Una strategia Paese unitaria (che manca) contro il cybercrime: sei punti d’azione
2 Dicembre 2015
Roberto Baldoni, Università di Roma La Sapienza e Rocco De Nicola, IMT Lucca
Nuove opportunità ma anche nuove minacce: è questo lo scenario offerto dalla rivoluzione sociale ed economica avviata, ormai da anni, da internet. Internet ha rivoluzionato società e la nostra economia garantendo condivisione di informazioni, coinvolgimento politico e sociale e mercati (nazionali e transnazionali) aperti. L’accessibilità da luoghi lontani, la velocità delle connessioni e l’intrinseca fragilità della rete, pensata per usi collaborativi e non competitivi, ha anche aperto la porta a nuove minacce. La rete è vulnerabile agli attacchi di criminali, hacker, terroristi che possano puntare alla distruzione di sistemi informatici, a truffe commerciali o al furto di informazioni personali o di segreti industriali. La pervasività dei dispositivi, la vulnerabilità dei sistemi software, la diminuzione della necessità di abilità informatiche per portare attacchi hanno creato le condizioni per l’aumento qualitativo e quantitativo delle minacce.
Le dinamiche del cyberspazio e del governo mondiale di Internet, rendono evidente come lo spazio cibernetico non sia escluso dalle logiche geopolitiche e dalla competizione internazionale, economica e militare. Gli attacchi cyber possono manifestarsi attraverso compromissioni di oggetti o strumenti di uso quotidiano collegati in rete (Internet of Things) ma possono anche riguardare infrastrutture critiche quali acquedotti, linee elettriche, linee ferroviarie che possono essere messe fuori uso con attacchi alle loro componenti informatiche sempre più cruciali per il loro funzionamento.
Nei prossimi cinque anni abbiamo di fronte una serie di sfide per la l’utilizzo di strumenti informatici di difesa, quali sistemi crittografici o biometrici, sistemi di controllo degli accessi o di data analitics, e di sfide per la messa a punto di strumenti organizzativi e normativi sulla cyber security utili per fronteggiarli.
Quanto appena detto porta ad una serie di raccomandazioni specifiche:
- Strategia, pianificazione e controllo
Il quadro legislativo italiano sulla cyber security evidenzia uno scenario di competenze e responsabilità distribuito e frastagliato. La velocità con cui gli attacchi si dispiegano richiede invece un forte coordinamento tra rilevazione della minaccia e risposta ed è pertanto opportuno unire competenze e responsabilità relative alla sicurezza cibernetica in un ente centrale che delinei gli obiettivi strategici, abbia poteri di indirizzo e di controllo e supporti altri enti governativi nella definizione di requisiti, regole e vincoli da inserire all’interno di capitolati di gare per avere soluzioni tecnologiche e organizzative di avanguardia. - Sicurezza come investimento
Finanziare ricerca e industria nel settore della sicurezza è indispensabile per prevenire e gestire i rischi relativi ai nostri dati, alle nostre transazioni e alle nostre infrastrutture critiche. La sicurezza costa, ma è un investimento e una precondizione indispensabile per garantire la competitività del nostro sistema produttivo. Gli investimenti sulla sicurezza non vanno sprecati: serve pertanto mettere a punto un piano di brain retention (spin-off, parchi tecnologici, politiche incentivanti) che rendano più attraente lavorare su tematiche di sicurezza informatica nel nostro Paese. - Alleanza tra accademia, pubblico e privato
Le relazioni tra accademia, pubblico e privato, attualmente puntiformi e distribuite sul territorio, debbono evolvere in una struttura operativa leggera centralizzata multidisciplinare che faccia da collante tra i centri di ricerca, il settore produttivo e il settore governativo. Un Italian Cyber Security Center renderebbe disponibile personale di altissima qualificazione, infrastrutture hardware e software adeguate e garantirebbe la necessaria riservatezza, offrendo formazione, servizi e ricerca al sistema governativo e produttivo del Paese e gestendo l’evoluzione di standard di cyber security. - Razionalizzazione del patrimonio della PA
Serve un piano che razionalizzi i data center della Pubblica Amministrazione (PA) per passare dalle attuali decine di migliaia di centri a un numero di tre ordini di grandezza inferiore. La razionalizzazione permetterebbe di realizzare enormi risparmi e di aumentare sensibilmente i livelli di sicurezza e di disponibilità dei servizi. La razionalizzazione permetterebbe anche di realizzare un vero e proprio asset infrastrutturale tecnologico che potrebbe ospitare i sistemi informativi di piccole e medie imprese e getterebbe le basi per la creazione di una nuvola (cloud) sicura “made in Italy”. - Certificazioni e Best Practice
Il framework nazionale di sicurezza cyber deve prevedere strumenti per valutare le capacità di una organizzazione e per aiutare la definizione di una roadmap adeguata al tipo di business dell’organizzazione, garantendo opportuna programmazione temporale. Esso può mettere le basi per la diffusione di certificazioni e best practice di sicurezza nel pubblico come nel privato, facendo in modo che l’argomento rischio informatico, come gli altri rischi aziendali, entri nei consigli di amministrazione delle aziende e nei comitati direttivi delle organizzazioni pubbliche. - Formazione
Bisogna promuovere la cultura della sicurezza e rendere consapevoli cittadini e lavoratori che la mancanza di attenzione può mettere a rischio un’intera comunità. Sui media tradizionali (giornali, radio, tv) e sui social vanno previste campagne di informazione sui rischi relativi a furto di identità, privacy, intercettazioni, operazioni bancarie. Nelle scuole superiori vanno previsti corsi che mettano in guardia dall’uso di programmi eseguiti su computer o smartphone. Nelle università, vanno previsti curricula nazionali su argomenti di base sulla sicurezza dei sistemi. La formazione e l’aggiornamento professionale di lavoratori e dei dirigenti deve poi essere permanente.
A queste raccomandazioni va aggiunta una meta-raccomandazione che riguarda l’esigenza di creare una nuova struttura per la politica digitale nazionale, dotata di competenze chiare e di poteri effettivi su servizi, settori produttivi e Pubbliche Amministrazioni. La nuova struttura non deve però rappresentare un livello burocratico aggiuntivo che punta solo a verificare adempimenti procedurali in chiave legalistico-giuridica, ma deve essere una struttura in grado di fornire input strategici per disegnare l’architettura complessiva del sistema digitale nazionale che deve rappresentare un rilevante fattore di crescita economica.
Tutto questo, e di più, è discusso in un volume del Laboratorio Nazionale di Cyber Security. Tale volume, intitolato Il futuro della Cyber Security in Italia racconta le principali sfide che il nostro Paese sarà chiamato ad affrontare nei prossimi cinque anni per rimanere nel gruppo dei paesi avanzati. Il volume, che raccoglie i contributi di un gruppo multidisciplinare di cinquanta ricercatori italiani provenienti da una ventina tra le più prestigiose Università del nostro Paese, non è destinato a specialisti informatici ma a politici, manager, professionisti e in generale a tutti i cittadini che usano la rete ed è scaricabile da https://www.consorzio-cini.it/index.php/it/labcs-h… .