Ecco cosa manca all'Italia per una Cyber Defense Nazionale - FPA

Ecco cosa manca all’Italia per una Cyber Defense Nazionale

Home PA Digitale Sicurezza Digitale Ecco cosa manca all’Italia per una Cyber Defense Nazionale

Le normative, gli standard e le direttive ci sono, eppure la maggior parte delle PA e delle infrastrutture critiche sono ancora molto lontane dall’adozione di un modello condiviso di Cyber Defence nazionale. Il risultato è una protezione poco efficace dal punto di vista nazionale e fortemente dipendente dalla capacità dei singoli di rendere sicura la loro porzione di cyber space. Il CERT potrebbe essere il punto di svolta, ma restano da fare molte cose. Eccole

18 Luglio 2016

F

Fabio Battelli, Director di Deloitte ERS, Cyber Risk Services

Per prevenire una malattia virale che si diffonde tra tutti, invece di vaccinarsi su scala globale, ognuno preferisce prendere la medicina quando la malattia si manifesta. Questo è esattamente quello che accade oggi in Italia nell’ambito della sicurezza digitale, soprattutto nella PA e nelle infrastrutture critiche, che sarebbero le prime a doversi vaccinare dando il buono esempio… Andando oltre la metafora, oggi le Istituzioni italiane, ma in generale anche l’industria ed il privato sono ancora molto lontane da un approccio sistemico e coordinato volto ad assicurare una protezione nazionale del Cyber Space. Le cause sono molteplici, ma possono essere brevemente riassunte nei seguenti punti:

  • Nonostante le indicazioni e gli elementi forniti dalla normative, mancano ancora dei regolamenti tecnici o di auto-disciplina che consentano di uniformare le aspettative e le necessità in materia di Cyber Defence nazionale;
  • Lo scambio informativo su incidenti subiti e tecniche correlate è attuato ancora in casi sporadici e solo in alcuni ambiti/settori (vedi Pubblica Amministrazione attraverso il CERT-PA) o CERT nazionale, attraverso convenzioni ed accordi ad-hoc);
  • Molte organizzazioni (sia appartenenti al settore pubblico, sia a quello privato) non hanno ancora maturato una sensibilità specifica sull’effettiva necessità di contribuire attivamente alla Cyber Defence nazionale (e di fatto, tranne proclami e direttive non sono neanche obbligati nel concreto a farlo);
  • Ultimo, ma non meno importante, l’annoso tema degli investimenti, che differiscono sensibilmente da soggetto a soggetto e questo non facilita di certo il raggiungimento di un livello di sicurezza omogeneo, anche se minimo, tra tutti gli attori direttamente o indirettamente presenti del Cyber Space.

Eppure, già nel novembre 2014 la Commissione Europea ha rilasciato un Cyber Defense Policy Framework con l’intento di chiarire agli Stati Membri quale dovrebbe essere la strada per arrivare ad avere una così detta Common Security and Defense Policy (CSDP) . In altre parole un insieme di pratiche e policy condivise che possano, a livello sistemico e non di singoli attori, fornire un contributo reale in termini di difesa cibernetica nazionale.

Il documento, nonostante sia passato in sordina, ha di fatto ribadito diversi concetti importanti che sono anche alla base della recentedirettiva NIS e prima ancora in gran parte già espressi dall’Italia attraverso il Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico e dal Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica . Stando quindi alle intenzioni del legislatore Europeo, nonché di quello Nazionale, si è perfettamente compreso che la spazio cibernetico, essendo ormai considerato il quinto dominio delle attività militari (insieme quindi a terra, mare, aria e spazio), non può essere protetto guardando solo al proprio orticello.

Quale potrebbe essere pertanto essere la strada maestra da adottare per migliorare la cooperazione tra i diversi attori coinvolti, Difesa, PA in generale, Infrastrutture Critiche e settore privato? L’indicazione di fatto viene già dal legislatore, ma tarda ad arrivare per i motivi di cui sopra: il CERT (Computer Emergency Response Team) è, sia nel mondo pubblico, sia in quello privato, il punto di contatto principale per la gestione degli incidenti critici ed in generale per la prevenzione della minaccia cyber. Tuttavia, la maggior parte delle PA e delle infrastrutture critiche nazionali non hanno ancora formalmente costituito un CERT (Computer Emergency Response Team) o stanno cominciando ora il percorso per la sua realizzazione; i pochi CERT che stanno venendo alla luce in Italia, inoltre, sono ancora troppo focalizzati sulla protezione interna dell’organizzazione e non nascono con un vero e proprio spirito di cooperazione tra gli altri essi, ingrediente fondamentale per poter parlare di Cyber Defence nazionale.

Approfondendo l’intervento richiesto, un primo beneficio importante potrebbe arrivare dall’adozione di un Framework Nazionale di Cyber Defence, che possa da un lato uniformare le capacità richieste dai CERT e dall’altro favorire il coordinamento tra attori pubblici e privati, troppo spesso impegnati a fronteggiare le medesime minacce e risolvere analoghe problematiche.

Ciò produrrebbe un numero rilevante di ulteriori effetti, tra i quali:

  • Maggiore fiducia tra gli operatori. Disponibilità di una rete di contatti fiduciari per l’intera community CERT/CSIRT, che faciliterebbe l’effettiva cooperazione e scambio informativo;
  • Migliore Prevenzione. Condivisione proattiva e tempestiva delle minacce, basata sull’utilizzo di metodiche e strumenti comuni;
  • Migliore Reazione. Drastica riduzione degli impatti a livello di Sistema Paese in casi di incidente/crisi, grazie allo scambio informativo sulle minacce e le tecniche di risposta agli incidenti;
  • Contributo alla Situational Awareness nazionale. Visibilità più completa sullo stato della minaccia nazionale, grazie alla condivisione di dati e statistiche contestualizzate allo scenario italiano (il CERT Nazionale avrebbe di sicuro vita più facile se riuscisse ad interloquire con altri presidi CERT);
  • Baseline di Protezione. Standardizzazione delle capacità di difesa, mediante la condivisione di un set specifico di standard operativi ed organizzativi;
  • Competitività. Maggiore credibilità e competitività internazionale, grazie a misure concrete ed effettive di difesa nazionale.