruolo della PA
La PA dovrà stimolare tutto il settore privato sviluppando infrastrutture,
servizi e soluzioni di sicurezza innovativi di cui potrà beneficiare
l’intero mercato italiano, incluso il settore delle PMI, che si dimostra immaturo in merito aI rischi cyber
3 Marzo 2016
Fabio Cappelli, Ernst & Young
Innovazione, digitalizzazione, iper-connettività sono trend che, anche in Italia, sanciscono un connubio imprescindibile: sviluppo e sicurezza. Le possibilità offerte sono innumerevoli (es. nuovi mercati e prodotti, migliore comprensione dei bisogni di consumatori e cittadini, nuove modalità di comunicazione) ma, spesso, la consapevolezza dei nuovi rischi cyber non è allineata ai trend innovativi e potrebbe comprometterne i benefici.
Sviluppare le tematiche cyber è diventata condizione necessaria e abilitante all’innovazione ed allo sviluppo. Ad oggi, talune nazioni hanno fatto scelte chiare di posizionamento e di politica industriale, nel caso di UK ad esempio diventare il centro sicuro della finanza EU/mondiale.
Quindi la cyber security può diventare anche un asset per la crescita economica ed occupazionale del Paese, non soltanto un impegno regolamentato – che sembri portare solo costi, oltre all’aumento della sicurezza cibernetica – diventando un effettivo digital enabler. L’auspicio è che vengano definiti obiettivi che possano sostenere e giustificare gli sforzi necessari a implementare una vera e fattiva sicurezza del cyberspace:
- attrarre investimenti e industrie garantendo sicurezza
- accrescere le capacità nazionali (incluse le PMI)
- avere accesso a fondi strutturali europei
- diventare il “centro di riferimento” della cyber security nel Mediterraneo
- supportare le start-up della cyber security
- formare, attrarre e trattenere talenti a livello accademico e industriale
- tutelare e valorizzare le aree di forza dell’ Italianità (IPR, turismo, moda, arte, …)
Il percorso per raggiungere questi obiettivi è complesso, in quanto richiede azioni decise a livello organico e strutturale: pubblico e privato, civile e militare, distinzioni non applicabili nel cyberspazio dove la collaborazione è indispensabile.
Solo in questo modo le organizzazioni saranno in grado di bilanciare i concetti di innovazione, sostenibilità e sicurezza, rendendo la cybersecurity un abilitatore alla competitività.
Concentrando l’attenzione su istituzioni e Pubblica Amministrazione risulta chiaro come il ruolo della PA, in collaborazione con le grandi imprese (caratterizzate da presidi tecnici spesso strutturati), è centrale. Questo dovrà stimolare tutto il settore privato sviluppando infrastrutture, servizi e soluzioni di sicurezza innovativi di cui potrà beneficiare l’intero mercato Italiano ed Europeo, incluso il settore delle PMI che, ad oggi, dimostra una consapevolezza non ancora matura dei rischi cyber connessi alla digitalizzazione.
La sfida è quella di fronteggiare l’evoluzione dei rischi cyber, il crescente livello di sofisticazione degli attacchi e la radice più marcatamente criminale.
Il contesto della PA è al centro di una profonda transizione al digitale, contraddistinta da una serie di iniziative dalla fatturazione elettronica al fascicolo sanitario, fino allo SPID ed al domicilio digitale (Riforma della pubblica amministrazione, Consiglio dei Ministri 20 gennaio 2016).
Già oggi la Pubblica Amministratore è depositaria e custode di un enorme volume di dati fra i più sensibili per la vita e la sicurezza dei cittadini e gioca quindi un ruolo centrale nel garantire la fiducia necessaria per lo sviluppo dei servizi in rete.
Questo purtroppo avviene in un quadro che evidenzia molte situazioni di potenziale criticità, lontane dalla soglia di idoneità in termini di consapevolezza, organizzazione e difesa dagli attacchi cyber (2014 Italian Cyber Security Report, Università degli Studi di Roma La Sapienza e Consorzio Interuniversitario Nazionale per Informatica).
La PA è chiamata quindi ad adottare misure di prevenzione e reazione agli eventi cyber (Direttiva 1° agosto 2015), in cui rientra anche il Computer Emergency Response Team (CERT) PA. Nell’orientare l’opera della PA, ma non solo, gioca una funzione fondamentale il ruolo di indirizzo delle istituzioni. Osservando l’esperienza di altri Paesi, come ad esempio US e UK, la PA può rappresentare un traino nello sviluppo della cybersecurity a livello nazionale e stimolare il settore privato:
- divenendo, ad esempio, l’anello forte di una catena certificata della cybersecurity che richieda specifiche certificazioni ai propri fornitori (ad esempio con il programma Cyber Essentials in Uk);
- rafforzando il coordinamento fra i vari settori e strutturando la necessaria collaborazione tra pubblico, privato sui temi della ricerca.
In questo senso le istituzioni giocano un ruolo fondamentale per la creazione di questo percorso, dalla tutela dei diritti alla creazione di opportunità reali di sviluppo, che includa in particolare:
- definizione chiara degli obiettivi a livello strategico e delle modalità di attuazione degli indirizzi operativi del Piano Nazionale;
- sostegno alla realizzazione di partnership effettiva tra PA (come ad es. Defence Cyber Protection Partnership inglese) e imprese che contribuiscono ad indirizzare consapevolmente la domanda di servizi ed infrastrutture, ma anche quello di cogliere le opportunità derivanti dal finanziamento europeo;
- la previsione di specifici investimenti sulla cybersecurity anche a livello Paese – è stato identificato a tale proposito un apposito capitolo di spesa nella legge finanziaria di 150 milioni di euro. Un segnale positivo che dovrà tener conto nel prossimo futuro delle reali necessità del sistema paese, come testimoniato anche a livello internazionale, dove gli investimenti previsti continuano ad incrementare anno dopo anno;
- lo sviluppo di una fabbrica delle competenze a partire dal sistema scolastico-universitario, favorendo la nascita di centri di eccellenza per esperti di cyber security nazionali che mantengano strette collaborazioni a livello internazionale;
- un auspicabile supporto di iniziative di politica industriale che faciliti la creazione di una industria della cybersecurity;
- la sensibilizzazione del settore industriale, ed in particolare delle PMI, sui rischi connessi alla digitalizzazione;
- una riflessione sull’opportunità di introdurre l’obbligo di denuncia in caso di incidente.