Poteri pubblici e privati possono collaborare insieme per la cybersecurity? Un convegno sul tema è stata l’occasione per fare il punto sullo stato dell’arte
Possiamo anche datarlo: il calcio d’inizio al Partenariato Pubblico-Privato (forma di collaborazione tra pubblico e privato su temi pubblici) sul tema della cybersecurity è stato dato il 5 luglio 2016, con la Commissione Europea che lo lanciato nell’ambito delle tecnologie e delle soluzioni per la sicurezza della Rete. Obiettivo ultimo, quello di stimolare l’industria europea della cybersecurity. Nell’ambito di questa iniziativa ogni paese ha iniziato a valutare le modalità migliori per assolvere alle indicazioni Europee. Nel corso di un recente convegno sul tema dal titolo Pubblico-Privato, l’alleanza necessaria per la cyber security gli speaker si sono alternati nel riportare esperienze e fornire contributi, per alimentare il dibattito fra istituzioni, imprese e università, anche alla luce dell’ultimo decreto sulla cyber (DPCM 17 Febbraio 2017 o DPCM Gentiloni).
Ci giochiamo il futuro
L’imprescindibilità della collaborazione pubblico-privato per la minaccia cyber è stata sottolineata dal Prof. Roberto Baldoni, direttore del CIS-Sapienza e del Laboratorio Nazionale di Cyber Security del Consorzio CINI, perché le minacce, da lui definite darwiniane, vanno a colpire la sopravvivenza stessa di pc e sistemi ma anche infrastrutture critiche bloccandone l’operatività. La cybersecurity rappresenta il campo dove ci si gioca il futuro e ricordando l’intervento recente di Junker al parlamento Europeo,
la cybersecurity rappresenta una priorità inserita subito dopo il cambio climatico e subito prima dell’immigrazione
Rispetto alla già difficile situazione odierna, potrebbe verificarsi inoltre una esasperazione futura, legata ad attacchi su IOT ed alla decriptazione degli attuali codici considerati sicuri mediante le maggiori capacità computazionali legate principalmente ai computer quantici. Data la trasformazione digitale ogni azienda sarà soggetta a trattare dati digitali, oltre che a produrre manufatti e la collaborazione PPP sulla cybersecurity è cruciale anche per rendere resiliente la nostra economia senza mai dimenticare di lavorare sulla consapevolezza ed avere approcci standard per la formazione e le tecnologie.
QUI Polizia Postale
Un esempio dell’operatività sul campo di una forza pubblica è stato fornito dal direttore del Servizio di Polizia Postale e delle Comunicazioni, la dottoressa Nunzia Ciardi che ha illustrato non solo le modalità di sorveglianza, monitoraggio e investigazione della polizia Postale presso il CNAIPIC (Centro Nazionale di Protezione Infrastrutture Critiche), ma ha anche sottolineato come tutte le informazioni, che non costituiscono materiale giudiziario per le procure, sono oggetto di infosharing verso tutti gli stakeholder potenzialmente interessati, anche di tipo privato. In quest’ultimo punto sembra maggiormente sostanziarsi il senso della attuazione della PPP da parte della Polizia Postale. Infine è stata affermata la prontezza per la piena adozione della NIS e per tutti gli aspetti di denuncia che da essa discenderanno.
Difendere le aziende
Francesco Teodonno, security business unit leader di IBM Italia ha sottolineato come il GDPR inoltre farà fare un salto di qualità alla sicurezza informatica, troppo spesso ancora considerata solo una questione da addetti ai lavori, portandola ad “un affare da board of directors” che non potranno disconoscerla o relegarla ad un ruolo secondario. Infine, sottolinea l’importanza della difesa delle aziende italiane come asset economici nazionali.
Il pubblico da solo non ce la fa
Il senatore Giuseppe Esposito, vicepresidente del Copasir nel trarre alcuni conclusioni ha chiarito che “la sicurezza non va appaltata al mondo privato ma è indubbio che il settore pubblico da solo non ce la fa”. Ecco perché nel decreto Gentiloni si trova un focus su questo aspetto specifico. A suo avviso si devono perseguire tre step: avere obiettivi chiari, saper analizzare cosa accade e mettere a fattor comune. Infine si dovrebbero avere piani a lungo termine piuttosto che pensare solo al breve termine. Un elemento cruciale è costituito anche dai fondi destinati a questa priorità e assicura che quest’anno nella prossima finanziaria si troveranno maggiori risorse per le attività, la cultura della sicurezza e non più solo per la tecnologia.
Supportare le startup della cybersecurity
Fra i commenti, sono state sottolineate le esperienze di altri paesi a cui si potrebbe guardare per ispirarsi come l’esempio israeliano in cui il senso di opportunità e l’ottimismo prevalgono rispetto ai rischi ed ai problemi di sicurezza. Una risposta a questo punto è stato fornito dall’On. Rosa Villecco Calipari, vicepresidente della Commissione Parlamentare per la Sicurezza e le informazioni della Repubblica, che ha sottolineato come sia importante supportare le startup della cybersecurity come elemento peculiare della nostra realtà nazionale, che oggi non riescono quasi a sopravvivere a fronte delle corporate che si propongono sugli stessi ambiti. Una ulteriore eco su questo punto è stata fornita dal Prof. Roberto Baldoni che ha sottolineato come si debba ragionare a sistema come paese e trovare “un modo italiano di fare sicurezza” in particolare lavorando per generare nuove imprese che in Italia costituiscano un ecosistema cyber. Ancora ha precisato che “le grandi multinazionali sono benvenute ma noi dobbiamo costruire con la testa ben dentro l’Italia per stimolare questo ecosistema cyber”. Nel DPCM Gentiloni ci sono gli elementi embrionali da applicare, ma si deve arrivare ad uno stadio attuativo. Il professore suggerisce la costruzione di centri di competenza e centri di ricerca e sviluppo che possano produrre soluzioni. È necessario inoltre redirigere la workforce verso una appropriata formazione e successivamente verso una appropriata collocazione.
Meno tasse alle imprese
Il delicato tema degli sgravi fiscali alle imprese per favorirne l’adozione di tecnologia di sicurezza o per aiutare le giovani startup che propongono soluzioni d’avanguardia, non è stato toccato durante il convegno, ma si ricorda l’iniziativa di iperammortamento del 250% per l’acquisto di beni materiali e immateriali legati alla tecnologia e all’innovazione facente parte delle iniziative finalizzate ad evolvere verso industria 4.0 e proposto nella proposta di legge finanziaria 2017 e bilancio pluriennale del triennio 2017-2019. Preme chiarire che l’iniziativa di acquisto ammortizzato probabilmente può supportare il processo di industria 4.0 ma non è necessariamente garanzia di implementazione verso la sicurezza informatica. Infatti, realizzare un approccio verso la cybersicurezza richiede un orientatamento alla valutazione del rischio da cui scaturiscano misure organizzative, procedurali, formative e poi anche tecnologiche, ma non si pensi che solo gli strumenti hardware e software, per quanto innovativi, possano costituire l’unica risposta ad uno scenario della minaccia sempre più globale, incombente e persistente.