En una era en la que las brechas informáticas y el robo de datos son cada vez más frecuentes y corren el riesgo de inmovilizar las funciones económicas y sociales de un estado, nuestro país se ha dotado de un agencia para la Ciberseguridad Nacional, con el objetivo de proteger los intereses nacionales en el campo de la ciberseguridad y la "resiliencia de los servicios y funciones esenciales del Estado frente a las ciberamenazas".
Tarea principal: "Implementar las medidas necesarias para protegerse frente a los ciberataques que, al explotar las vulnerabilidades de hardware y software, pudieran ocasionar el mal funcionamiento o la interrupción de funciones esenciales del Estado y de los servicios públicos con graves repercusiones en la ciudadanía, las empresas y la administración pública".
Por tanto, la agencia debe:
- desarrollar capacidades nacionales de prevención, monitoreo, detección y mitigación para hacer frente a los incidentes de seguridad cibernética y los ataques cibernéticos, también a través del Equipo Italiano de Respuesta a Incidentes de Seguridad Informática (CSIRT);
- contribuir a la mejora de la seguridad de los sistemas de tecnologías de la información y las comunicaciones (TIC) de sujetos incluidos en el perímetro nacional de ciberseguridad, administraciones públicas, operadores de servicios esenciales (OSE) y proveedores de servicios digitales (FSD);
- apoyar el desarrollo de competencias industriales, tecnológicas y científicas, impulsando proyectos de innovación y desarrollo con el objetivo de estimular el crecimiento de una fuerza laboral nacional sólida en el campo de la ciberseguridad con miras a la autonomía estratégica nacional en el sector;
- asumir las funciones de interlocutor nacional único para las entidades públicas y privadas en el campo de las medidas de seguridad y las actividades de inspección en las áreas del perímetro de seguridad cibernética nacional, seguridad de redes y sistemas de información (directiva NIS) y seguridad de redes de comunicaciones electrónicas;
- participar en ejercicios nacionales e internacionales de simulación de eventos cibernéticos con el fin de incrementar la resiliencia del país.
En este sentido, para aclarar mejor las ideas sobre el tema, un artículo lúcido y muy proactivo sobre el tema, publicado en ants.net, y redactado por General de Pasquale Preziosa, ex jefe deaeronáutica y hoy Presidente dell 'Observatorio Permanente de Seguridad de Eurispes. Hay muchas sugerencias sobre temas a desarrollar para tratar de asegurar nuestro país, incluso si llegamos muy tarde.
Así resumió Preziosa su aportación: Tras el lanzamiento de la Agencia Nacional de Ciberseguridad, hay al menos tres aspectos a implementar para asegurar la plena resiliencia del país: regulatorio, estructural y en términos de fortalecimiento de controles.
La nueva Agencia Nacional de Ciberseguridad, escribe Precious, tuvo su primera aparición institucional. La Agencia no podría ser parte de los servicios secretos, cuyo foco está principalmente en crisis regionales, amenazas a la economía nacional, subversión y extremismo, amenaza híbrida, terrorismo yihadista, inmigración ilegal, crimen organizado, ciberamenaza y más.
Lamentablemente, nuestro país sigue ocupando el quinto lugar de Europa en número de ciberataques. Cuando esté en pleno funcionamiento, la Agencia completará la resiliencia nacional ya definida con el establecimiento del perímetro cibernético de seguridad nacional, con el objetivo declarado de incrementar la promoción de la cultura de la ciberseguridad, a través de una amplia autonomía regulatoria, administrativa y patrimonial. organizacional, contable y financiero.
La constitución de la Agencia no será el último cambio estructural para la ciberprotección de nuestro país, pues será necesario fortalecer de manera urgente el sector de la ciberprevención que no es factible, de momento, con el marco regulatorio vigente.
El ciberdominio, junto con los demás dominios consolidados en el tiempo, subyace a la competencia estratégica en curso y representa la herramienta indispensable para ser relevante en el nuevo orden mundial. Es utilizada tanto por organizaciones estatales como no estatales, y es una herramienta omnipresente, silenciosa, casi desconocida en la parte profunda y oscura, capaz de aumentar enormemente el rendimiento en el sector de las aplicaciones y de destruirlo. Como todos los dominios, necesita los pilares organizacionales para operar, es decir, política, estrategia y táctica.
Si el objetivo de la política está representado por la mitigación del riesgo de ciberseguridad de una institución, la estrategia tendrá la tarea de alinear todos los medios disponibles (capital regulatorio, financiero, instrumental y humano) para disminuir el riesgo de que los ciberataques puedan degradar la eficiencia y eficacia de la institución. El punto de partida en todos los dominios es el conocimiento de quién está interesado en nosotros y con qué fines y qué medios posibles, es el conocimiento que permite la mejor preparación de los medios de contrastar la ciberamenaza.
En otras palabras, debemos tener el llamado "conocimiento situacional (SA)" para nuestro campo de interés de TI, actualizado momento a momento, o ser capaces de producir análisis de "Inteligencia Cibernética", debemos tener la capacidad de prevenir un ciber ataque, cualquier sabotaje lanzado contra nuestras capacidades de producción.
El mundo cibernético estatal no italiano ya ha creado herramientas ofensivas (bombas y trampas cibernéticas) para causar daños irreparables a los oponentes. La guerra cibernética ya está en marcha tanto entre estados como en el ámbito privado. No podemos controlarlo solo con el aparato judicial, cuyas investigaciones ya son muy complejas en el campo real, pero en el campo cibernético se vuelven imposibles por la dificultad de “atribución” del atentado sufrido.
Un ciberataque dirigido puede provocar el fracaso empresarial. Si incluso las criptomonedas (un sector aún no regulado) han sido recientemente blanco de un gran golpe por valor de 600 millones de dólares (Poly Network), nadie puede considerarse inmune a la posibilidad de sufrir ciberataques. Sin una capacidad sólida para prevenir el ciberdelito y sin una estructura para verificar las vulnerabilidades de las redes informáticas, los niveles de riesgo para la Nación serán muy altos con impactos importantes en los niveles de seguridad nacional.
La ciberinteligencia no es exclusiva del dominio público, con la caída del muro de Berlín se ha expandido al sector privado y es la base de la competencia industrial en curso. La prevención de los ciberataques se basa en la ciber explotación y posiblemente el ciberataque, incluso preventivo, actividades que deben ser previstas por la ley del Estado para los organismos autorizados en el sector específico. Muchos estados ya han autorizado las funciones antes mencionadas para sus propias agencias de seguridad. Nuestro país tiene una necesidad urgente de llenar este vacío regulatorio que no permite que la ciberinteligencia ejerza la función preventiva (del conocimiento) a través de la ciberexplotación, y esto explica en parte por qué estamos en el quinto lugar de Europa por la cantidad de ciberataques contra nuestros país y debemos acudir a países aliados para conocer el origen de los ataques.
En el mundo cibernético hay que tener en cuenta que no existen barreras éticas: todo el mundo espía a todo el mundo. En términos de controles, la Agencia para la Italia Digital ya ha hecho mucho, pero todavía no es suficiente. Las medidas mínimas de seguridad de las TIC, aunque organizadas en tres niveles, se basan principalmente en la autocertificación de los organismos (módulo de implementación), lamentablemente no muy eficaz. El Agid también prevé ABSC 4 o la evaluación continua y la corrección de la vulnerabilidad también a través de Stress Tests. La adopción más frecuente de controles por parte de terceros calificados (White Hat) para los sistemas de TI puede dar mayor confianza a las capacidades de resiliencia de la red.
Tras el lanzamiento de la Agencia, para conseguir la suficiencia mínima y alinearnos con el resto de estados europeos, quedan por tanto al menos tres aspectos a implantar: regulatorio, estructural, en materia de ciberinteligencia y reforzamiento de la eficacia de los controles.