Le nuove sfide per la cybersecurity delle infrastrutture critiche nazionali
La cybersecurity è ormai una necessità imprescindibile per la salvaguardia del sistema Paese e, in particolare, delle infrastrutture critiche, bersaglio di attacchi con potenziali effetti dirompenti per i cittadini. Dal Perimetro di Sicurezza Nazionale Cibernetica alla nuova Agenzia per la Cybersicurezza Nazionale, fino alla proposta di revisione della Direttiva NIS, una riflessione sulle principali iniziative
20 Ottobre 2021
Luisa Franchina
Presidente Associazione Italiana esperti in Infrastrutture Critiche
Lorenzo Damiano
Analista Hermes Bay
Secondo l’ultimo rapporto di Trend Micro, l’Italia è stata il primo paese in Europa e il quarto al mondo più colpito da malware nei primi sei mesi del 2021, con ben 28.208.577 attacchi registrati. È evidente come la cybersecurity sia ormai una necessità imprescindibile per la salvaguardia del sistema Paese e, in particolare, la cybersecurity delle infrastrutture critiche, bersaglio di attacchi con potenziali effetti dirompenti per i cittadini, come dimostrato ad esempio dal recente attacco ai sistemi informatici della Regione Lazio.
L’impatto delle minacce cibernetiche è stato ulteriormente amplificato dalla pandemia da Covid-19 che ha imposto un improvviso e massiccio ricorso alle tecnologie digitali per l’erogazione dei servizi della Pubblica Amministrazione, nonché, in generale, per permettere di svolgere attività lavorative da remoto. Ciò ha inevitabilmente esteso la potenziale superficie d’attacco, esponendo i sistemi ad una vasta gamma di minacce, tra cui i noti ransomware che hanno dimostrato di poter paralizzare intere attività in assenza di misure di sicurezza adeguate.
Il Perimetro di Sicurezza Nazionale Cibernetica: a che punto siamo
Tale contesto ha certamente contribuito a evidenziare la necessità di rafforzare il processo volto alla creazione di un’architettura nazionale di sicurezza informatica che l’Italia aveva già intrapreso con l’istituzione del Perimetro di Sicurezza Nazionale Cibernetica. La predisposizione del Perimetro procede spedita con l’adozione dei relativi decreti attuativi, puntando ad aumentare la sicurezza e la resilienza cibernetica dei soggetti maggiormente sensibili in ottica di sicurezza nazionale, ovvero quei soggetti che esercitano o erogano funzioni o servizi essenziali per lo Stato. Tali soggetti sono destinatari di precisi obblighi in tema di adozione di specifiche misure di sicurezza, notifiche di incidenti e utilizzo di forniture di beni, sistemi e servizi ICT oggetto di scrutinio da parte del Centro di Valutazione e Certificazione Nazionale (CVCN).
Con l’ultimo DPCM del 15 giugno 2021, sono per l’appunto state individuate le categorie di beni, sistemi e servizi ICT in relazione alle quali i soggetti inclusi nel Perimetro sono tenuti a effettuare la comunicazione al CVCN qualora intendano impiegarli per l’espletamento delle attività essenziali erogate. In attesa del decreto che prevederà l’identificazione delle regole di accreditamento per i laboratori che potranno effettuare la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità, l’assetto del Perimetro è ormai quasi completo e punta a garantire, una volta a pieno regime, che i sistemi interessati possano essere quanto più possibile pronti per rispondere alle minacce informatiche, oltre che ad impostare un assetto che si riveli adeguato ad affrontare anche le sfide future.
L’Agenzia per la Cybersicurezza Nazionale: quali innovazioni porta
Al fine di fornire un indirizzo unitario e fungere da raccordo per le varie misure e progetti dedicati alla sicurezza cyber, è stata poi istituita l’Agenzia per la Cybersicurezza Nazionale (ACN): un’Autorità nazionale che assumerà i compiti dei diversi enti sinora coinvolti per le rispettive competenze, quali la Presidenza del Consiglio, il DIS e l’Agenzia per l’Italia Digitale. Ponendosi nel solco di analoghi enti già attivi, ad esempio, in Germania e Francia, la nuova Agenzia permetterà di affrontare tutti i temi dell’agenda cyber italiana in maniera trasversale, spaziando da competenze in tema di risposta agli incidenti e alle crisi grazie al coordinamento del CSIRT e del Nucleo di Sicurezza Cibernetica, fino al rafforzamento del partenariato pubblico-privato e delle competenze.
La vera innovazione dell’Agenzia sta proprio nella capacità di fungere da volano per le attività che guideranno la crescita dell’Italia negli anni a venire, agendo con iniziative volte a coinvolgere tutti i settori verso uno sforzo comune. Sarà fondamentale, infatti, poter contare su un’unica Autorità che permetta non solo di resistere agli attacchi subiti quotidianamente dai sistemi, ma soprattutto di rendere finalmente il tema cyber centrale per il Sistema Paese.
In tal senso, l’ACN incentiva e promuove il rafforzamento dell’autonomia industriale e tecnologica italiana in settori cruciali per il futuro quali la crittografia, puntando a svincolarci dalla dipendenza da altri stati e apportando, al contempo, benefici all’intero comparto produttivo. Ciò è ancora più cruciale se si considera la recente spinta impressa dalla Strategia Cloud Italia alla migrazione dei dati della Pubblica Amministrazione verso un cloud nazionale che non dipenda da provider esteri per la gestione delle chiavi crittografiche. Lo sviluppo di capacità nazionali permetterebbe anche di non farsi trovare impreparati di fronte agli avanzamenti tecnologici legati alla meccanica quantistica, sia proteggendo gli attuali apparati che sviluppando sistemi di comunicazione che facciano uso della crittografia quantistica, attualmente oggetto di un progetto condiviso da parte degli stati membri dell’Unione Europea.
Cybersecurity: il ruolo della formazione
Questa rinnovata consapevolezza sulla sicurezza informatica passa anche dalla formazione, sia tramite l’attivazione di appositi percorsi formativi che incentivando la sinergia fra aziende, università e istituzioni. La formazione sarà fondamentale per dotare l’Italia di tutte quelle figure professionali specializzate che negli anni a venire saranno il vero asse portante del nuovo assetto cyber nazionale e che permetteranno di raggiungere gli obiettivi di eccellenza cui aspira. Tali figure saranno ulteriormente valorizzate grazie all’incontro e alla messa a sistema con imprese e università sotto l’egida delle Istituzioni nei c.d. “cyber parchi”: ecosistemi che hanno dimostrato di essere un importante volano per lo sviluppo di capacità tecniche e imprenditoriali in ambiti avanzati quale quello cyber.
Cybersecurity delle infrastrutture critiche: la revisione della Direttiva NIS
L’assetto normativo italiano a protezione delle infrastrutture critiche sarà nel prossimo futuro condizionato anche dalle iniziative promosse in ambito europeo a tutela della sicurezza delle reti e dei sistemi informativi, segnatamente dalla revisione della Direttiva NIS, la c.d. NIS 2. Il progetto di revisione presentato dalla Commissione Europea lo scorso dicembre mira, infatti, ad aumentare il livello di sicurezza cibernetica europeo, ampliare la platea di beneficiari e includere aspetti rivelatisi fondamentali quali la sicurezza della supply chain. La distinzione tra Operatori dei Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) verrà abbandonata in favore di quella tra Entità Essenziali e Entità Importanti, graduandone gli obblighi ed escludendo le piccole imprese che non svolgano ruoli cruciali per lo Stato.
L’individuazione precisa dei soggetti tenuti al rispetto delle misure permetterà di aumentare la coerenza nell’applicazione della direttiva fra i vari stati membri, pur senza imporre oneri troppo incombenti. Allo stesso tempo, però, spingerà i singoli stati a prevedere nelle rispettive strategie cyber nazionali misure generali da applicarsi anche alle piccole imprese non coperte specificamente dall’ambito della Direttiva, andando quindi ad innalzare il livello complessivo di consapevolezza e sicurezza cyber. Al fine di impostare una risposta unitaria ed efficace alle minacce informatiche che possono scatenare crisi su larga scala, è previsto un nuovo assetto di gestione, coordinamento e risposta agli incidenti a livello europeo che favorisca lo scambio informativo e il coordinamento delle Autorità dei vari stati membri.
La proposta di revisione ha quindi l’ambizioso compito, parimenti perseguito dall’Italia, di elevare la sicurezza informatica e tutto il dominio cyber da ambito specialistico a settore trasversale di importanza vitale per tutti, dalle imprese alla PA fino ai singoli cittadini, permettendo al sistema paese di essere pronto per le sfide future.