Σε μια εποχή όπου οι παραβιάσεις υπολογιστών και οι κλοπές δεδομένων γίνονται όλο και πιο συχνές και κινδυνεύουν να ακινητοποιήσουν τις οικονομικές και κοινωνικές λειτουργίες ενός κράτους, η χώρα μας έχει Πρακτορείο για την Εθνική Κυβερνοασφάλεια, με στόχο την προστασία των εθνικών συμφερόντων στον τομέα της κυβερνοασφάλειας και την «ανθεκτικότητα των υπηρεσιών και των βασικών λειτουργιών του κράτους από κυβερνοεπιθέσεις».
Κύρια δραστηριότητα: "Εφαρμογή των απαραίτητων μέτρων για την προστασία από κυβερνοεπιθέσεις, οι οποίες, εκμεταλλευόμενες τυχόν ευπάθειες υλικού και λογισμικού, θα μπορούσαν να προκαλέσουν δυσλειτουργία ή διακοπή βασικών λειτουργιών του Δημοσίου και των υπηρεσιών κοινής ωφέλειας με σοβαρές επιπτώσεις στους πολίτες, τις εταιρείες και τη δημόσια διοίκηση".
Συνεπώς, ο οργανισμός πρέπει:
- ανάπτυξη εθνικών δυνατοτήτων πρόληψης, παρακολούθησης, ανίχνευσης και μετριασμού για την αντιμετώπιση περιστατικών κυβερνοασφάλειας και κυβερνοεπιθέσεων, επίσης μέσω της Ιταλικής Ομάδας Αντιμετώπισης Συμβάντων Ασφάλειας Υπολογιστών (CSIRT) ·
- συμβάλλουν στην ενίσχυση της ασφάλειας των συστημάτων τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ) των θεμάτων που περιλαμβάνονται στην εθνική περίμετρο ασφάλειας στον κυβερνοχώρο, των δημόσιων διοικήσεων, των φορέων εκμετάλλευσης βασικών υπηρεσιών (OSE) και των παρόχων ψηφιακών υπηρεσιών (FSD) ·
- υποστήριξη της ανάπτυξης βιομηχανικών, τεχνολογικών και επιστημονικών δεξιοτήτων, προώθηση έργων καινοτομίας και ανάπτυξης και στόχος ταυτόχρονα να τονώσει την ανάπτυξη ενός σταθερού εθνικού εργατικού δυναμικού στον τομέα της κυβερνοασφάλειας με στόχο την εθνική στρατηγική αυτονομία στον τομέα ·
- αναλαμβάνει τα καθήκοντα του ενιαίου εθνικού συνομιλητή για δημόσιους και ιδιωτικούς φορείς στον τομέα των μέτρων ασφάλειας και των δραστηριοτήτων επιθεώρησης στους τομείς της περιφέρειας της εθνικής κυβερνοασφάλειας, της ασφάλειας δικτύων και συστημάτων πληροφοριών (οδηγία NIS) και ηλεκτρονικής επικοινωνίας ασφάλειας δικτύου ·
- συμμετοχή σε εθνικές και διεθνείς ασκήσεις που αφορούν την προσομοίωση των κυβερνητικών γεγονότων, προκειμένου να αυξηθεί η ανθεκτικότητα της χώρας.
Από αυτή την άποψη, για να αποσαφηνιστούν καλύτερα οι ιδέες σχετικά με το θέμα, ένα διαυγές και πολύ προληπτικό άρθρο για το θέμα, δημοσιεύτηκε στις ants.net, και συντάχθηκε από τον Γενικός Γραμματέας του Pasquale Preziosa, πρώην επικεφαλής τουAeronautica e oggi Πρόεδρος της "Μόνιμο Παρατηρητήριο Ασφάλειας EurispesΕ Υπάρχουν πολλές προτάσεις για θέματα που πρέπει να αναπτυχθούν προκειμένου να προσπαθήσουμε να διασφαλίσουμε τη χώρα μας, ακόμα κι αν έχουμε καθυστερήσει πολύ.
Έτσι συνοψίζει ο Preziosa τη συμβολή του: Μετά την έναρξη λειτουργίας του Εθνικού Οργανισμού Κυβερνοασφάλειας, υπάρχουν τουλάχιστον τρεις πτυχές που πρέπει να εφαρμοστούν για να εξασφαλιστεί η πλήρης ανθεκτικότητα στη χώρα: κανονιστικές, διαρθρωτικές και από την άποψη της ενίσχυσης των ελέγχων.
Ο νέος Εθνικός Οργανισμός Κυβερνοασφάλειας, γράφει ο Πολύτιμος, πήρε την πρώτη του θεσμική εμφάνιση. Ο Οργανισμός δεν θα μπορούσε να είναι μέρος των μυστικών υπηρεσιών, των οποίων η εστίαση είναι κυρίως σε περιφερειακές κρίσεις, απειλές για την εθνική οικονομία, ανατροπή και εξτρεμισμό, την υβριδική απειλή, τζιχαντιστική τρομοκρατία, παράνομη μετανάστευση, οργανωμένο έγκλημα, απειλή στον κυβερνοχώρο και άλλα.
Δυστυχώς, η χώρα μας εξακολουθεί να βρίσκεται στην πέμπτη θέση στην Ευρώπη για τον αριθμό των κυβερνοεπιθέσεων. Όταν τεθεί σε πλήρη λειτουργία, ο Οργανισμός θα ολοκληρώσει την εθνική ανθεκτικότητα που έχει ήδη οριστεί με τη θέσπιση της κυβερνοχώρου της εθνικής ασφάλειας, με διακηρυγμένο στόχο την αύξηση της προώθησης της κουλτούρας της ασφάλειας στον κυβερνοχώρο, μέσω μιας ευρείας κανονιστικής, διοικητικής και πατρογονικής αυτονομίας., οργανωτικά, λογιστικά και οικονομικά.
Η ίδρυση του Οργανισμού δεν θα είναι η τελευταία διαρθρωτική αλλαγή για την κυβερνοπροστασία της χώρας μας, διότι θα χρειαστεί να ενισχυθεί επειγόντως ο τομέας της πρόληψης στον κυβερνοχώρο που δεν είναι εφικτός προς το παρόν, με το κανονιστικό πλαίσιο σε ισχύ.
Ο τομέας του κυβερνοχώρου, μαζί με τους άλλους τομείς που παγιώθηκαν με την πάροδο του χρόνου, αποτελούν τον στρατηγικό ανταγωνισμό που βρίσκεται σε εξέλιξη και αντιπροσωπεύει το απαραίτητο εργαλείο για να είναι σημαντικό στη νέα παγκόσμια τάξη. Χρησιμοποιείται τόσο από κρατικούς όσο και από μη κρατικούς οργανισμούς και είναι ένα διάχυτο, σιωπηλό, σχεδόν άγνωστο εργαλείο στο βαθύ και σκοτεινό μέρος, ικανό να αυξήσει σημαντικά την απόδοση στον τομέα των εφαρμογών καθώς και να μπορεί να το καταστρέψει. Όπως όλοι οι τομείς, χρειάζεται τους οργανωτικούς πυλώνες για να λειτουργήσει, δηλαδή πολιτική, στρατηγική και τακτικές.
Εάν ο στόχος της πολιτικής αντιπροσωπεύεται από τον μετριασμό του κινδύνου για την ασφάλεια στον κυβερνοχώρο μιας οντότητας, η στρατηγική θα έχει ως στόχο την ευθυγράμμιση όλων των διαθέσιμων μέσων (ρυθμιστικό, οικονομικό, εργαλείο και ανθρώπινο κεφάλαιο) για τη μείωση του κινδύνου κυβερνοεπιθέσεων που μπορεί να υποβαθμίσουν αποτελεσματικότητα και αποτελεσματικότητα του ιδρύματος. Η αφετηρία σε κάθε τομέα είναι η γνώση του ποιος ενδιαφέρεται για εμάς και με ποιους σκοπούς και ποια πιθανά μέσα, είναι η γνώση που επιτρέπει την καλύτερη προετοιμασία των μέσων αντιπαραβολής της κυβερνο -απειλής.
Με άλλα λόγια, πρέπει να έχουμε τη λεγόμενη "επίγνωση της κατάστασης (SA)" για το πεδίο ενδιαφέροντός μας στον τομέα της πληροφορικής, να ενημερώνουμε κάθε στιγμή ή να μπορούμε να παράγουμε ανάλυση "Intelligence Cyber", πρέπει να έχουμε τη δυνατότητα να αποτρέψουμε έναν κυβερνοχώρο επίθεση, οποιαδήποτε δολιοφθορά που ξεκίνησε εναντίον των παραγωγικών μας δυνατοτήτων.
Ο μη ιταλικός κρατικός κυβερνοχώρος έχει ήδη δημιουργήσει επιθετικά εργαλεία (κυβερνοβόμβες και παγίδες) για να προκαλέσει ανεπανόρθωτη ζημιά στους αντιπάλους. Ο κυβερνοπόλεμος βρίσκεται ήδη σε εξέλιξη τόσο μεταξύ κρατών όσο και στον ιδιωτικό τομέα. Δεν μπορούμε να το ελέγξουμε μόνο με τη δικαιοσύνη, της οποίας οι έρευνες είναι ήδη πολύ περίπλοκες στον πραγματικό τομέα, αλλά στον κυβερνητικό τομέα καθίστανται αδύνατες λόγω της δυσκολίας «απόδοσης» της επίθεσης που υπέστη.
Μια στοχευμένη κυβερνοεπίθεση μπορεί να οδηγήσει σε επιχειρηματική αποτυχία. Ακόμα κι αν τα κρυπτονομίσματα (ένας τομέας που δεν έχει ρυθμιστεί ακόμα) έχουν στοχοποιηθεί πρόσφατα με ένα μεγάλο χτύπημα αξίας 600 εκατομμυρίων δολαρίων (Poly Network), κανείς δεν μπορεί να θεωρηθεί απρόσβλητος από την πιθανότητα να υποστούν κυβερνοεπιθέσεις. Χωρίς ισχυρή ικανότητα πρόληψης του εγκλήματος στον κυβερνοχώρο και χωρίς δομή για την επαλήθευση των ευπαθειών των δικτύων υπολογιστών, τα επίπεδα κινδύνου για το έθνος θα είναι πολύ υψηλά με σημαντικές επιπτώσεις στα εθνικά επίπεδα ασφάλειας.
Η ευφυΐα στον κυβερνοχώρο δεν είναι αποκλειστική για τον δημόσιο τομέα, με την πτώση του τείχους του Βερολίνου επεκτάθηκε στον ιδιωτικό τομέα και βρίσκεται στη βάση του βιομηχανικού ανταγωνισμού που βρίσκεται σε εξέλιξη. Η πρόληψη των επιθέσεων στον κυβερνοχώρο βασίζεται στην εκμετάλλευση στον κυβερνοχώρο και ενδεχομένως στις κυβερνοεπιθέσεις, ακόμη και προληπτικές, δραστηριότητες που πρέπει να προβλέπονται από τη νομοθεσία του κράτους για τους φορείς που είναι εξουσιοδοτημένοι στον συγκεκριμένο τομέα. Πολλά κράτη έχουν ήδη εγκρίνει τις προαναφερθείσες λειτουργίες για τις δικές τους υπηρεσίες ασφαλείας. Η χώρα μας έχει επείγουσα ανάγκη να καλύψει αυτό το ρυθμιστικό κενό που δεν επιτρέπει στην κυβερνο -νοημοσύνη να ασκεί την προληπτική λειτουργία (της γνώσης) μέσω της εκμετάλλευσης στον κυβερνοχώρο, και αυτό εξηγεί εν μέρει γιατί βρισκόμαστε στην πέμπτη θέση στην Ευρώπη για τον όγκο των κυβερνοεπιθέσεων εναντίον μας χώρα και πρέπει να στραφούμε στις συμμαχικές χώρες για να μάθουμε την προέλευση των επιθέσεων.
Στον κυβερνοχώρο πρέπει να έχουμε κατά νου ότι δεν υπάρχουν ηθικά εμπόδια: όλοι κατασκοπεύουν τους πάντες. Όσον αφορά τους ελέγχους, πολλά έχουν ήδη γίνει από τον Οργανισμό για την ψηφιακή Ιταλία, αλλά δεν είναι ακόμα αρκετά. Τα ελάχιστα μέτρα ασφάλειας των ΤΠΕ, αν και οργανωμένα σε τρία επίπεδα, βασίζονται κυρίως στην αυτοπιστοποίηση των φορέων (ενότητα εφαρμογής) δυστυχώς δεν είναι ιδιαίτερα αποτελεσματικά. Το Agid προβλέπει επίσης το ABSC 4 ή τη συνεχή αξιολόγηση και διόρθωση ευπάθειας επίσης μέσω Stress Tests. Η συχνότερη υιοθέτηση ελέγχων από εξειδικευμένα τρίτα μέρη (White Hat) για συστήματα πληροφορικής μπορεί να δώσει μεγαλύτερη εμπιστοσύνη στις δυνατότητες ανθεκτικότητας του δικτύου.
Μετά την έναρξη λειτουργίας του Οργανισμού, προκειμένου να επιτευχθεί η ελάχιστη επάρκεια και να ευθυγραμμιστούμε με τα άλλα ευρωπαϊκά κράτη, πρέπει να εφαρμοστούν τουλάχιστον τρεις πτυχές: κανονιστικές, διαρθρωτικές, όσον αφορά την ευφυΐα στον κυβερνοχώρο και την ενίσχυση της αποτελεσματικότητας των ελέγχων.