“La sicurezza informatica è decisiva per la sicurezza nazionale”

Roberto Baldoni, già direttore dell’Agenzia per la Cybersicurezza Nazionale, al Master in Intelligence dell’Università della Calabria, diretto da Mario Caligiuri, ha esordito illustrando le novità normative ed organizzative che hanno interessato il settore in questi anni.

In particolare, con il DPCM 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali”, si è creata una struttura per la gestione della cybersecurity a livello nazionale all’interno del dipartimento informazioni per la sicurezza della Presidenza del Consiglio dei Ministri.

Fino al 2021 si è consolidata la struttura e costruita la normative di base che ha poi creato il campo di azione per la nascita di una nuova agenzia. La legge sul perimetro della sicurezza nazionale cibernetica è composta da diversi atti normativi che garantiscono un impianto solido alla nostra struttura di difesa cyber.

Dalla prevenzione alla mitigazione di attacchi cyber ai sistemi informatici su cui sono in esecuzione funzioni che se manipolate possono arrecare un danno alla sicurezza nazionale. Il già Direttore ha sottolineato come il nostro modello sia studiato anche negli USA e come l’executive order emanato dal Presidente Biden, a seguito dell’attacco a Colonial Pipeline, abbia molte similitudini con la legge perimetro nazionale. Il decreto-legge 82/2021 ha creato l’Agenzia per la Cybersicurezza Nazionale, che si pone tre obiettivi principali: rafforzare il sistema dal rischio degli attacchi cibernetici; allertare le vittime dell’incidente; aiutare le vittime nel ripristino dei sistemi.

Traendo spunto dai recenti fatti di cronaca, Baldoni ha spiegato l’applicazione pratica dei principi definiti nell’impianto normativo come, ad esempio, le indicazioni sulla prevenzione. Ha previsato che, dall’inizio del conflitto ucraino, lo csirt Italia ha distribuito circa 24.000 aggiornamenti alle infrastrutture critiche nazionali oltre a 150.000 indicatori di compromissione legati a attacchi cyber avvenuti nel quadrante ucraino per controllare che le infezioni non stessero propagandosi anche da noi. Gli attacchi però sono cominciati già dal 14 gennaio 2022. Il già Direttore ha spiegato come sia stata svolta un’attività di prevenzione verso le aziende italiane che operano in Ucraina, di concerto con il MAECI e come aiutare le vittime a ripristinare il sistema sia fondamentale. Il primo passo è quello di capire, insieme alle forze di polizia, la natura e l’origine dell’attacco, per contrastarne gli effetti.

Il direttore uscente dell’Agenzia ha proseguito indicando i 4 elementi sui quali impostare la riflessione:

1. Creare un sistema nazionale di resilienza e contrasto efficace che includa anche il cosiddetto “hackback” o difesa attiva tra le possibili opzioni per assicurare la resilienza. Su questo punto la sfida sarà nel livello di coordinamento che si riuscirà a raggiungere tra le forze che devono assicurare la resilienza (ACN) e quelle che dovranno assicurare una risposta proporzionale e accurata verso i server dai quali arriva la minaccia (intelligence e difesa). 

2. Rischio tecnologico legato a un fornitore. Tale rischio si concretizza con l’Ingerenza che un paese può avere all’interno di un’attività nazionale che fornisce servizi e prodotti a un’altra nazione. Il caso emblematico è quello del 5G. Per prevenire tali minacce va svolta un’attenta gestione del rischio, con l’analisi dei contesti geopolitici. L’obiettivo deve essere quello di diversificare le fonti, come sta succedendo nel campo energetico, per non essere succubi di fornitori che fanno capo a una sola nazione.

3. Sviluppo di una tecnologia nazionale ed europea. Questo obiettivo andrà perseguito in accordo con i nostri valori e le nostre leggi che sono anche più affidabili rispetto ad altre nazioni. In questo frangente siamo indietro e bisognerà recuperare il terreno perduto avendo cura di non perdere la capacità di analisi di determinate tecnologie, sebbene il nostro paese non sia leader nella loro produzione. La gestione del rischio tecnologico e lo sviluppo della tecnologia europea sono aspetti fondamentali per la sovranità digitale.

4. Sviluppare una war force cyber. Nel nostro paese non si formano abbastanza esperti. Inoltre, quei pochi vengono contesi con agguerrite aziende privato. Per raggiungere un livello di autonomia strategica, oltre alle tecnologie, è necessario disporre di adeguate risorse umane. Servono infatti non solo informatici, statistici, matematici, ma anche esperti legali, di relazioni internazionali, di cooperazione e capacity building. Bisognerà orientare la formazione verso carriere utili alla società e remunerative per i singoli.

Dopo la chiara enunciazione di questi elementi di base, Baldoni ha affrontato il tema della consapevolezza cibernetica. Ha rilevato che da uno studio del Censis emerge che il 40% dei manager pubblici e privati non ha alcuna educazione alla cybersecurity, spiegando come sia fondamentale aumentare la cultura nazionale. Ha spiegato come, in questo campo specifico, il ritardo accumulato rispetto ad altri paesi possa tornare utile, perché potrebbe consentire di imparare dagli errori di chi ci ha preceduto, sviluppando una strategia vincente più velocemente. Uno di questi ammaestramenti è sicuramente la necessità di un grande coordinamento, perché l’ambiente cyber è pervasivo rispetto agli altri contesti. La commistione tra pubblico e privato è all’ordine del giorno anche per la struttura stessa di internet, gestita da privati, ma che consente azioni pubbliche. Da ciò discende la necessità di un marcato coordinamento all’esterno, quindi principalmente con gli alleati della NATO.

Baldoni ha descritto la struttura dell’ACN che si basa su quattro pilastri: la resilienza, il contrasto al crimine cibernetico, la difesa militare cibernetica e l’intelligence. Questi quattro aspetti rendono plastica la necessità del coordinamento, non solo nell’ambito della difesa, ma anche in quello dell’intelligence.

L’ACN, infatti, non è parte del Sistema delle Informazioni per la Sicurezza della Repubblica, ma occupandosi di sicurezza cibernetica ed essendo inquadrata all’interno della Presidenza del Consiglio dei Ministri, riesce a svolgere un’efficace attività di coordinamento con i servizi d’intelligence.

Baldoni ha continuato sottolineando come l’Agenzia abbia ancora un numero di dipendenti molto limitato perché operativa solo dal settembre 2021. Tale contingenza, però,non sminuisce l’importanza dei suoi compiti brevemente enunciati: “L’ACN deve: assolvere il ruolo di Autorità Nazionale per l’applicazione della direttiva europea per la sicurezza delle reti e dei sistemi informatici (direttiva NIS); gestire il nucleo della cybersicurezza che risponde a quegli incidenti che hanno impatto sulla sicurezza nazionale; è il Centro Nazionale di Coordinamento (NCC) per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca; è Autorità Nazionale di cybersecurity, esprimendo pareri su qualsiasi norma Parlamentare sul cyber; curare il perimetro di sicurezza nazionale cibernetico; diventare l’autorità nazionale per la certificazione di cybersecurity, che recepisce il Cyber security Act europeo e, infine, diventare l’autorità competente per la sicurezza dei sistemi di comunicazione”.

Baldoni ha concluso il suo intervento delineando le funzioni principali dell’ACN, quali lo sviluppo tecnologico e delle competenze, la sicurezza nazionale nello spazio cyber e la funzione di soggetto attuatore dell’obiettivo del PNRR relativo alla cybersicurezza nazionale che prevede investimenti per 623 milioni di euro evidenziando come i dipendenti dell’Agenzia siano relativamente giovani, con un’età media di 38 anni, a fronte dei 50 del resto della P.A. Questo aspetto, insieme ai crescenti investimenti rappresentano punti di forza dell’Agenzia che, sebbene nata da poco, ha grandi sfide di fronte a sé.

Dott. Francesco MERCURI