Cybercrime e sicurezza nazionale, il bilancio alla Camera

E’ un bilancio positivo ma ancora ricco di sfide quello relativo agli ultimi cinque anni della Cybersecurity nazionale, tracciato in occasione della giornata promossa da Rosa Villecco Calipari Vicepresidente Commissione permanente Difesa e Componente della Commissione bicamerale Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR), dal titolo “ecosistema cibernetico al servizio della sicurezza nazionale”. Anche la nomina del Professor Roberto Baldoni a vicedirettore del DIS (Dipartimento informazioni e sicurezza) per il cybercrime, decisa il 22 dicembre dal Comitato interministeriale per la sicurezza della Repubblica conferma la volontà di un cambio di passo atteso, necessario e non più rimandabile.

Non fermarsi nelle difficoltà

Intervistato recentemente sulle iniziative di Cybersecurity di livello nazionale in corso, aveva sottolineato come nonostante le difficoltà non si sarebbe fermato ed avrebbe continuato a perseguire divulgazione, coinvolgimento delle imprese e formazione specialistica per accrescere la readyness nazionale e contribuire alla capacità di competere sul piano internazionale per le imprese del Made in Italy. Lo stesso professore già direttore CIS Sapienza Università di Roma e direttore del Laboratorio Nazionale di Cybersecurity (CINI) è stato ospite del convegno sull’ecosistema cibernetico, dove non ha mancato di contribuito a delineare le sfide del prossimo futuro insieme ad altri accademici. In particolare Baldoni ha voluto ribadire che le complessità e i rischi dell’economia digitale, richiedono di cogliere l’opportunità di “fare sistema” e che “organizzazione e coordinamento”, unite alla velocità degli interventi devono essere coadiuvati da un processo di revisione e rivalutazione continuo, ciclico, migliorativo e multidimensionale.

Altre sfide del prossimo futuro

Per il Professor Coljanni dell’Università di Modena e Reggio Emilia, intervenuto alla giornata dedicata all’ecosistema cibernetico per la sicurezza nazionale, un aspetto cruciale da cogliere oggi per fronteggiare il prossimo futuro è la knowledge economy realizzabile mediante la coniugazione di complex problem solving, critical thinking e creatività, elevate a livello statuale mediante adeguata governance e management, come competenza trasversale, un uso opportuno e mirato della Intelligenza Artificiale e il supporto dalle imprese grandi che possano trainare le piccole. Per il Professor Enrico Prati del CNR, che ha spiegato i principi dei computer quantistici applicati alla AI o alla economia, le potenzialità dei concetti di reti quantistiche e crittografia quantistica possono ripristinare livelli di sicurezza fra ambiti delicati della società: cittadini e banche, banche e Stato, ma è necessario ricordare che come Alan Turing e il suo genio matematico furono i grado di sovvertire le sorti di una guerra, il futuro nella sicurezza informatica deve continuare ad appartenere come primato all’uomo ed alle scienze fondamentali (fisica e matematica) e non alla AI.

Risultati raggiunti e difficoltà rimanenti della cyber nazionale

Se l’importanza di un confronto valutativo sui temi della cybersecurity è continuamente necessario anche in relazione alla minaccia di sicurezza oggi proveniente da più fronti (terrorismo e criminalità organizzata per citare i maggiori) è anche necessario unire coralmente tutti gli attori verso il fine strategico della sicurezza nazionale, a valle di 5 anni di attività su tre legislature (On. Calipari). Nel periodo trascorso è stato colmato il gap legislativo e giuridico con la revisione del piano nazionale che rappresenta una aggiornata visione strategica ed una roadmap da seguire e mediante il decreto Gentiloni per l’importanza che riveste nel riassetto organizzativo e nel miglioramento verso l’integrazione e interazione con altre entità istituzionali, accademiche e del mondo privato.

È stata inoltre ricordata la norma della golden power per la protezione delle infrastrutture di tipo nazionale e strategico su cui lo Stato deve poter esercitare la sua sovranità. Anche lo stanziamento delle risorse economiche che, era chiaro come non fossero sufficienti, ha tuttavia indicato una direzione da prendere. A fronte delle misure normative, permangono ancora difficoltà in relazione alla frammentazione che impedisce un dialogo efficace, alla certificazione dei prodotti utilizzabili da entità statuali come servizi (caso hacking team portato come esempio) e si dovrebbe svolgere un lavoro più diffuso e pervasivo verso l’opinione pubblica che manca di consapevolezza. Le aziende si stanno attrezzando. Ma tutti hanno bisogno di essere consapevoli che lo strumento tecnologico è utile sebbene comporti anche dei rischi.

Pilastri nazionali e innovazione della PA

Aziende e PA stanno innovando anche se a velocità diverse e dipendentemente dalle risorse ma viene riconosciuta l’importanza di adottare soluzioni di intelligence e si auspica alla realizzazione dei tre pilastri nazionali: Laboratorio di Ricerca nazionale cyber, Centro di certificazione per analisi e validazione software e Centro nazionale di crittografia.

Paolo Ciocca, (Vicedirettore DIS e in corso di nomina come futuro componente della Consob) ha sintetizzato le iniziative passate, fra cui quelle del G7 ed ha indicato le azioni strategico tattiche per il futuro che guardano al recepimento della direttiva NIS e alla attuazione dei centri nazionali come momenti ed opportunità cruciali per concretizzare un effettivo salto di qualità.

La PA evolverà seguendo il nuovo modello strategico per l’ICT, in cui la cybersecurity rappresenta un pilastro trasversale (A.Samaritani). Gli interventi strutturali previsti sono basati su linee guida condivise, approccio di analisi del rischio, tool-web based, considerazione e valutazione dei servizi essenziali come fossero infrastrutture critiche, riduzione del numero dei data center, adesione al cert-PA e adeguamento delle misure minime. La pacchettizzazione delle soluzioni è orientata ad una migliore divulgazione verso le amministrazioni locali mentre per il futuro si prevede la diffusione del modello organizzativo, la diffusione di strumenti e di cultura informatica anche mediante esercitazioni informatiche e l’inserimento nei capitolati di gara dell’obbligatorietà di adozione di software sicuri come applicazione alla sicurezza by design. Unico quesito apparentemente ancora irrisolto sembra legato alla considerazione dei dati digitali: se rappresentano la base dell’economia va creata la cultura per proteggerli, se invece costituiscono una infrastruttura abilitante allora esiste un problema irrisolto di antitrust.

Questioni da affrontare

L’intervento conclusivo e di bilancio complessivo del Ministro dell’Interno Marco Minniti, ha permesso di ripercorrere alcuni dei momenti salienti in tema di sicurezza nazionale ma ha anche tracciato le maggiori questioni ancora da affrontare: la necessità di uscire dal paradosso di “Achille e la tartaruga” per la perenne rincorsa al gap tecnologico, la conciliazione fra il principio di libertà, di espressione e di stampa, contrapposto all’esigenza di garanzia della sicurezza. Infatti, la minaccia terroristica che usa l’approccio comunicativo strumentale sul web per il reclutamento, emulazione, istruzione e radicalizzazione rende necessaria una un’alleanza con i grandi providers che gestiscono le piattaforme social. Essenziale anche la collaborazione con l’accademia e il mondo delle imprese, spesso ancora restie ad ammettere di aver subito attacchi informatici, per far crescere il “sistema nazionale” ed il livello di competitività in ambiti internazionali. Infine è necessario ed essenziale anteporre sempre la decisionalità umana rispetto al controllo dei sistemi di Intelligenza Artificiale pur riconoscendone le potenzialità ed utilizzandone i benefici.