Rigoni: “Negli Usa, 19 mld per la cybersecurity. E In Italia?”

Il 9 Febbraio 2016 il Presidente degli Stati Uniti d’America ha presentato il nuovo “Piano d’azione nazionale per la cybersecurity” (Cybersecurity National Action Plan – CNAP). Il nuovo piano prevede un coordinatore della Cybersecurity a livello federale e la creazione di una commissione che studi e indirizzi le iniziative future. Il Presidente ha chiesto al Congresso 19 miliardi di dollari per finanziare il nuovo piano.

Se si analizza nel dettaglio il piano, emergono molti elementi interessanti che possono fungere da spunto di riflessione anche per il nostro paese. Il piano è estremamente ricco e copre aree che vanno dalla ricerca alle infrastrutture del governo, dalla formazione agli standard. Di seguito in evidenza i punti più salienti.

Innanzitutto, il nuovo piano copre sia il settore pubblico che quello privato. Molto correttamente, se un governo vuole proteggere il Paese, non è sufficiente indirizzare la sicurezza della pubblica amministrazione, ma deve necessariamente lavorare insieme al settore privato. Questo va anche a beneficio della pubblica amministrazione, poiché infrastrutture, prodotti e servizi sono forniti dal settore privato.

Un altro elemento molto importante è che il miglioramento della Cybersecurity nella Pubblica Amministrazione americana passa attraverso un’ammodernamento dei sistemi e delle applicazioni. Anche in questo caso, molto correttamente la sicurezza non viene vista come un accessorio da aggiungere a sistemi e servizi esistenti, ma come un modo di sviluppare e gestire i servizi digitali. Per questo, una parte del budget (circa 3 miliardi di dollari) è destinato all’evoluzione delle piattaforme e dei sistemi. I nuovi sistemi dovranno rispondere agli stringenti standard di sicurezza emanati dal governo americano, attraverso il National Institute for Standard and Technologies (NIST), che al tema della Cybersecurity dedica una intera serie di standard, la 800, che oggi conta 160 documenti. Mentre la compliance agli standard NIST è obbligatoria per la pubblica amministrazione, per il settore privato è solo raccomandata, anche se è crescente il numero di grandi aziende che stanno utilizzando gli standard e il framework NIST.

Una parte dei fondi è destinata alla formazione delle persone e la creazione di curriculum adeguati per consentire di soddisfare il fabbisogno di esperti all’interno delle amministrazioni pubbliche.

Un altro aspetto molto interessante è il potenziamento di un team di esperti all’interno del Department of Homeland Security che avranno il compito di assistere le aziende private nel migliorare la propria sicurezza, attraverso attività di assessment e di consulenza.

Proprio in questi giorni è stato inaugurato il National Cybersecurity Center of Excellence (NCCoE), una struttura ospitata dal NIST che vede soggetti pubblici e privati impegnati per accelerare l’adozione di infrastrutture e tecnologie sicure e per fornire modelli e pratiche di sicurezza di facile implementazione per gli stakeholder pubblici e privati.

Un ultimo aspetto rilevante è dato dal progressivo abbandono dell’uso delle semplici password a favore di sistemi più sofisticati di autenticazione (autenticazione a due fattori, biometrico, ecc.).

E in Italia? Come i lettori più attenti sanno già, nel 2014 ci siamo dotati anche noi di un piano nazionale per la sicurezza dello spazio cibernetico, grazie al quale sono partite numerose iniziative che cominciano a dare i loro frutti, come ad esempio il CERT Nazionale, il CERT PA, lo SPID. Il 4 Febbraio è stato presentato il Framework Nazionale. Certo, rispetto agli Stati Uniti, la portata delle nostre iniziative è minore, in particolare per la mancanza di fondi sufficienti. L’Italia ha un ottimo piano Nazionale, adeguato alla nostra situazione specifica, ma attuarlo richiede non solo l’impegno di tutti gli attori, ma anche investimenti. Il governo ha già fatto in pochi anni passi importanti e deve continuare su questa linea: la pubblica amministrazione è una enorme opportunità per rendere il paese più sicuro e contaminare positivamente il settore privato. Ma non sarà sufficiente: dobbiamo finanziare la ricerca, formare le persone, creare nuove capabilities, sviluppare competenze, strumenti e metodi all’interno del settore pubblico e privato: tutto questi richiede risorse. Risorse che il governo ha annunciato di voler allocare: si tratta di 150 Milioni di Euro. Paragonati ai 19 miliardi degli Stati Uniti sembrano nulla, ma se ben indirizzati e spesi, possono comunque portare un contributo importante.