Agenzia per la Cybersicurezza Nazionale. Preziosa: “Occorrono ulteriori aspetti da implementare”

In un era dove le violazioni informatiche e i furti dei dati diventano sempre più frequenti e rischiano di immobilizzare le funzionalità economiche e sociali di uno Stato, il nostro Paese si è dotato di una Agenzia per la Cybersicurezza Nazionale, con lo scopo di tutelare gli interessi nazionali nel campo della cybersicurezza e della “resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche“.

Compito principale: “attuare le misure necessarie alla protezione contro attacchi informatici che, sfruttando eventuali vulnerabilità hardware e software, potrebbero causare il malfunzionamento o l’interruzione di funzioni essenziali dello Stato e dei servizi di pubblica utilità con gravi ripercussioni su cittadini, aziende e pubblica amministrazione”.

L’agenzia dovrà pertanto:

  • sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano;
  • contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
  • supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
  • assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica;
  • partecipare alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese.

Al riguardo, a chiarirci meglio idee sulla materia, un articolo lucido e molto propositivo sull’argomento, pubblicato su formiche.net, e redatto dal Generale Pasquale Preziosa, già capo dell’Aeronautica e oggi Presidente dell’Osservatorio permanente sulla Sicurezza di Eurispes. Tanti i suggerimenti su tematiche da sviluppare per cercare di mettere in sicurezza il nostro Paese, anche se siamo in forte ritardo.

Così Preziosa ha sintetizzato il suo contributo: Dopo il varo dell’Agenzia per la cybersicurezza nazionale, sono almeno tre gli aspetti da implementare per assicurare al Paese piena resilienza: normativi, strutturali e sul fronte del rafforzamento dei controlli.

Generale di Squadra Aerea Pasquale Preziosa, capo di Stato Maggiore dell’Aeronautica fino al 2016.

La nuova Agenzia per la cybersicurezza nazionale, scrive Preziosa, ha preso le prime sembianze istituzionali. L’Agenzia non poteva far parte dei servizi segreti, il cui focus è rivolto prevalentemente alle crisi regionali, alle minacce all’economia nazionale, all’eversione e gli estremismi, alla minaccia ibrida, al terrorismo jihadista, all’immigrazione clandestina, alla criminalità organizzata, alla minaccia cibernetica ed altro.

Purtroppo, il nostro Paese continua ad essere al quinto posto in Europa per il numero degli attacchi informatici. L’Agenzia, quando a regime, completerà la resilienza nazionale già definita con l’istituzione del Perimetro cibernetico di sicurezza nazionale, con l’obiettivo dichiarato di accrescere la promozione della cultura della sicurezza cibernetica, attraverso un’ampia autonomia normativa, amministrativa, patrimoniale, organizzativa, contabile e finanziaria.

L’istituzione dell’Agenzia non sarà l’ultima modifica strutturale per la protezione informatica del nostro Paese, perché sarà necessario potenziare urgentemente il settore della prevenzione cibernetica non attuabile, al momento, con il quadro normativo in vigore.

Il dominio cyber, insieme agli altri domini consolidatisi nel tempo, sottende la competizione strategica in atto e rappresenta lo strumento indispensabile per poter essere rilevanti nel nuovo ordine mondiale. Viene impiegato sia da organismi statuali sia non statuali, ed è uno strumento pervasivo, silenzioso, quasi sconosciuto nella parte deep e dark, in grado di incrementare di molto le prestazioni nel settore di applicazione come pure di poterlo distruggere. Come tutti i domini ha bisogno dei pilastri organizzativi per poter operare ovvero la policy, la strategia e la tattica.

Se l’obiettivo di policy è rappresentato dalla mitigazione del rischio per la Sicurezza cibernetica di un ente, la strategia avrà il compito di allineare tutti i mezzi a disposizione (normativi, finanziari, strumentali e di capitale umano) per abbassare il rischio che attacchi cibernetici possano degradare l’efficienza e l’efficacia dell’ente. Il punto di partenza in ogni dominio è la conoscenza di chi è interessato a noi e con quali scopi e quali possibili mezzi, è la conoscenza che consente la migliore preparazione dei mezzi di contrasto della minaccia anche cibernetica.

In altri termini, dobbiamo avere la cosiddetta “situational awareness (SA)” per il nostro campo di interesse informatico, momento per momento aggiornato, ovvero essere in grado di produrre analisi “Intelligence Cyber”, dobbiamo avere la capacità di prevenire un attacco informatico, un eventuale sabotaggio lanciato contro le nostre capacità produttive.

Il mondo cibernetico statuale non nostrano ha già creato strumenti di offesa (cyber bomb e traps) per arrecare danni irrimediabili agli avversari. La cyber war è già in atto sia tra gli Stati sia nel campo privato. Non la possiamo controllare solo con l’apparato giudiziario, le cui investigazioni sono già molto complesse nel campo reale, ma nel campo cibernetico diventano impossibili per la difficoltà di “attribution” dell’attacco subito.

Un attacco informatico mirato può portare al fallimento delle aziende. Se anche le cripto valute (settore non ancora normato) sono state, di recente, prese di mira con un grosso colpo da 600 milioni di dollari (Poly Network), nessuno può ritenersi immune dalla possibilità di subire attacchi informatici. Senza una solida capacità di prevenzione dei crimini informatici e senza una struttura di verifica delle vulnerabilità delle reti informatiche, i livelli di rischio per la Nazione saranno elevatissimi con impatti importanti sui livelli di Sicurezza nazionale.

L’intelligence cyber non è una esclusiva del campo pubblico, con la caduta del muro di Berlino si è allargata al settore privato ed è alla base della competizione industriale in atto. La prevenzione degli attacchi informatici si basa sul cyber exploitation ed eventualmente il cyber attack, anche preventivo, attività che devono essere previste dalla Legge dello Stato per gli organismi autorizzati nello specifico settore. Già molti Stati hanno provveduto ad autorizzare le menzionate funzioni per le proprie agenzie di sicurezza. Il nostro Paese ha l’esigenza urgente di colmare questo vuoto normativo che non consente all’Intelligence cibernetica di esercitare la funzione preventiva (di conoscenza) attraverso il cyber exploitation, e questo spiega in parte perché siamo al quinto posto in Europa per la mole di attacchi cibernetici contro il nostro Paese e dobbiamo far ricorso ai Paesi alleati per conoscere la provenienza degli attacchi.

Nel mondo cibernetico dobbiamo tener presente che non esistono barriere etiche: tutti spiano tutti. Sul versante dei controlli, molto è stato già fatto dall’Agenzia per l’Italia Digitale ma non è ancora sufficiente. Le misure minime di sicurezza ICT pur organizzate su tre livelli, si basano prevalentemente sull’autocertificazione degli enti (Modulo di implementazione) purtroppo di non elevata efficacia. L’Agid prevede anche l’ABSC 4 ovvero la valutazione e correzione continua della vulnerabilità anche attraverso gli Stress Test. L’adozione con maggiore frequenza di verifiche da parte di terzi qualificati (White Hat) per i sistemi informatici potrà conferire una maggiore confidenza per le capacità di resilienza della rete.

Dopo il varo dell’Agenzia, per raggiungere la minima sufficienza e allinearci agli altri stati europei, sono quindi almeno tre gli aspetti da implementare: normativi, strutturali, in termini di Intelligence cyber e di rafforzamento di efficacia dei controlli.

Agenzia per la Cybersicurezza Nazionale. Preziosa: “Occorrono ulteriori aspetti da implementare”