Con il DPCM del 24 Gennaio 2014, il nostro Paese ha avviato un percorso di strutturazione della protezione dello “spazio cibernetico” nazionale, basato sulla pubblicazione di due documenti programmatici: il “Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico” con annesso il “Piano nazionale per la protezione cibernetica e la sicurezza informatica”.
Nel mese di febbraio di quest’anno, questi documenti sono stati pubblicati in Gazzetta Ufficiale, aprendo di fatto un nuovo capitolo della sicurezza del nostro paese.
Per la prima volta si pone l’attenzione sul fatto che la principale minaccia dello spazio virtuale è rivolta alla sicurezza del potenziale industriale nazionale rappresentato dal know-how scientifico, tecnologico ed aziendale con inevitabili ripercussioni del benessere sociale ed economico nazionale; per far fronte a ciò entrambi i documenti evidenziano un nuovo approccio per affrontare una problematica, una “strategia olistica”, che consenta di individuare azioni congiunte tra il settore pubblico e privato finalizzate ad una idonea capacità di prevenzione, reazione, contrasto e contenimento.
La minaccia cyber è in continua evoluzione sia sotto il profilo tecnologico e sia sotto il profilo delle conseguenze e della varietà degli attori in campo (non solo minacce terroristiche ma anche e soprattutto mirate azioni di sabotaggio e/o spionaggio portate avanti da soggetti para-statali); inoltre sono sempre di più i Paesi che si stanno dotando di particolari capabilities che consentono loro di penetrare nelle reti nazionali di altri Stati sia con singoli attacchi cyber ma anche con più lungimiranti strategie realizzate grazie ad un efficientissima mobilitazione industriale (es. diffusione di hardware e software anche in importanti infrastrutture di rilevanza nazionale che presentano falle/back-door potenzialmente devastanti per tutto il sistema).
Si parla quindi di minacce alla capacità di funzionamento delle nostre strutture critiche che può essere contrastata attraverso lo sviluppo di capacità di prevenzione di eventi assicurando contestualmente una azione efficace di contenimento delle conseguenze rispetto a diverse tipologie di eventi.
Si tratta di capacità che possono essere espresse solamente attraverso una “adeguata formazione, sensibilizzazione e responsabilizzazione del personale, mediante l’adozione di misure di sicurezza fisiche, logiche e procedurali”.
Tornando al focus dei due documenti programmatici va sottolineato come Il Quadro Strategico individua 6 strumenti per il potenziamento delle “capacità cibernetiche”:
- miglioramento, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati.
- potenziamento delle capacità di difesa delle Infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese.
- incentivazione della cooperazione tra istituzioni ed imprese nazionali;
- promozione e diffusione della cultura della sicurezza cibernetica;
- rafforzamento delle capacità di contrasto alla diffusione di attività/contenuti illegali on-line;
- rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica
Tra gli elementi di assoluta novità, riscontrati in analoghi documenti predisposti da altri Paesi, vi è quello di individuare nelle Università e negli istituti di ricerca, gli interlocutori privilegiati per quel che riguarda la diffusione della cultura della sicurezza che ci si auspica possa entrare a far parte del bagaglio formativo di studenti/ricercatori.
Per il conseguimento dei 6 indirizzi strategici sono stati identificati 11 indirizzi operativi, contenuti nel “Piano nazionale per la protezione cibernetica e la sicurezza informatica”:
- potenziamento capacità di intelligence, di Polizia e di difesa civile/militare;
- implementazione organizzazione e modalità di coordinamento a livello nazionale tra soggetti pubblici e privati;
- promozione e diffusione della cultura della sicurezza informatica, formazione/addestramento;
- Rafforzamento cooperazione internazionale ed esercitazioni;
- Operatività del CERT Nazionale unitamente al CERT-PAe ai CERT dei vari dicasteri;
- Interventi legislativi e compliance con obblighi internazionali;
- Compliance a standard e protocolli di sicurezza.
- Supporto allo sviluppo industriale e tecnologico;
- Comunicazioni strategiche;
- Ottimizzazione della spesa nei settori della cyber-security e cyber-defence;
- Implementazione di un sistema integrato di Information Risk Managment nazionale.
Criticità
Struttura:
L’architettura istituzionale individuata dal decreto si sviluppa su tre livelli d’intervento: uno politico per l’elaborazione degli indirizzi strategici, affidati al Comitato interministeriale per la sicurezza della Repubblica; uno di supporto operativo ed amministrativo e a carattere permanente, il Nucleo per la Sicurezza Cibernetica presieduto dal Consigliere Militare del Presidente del Consiglio; uno di gestione di crisi, affidato al Tavolo interministeriale di crisi cibernetica.
Ruoli/Responsabilità:
In questo ambito dunque, una moltitudine di soggetti istituzionali vengono posizionati su pari livello di “capacità decisionale” per affrontare un tipo di minaccia che ben poco si presta ad essere gestita da strutture burocratiche e piramidali.
Allo stato attuale, l’approccio interministeriale (attraverso il ruolo decisivo riconosciuto al CISR Comitato Interministeriale per la Sicurezza della Repubblica) sembra essere l’unico possibile, anche se la partecipazione in egual misura dei vari Ministeri riflette una tipica concezione nazionale e ne consegue che, ad esempio, l’infrastruttura presa di mira da un attacco cyber, diviene competenza (per erroneo convincimento e per un primo lunghissimo momento) del Ministero di riferimento anziché di un Comando integrato di Difesa/Intelligence.
Definizione dei concetti di base:
Nonostante gli enormi passi in avanti compiuti grazie al decreto preso in esame, non esiste una definizione e classificazione condivisa di Infrastruttura Critica (spesso nelle relazioni vengono prese come riferimento quelle dei manuali statunitensi, inglesi, UE) con la conseguenza che senza sapere cosa difendere è impossibile qualsiasi forma di pianificazione efficace; allo stesso tempo è indispensabile chiarire dove inizia e dove finisce un attacco cibernetico ad una infrastruttura critica.
Assenza di un unico CERT (Computer Emergency Response Team)
Allo stato ne sono previsti tre: 1) Il CERT Nazionale presso il MISE 2) Il CERT della Pubblica Amministrazione presso l’Agenzia per l’Italia Digitale 3) Il Nucleo di Sicurezza Cibernetica presso l’Ufficio del Consigliere Militare alla Presidenza del Consiglio dei Ministri.
Modelli Comparativi
A fine 2013 solo 17 dei 28 Stati membri dell’UE avevano pubblicato una Cyber-strategy e solo 29 dei 196 Stati sovrani a livello internazionale avevano fatto la stessa cosa.
Difficile l’esercizio di uno studio comparativo stante la presenza di una lunga serie di variabili (budget a disposizione, entità dei dati da proteggere, peso internazionale, struttura governativa) che di fatto rendono complesso tale esercizio.
L’esempio della Confederazione Svizzera con il suo centro di coordinamento che interagisce con il CERT governativo e parallelamente con l’intelligence, le forze armate e riversa gli “alert” alle aziende (che a loro volta segnalano intrusioni ed attacchi) costituisce un modello contraddistinto da linearità, semplicità ed efficacia.
Diversa la posizione USA che tra il 2009 e il 2010 ha creato e reso operativo l’US Cyber Command (USCYBERCOM) che di fatto assume il controllo delle operazioni nello spazio cibernetico, organizza le risorse informatiche esistenti e sincronizza la difesa delle reti militari statunitensi; il Comando inoltre ha il compito di mettere insieme le risorse del cyberspace con la creazione di sinergie e la sincronizzazione di effetti di combattimento per difendere l’ambiente cibernetico e l’integrità delle informazioni (capacità proattiva).
Si tratta di due esempi che interessano due attori completamente diversi tra loro, in mezzo, tutta una serie di situazioni fatte da singoli Paesi consapevoli di far parte di una information society globale che si basa su sistemi operativi, protocolli di comunicazione e software totalmente insicuri, ove il più sprovveduto rischia di ritrovarsi in balia del più feroce ed astuto.
Prospettive
Pensare di affrontare le nuove minacce applicando vecchi schemi considerando lo spazio cibernetico semplicemente come un’altra dimensione di interazione strategica appare riduttivo e fuorviante; il cyberspazio agisce come “luogo” per raggiungere le altre dimensioni e un attacco informatico può rapidamente e facilmente passare dal mondo virtuale a quello reale.
Approcciarsi con metodo a questa realtà, è necessario per una corretta comprensione della minaccia e per favorire un’appropriata pianificazione della difesa cibernetica; l’adozione dei sistemi difesa ad hoc potrà quindi contribuire in maniera vantaggiosa alla salvaguardia del benessere e della sicurezza di tutti noi.
La direzione da percorrere è quella di una “global cyberstrategy” che tenga conto delle esigenze di difesa dei singoli ed individui le azioni di contrasto in una dottrina sempre più complessa; una strategia della sicurezza globale all’interno della quale siano chiari i ruoli e le responsabilità nelle attività gestionali, i cui costi siano compatibili con le risorse disponibili e che riunisca in un coordinamento efficace tutte le normative ed i documenti finora emanati.
- European Commission, Joint communication to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions – Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, 2013, in <http://www.eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_en.pdf
- Cyber minacce e sicurezza. La relazione del COPASIR sulle possibili implicazioni e minacce per la sicurezza nazionale derivanti dallo spazio cibernetico, 2010, in <http://www.parlamento.it/documenti – repository/commissioni/bicamerali/COMITATO%20SICUREZZA/Doc_XXXIV_n_4.
- Governo Italiano, Relazione sulla politica dell’informazione per la sicurezza 2012, 2013, pagg. 37-47, in <http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2013/02/relazione-2012.pdf
- P. Lucania: Il Manuale di Tallin: diritto e cyber war – CESI Centro Studi Internazionali, 2013, in http://www.cesi-italia.org/europa/item/668-il-manuale-di-tallin-diritto-e-cyber-war.html
- Web e disinformazione: il ruolo dell’intelligence - 10 Settembre 2019
- Intelligenza artificiale e guerra algoritmica - 13 Luglio 2018
- Linguaggio comune e standardizzazione delle attività del settore cyber: il National Cybersecurity Workforce Framework - 31 Luglio 2017