Per quanto grave e preoccupante, l’attacco di cyberspionaggio del 12 novembre scorso a 3mila enti tra pubblici e privati di tutta Italia, passato attraverso un unico operatore Pec-Posta elettronica certificata, è servito almeno come banco di prova ‘ufficiale’ per l’organizzazione, le funzionalità e le capacità operative e reattive degli organismi della cyber defense istituzionale coordinate dal Dis-Dipartimento delle Informazioni per la Sicurezza.
In un orizzonte più ampio, ha costituito anche un primo campo di esercitazione per saggiare la solidità dell’architettura strategica ideata per accogliere le strutture e gli interventi destinati a migliorare la resilienza e le capacità di risposta del sistema di difesa informatica nazionale (figura 1).
Si tratta di un’architettura illustrata in dettaglio nel Libro Bianco sulla Cybersecurity presentato nel febbraio 2018 e aggiornato in ottobre per il Laboratorio Nazionale di Cybersecurity del CINI–Consorzio interuniversitario nazionale per l’informatica; il Libro Bianco è curato da Roberto Baldoni, professore ordinario di Sistemi distribuiti presso la Facoltà di Ingegneria dell’Informazione della Sapienza di Roma e attuale vicedirettore del Dis (dopo avere ricoperto l’incarico di direttore del Laboratorio Nazionale di Cybersecurity), da Rocco De Nicola, dell’IMT School for Advanced Studies di Lucca, e da Paolo Prinetto, Professore ordinario presso la Facoltà di Ingegneria dell’Informazione del Politecnico di Torino e Presidente del CINI.
Le cinque aree d’intervento per consolidare la cyberdifesa
A livello operativo, nel Libro Bianco sulla Cybersecurity si preannuncia l’attivazione di un insieme di progetti in cinque macroaree:
- Infrastrutture e Centri: qui vengono considerati gli strumenti e le azioni necessari per mettere in sicurezza la rete Internet nazionale e i data center della PA. Vengono inoltre presentate alcune tipologie di centri di competenza da attivare sul territorio nazionale per rafforzare le difese del Sistema Paese.
- Azioni abilitanti: comprende le attività necessarie per rendere più sicuro il ciclo di gestione della minaccia: dalla protezione delle applicazioni critiche nazionali alla creazione di una banca nazionale delle minacce, dalla difesa da attacchi diversi (cibernetici, sociali, fisici) all’analisi forense, dalla gestione del rischio a livello sistemico alla protezione attiva.
- Tecnologie abilitanti: l’obiettivo, qui, è di irrobustire alcune delle tecnologie di base da utilizzare per proteggere dati, limitare gli attacchi e i loro effetti e, in generale, per aumentare la resilienza dei sistemi anche attraverso soluzioni di security by design. In particolare, sono considerate architetture hardware che garantiscano livelli più alti di sicurezza, crittografia, blockchain, tecnologie biometriche e quantistiche.
- Tecnologie da proteggere: cioè gli strumenti e le azioni necessarie per proteggere alcune tecnologie chiave, come comunicazioni wireless, servizi cloud, logiche funzionali dei sistemi nonché, nella prospettiva di Impresa 4.0, IoT, sistemi di controllo industriale e robot.
- Azioni orizzontali: gli ambiti progettuali in quest’area mirano a garantire la protezione dei dati personali, a innalzare il livello di conoscenza e competenza attraverso progetti di formazione, sensibilizzazione e certificazione e a migliorare la gestione del rischio a livello aziendale.
La reazione all’attacco del 12 novembre
Subito a ridosso dell’attacco del 12 novembre, i tecnici del Cisr-Comitato interministeriale per la sicurezza della Repubblica hanno ottenuto, se non altro, il via libera dal Governo per attuare nel più breve tempo possibile le misure di carattere giuridico, organizzativo e operativo, con l’obiettivo di minimizzare l’arrivo e le conseguenze di nuove incursioni, che potrebbero essere anche più rilevanti in termini d’impatto e ripercussioni sul piano della sicurezza nazionale.
Tre i piani d’intervento concordati dai componenti del Cisr lo scorso ottobre, giusto un mese prima dell’attacco:
– c’è innanzitutto la definizione di un perimetro di sicurezza nazionale cibernetica per aumentare la resilienza cyber degli OSE-Operatori di Servizi Essenziali per il funzionamento del Sistema Paese;
– in parallelo, la messa a punto di nuove regole per il procurement di beni e servizi ICT da parte della PA.
– E, last but not least, il via libera alla creazione di un Centro di valutazione e certificazione nazionale, presso il Ministero dello Sviluppo Economico, per la certificazione e la qualifica di prodotti, processi e servizi ICT in uso alle organizzazioni all’interno del perimetro di sicurezza cibernetica nazionale.
Italia in pole position negli adempimenti della direttiva Nis
Peraltro, le misure legislative approntate negli ultimi tre anni (decreto Gentiloni in primis) e il nuovo impulso dato al ruolo del Dis, con l’ingresso a fine 2017 di un esperto tecnico come Roberto Baldoni, sembrano aver portato già dei primi risultati, per lo meno in termini di attuazione dei provvedimenti comunitari in materia di cyber defense.
A fine 2018, infatti, l’Italia, insieme a Germania e Regno Unito, risulta tra gli Stati UE che più concretamente hanno dato seguito agli adempimenti della direttiva Nis-Network and Information Security, con cui l’Unione Europea ha definito le misure necessarie per raggiungere il livello di sicurezza più adeguato possibile delle reti e dei sistemi informativi in Europa.
Innanzitutto, i ministeri competenti, Sviluppo economico, Trasporti, Economia e finanze, Salute e Ambiente, hanno già identificato gli OSE-Operatori di Servizi Essenziali (465 realtà, tra pubbliche e private) per ciascuno dei settori previsti dalla Direttiva: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali. In parallelo, il Governo italiano si è attivato anche sulle misure che gli OSE dovranno adottare per la gestione dei rischi e sulle modalità con cui valutarne la compliance.
Dagli OSE allo Csirt e al Punto di contatto unico del DIS
Entro il prossimo 31 gennaio le autorità competenti dovranno comunicare alle organizzazioni identificate il loro inquadramento in qualità di ‘OSE nazionale’. Il processo di identificazione è destinato ad avere una sua periodicità e dev’essere ripetuto quando necessario: e comunque ogni due anni, in modo da poter mappare con la massima attendibilità possibile l’emergere di eventuali nuove realtà OSE e da permettere così che tale identificazione individui correttamente i ‘gangli vitali’ del Paese.
La selezione e l’identificazione degli OSE è un passaggio fondamentale per arrivare a costruire l’ecosistema cyber previsto dalla Direttiva UE: altri due snodi nevralgici sono quello dello Csirt-Computer Security Incident Response Team, istituito presso la Presidenza del Consiglio e attualmente operante come coordinamento tra il Cert-Computer Emergency Response Team Nazionale e il Cert-PA, e nel Punto di contatto unico, individuato all’interno del Dis.
Più precisamente, al Csirt viene affidata piena responsabilità nel monitoraggio, nella gestione e nell’analisi dinamica degli incidenti cibernetici nonché nella diffusione di allerta e di divulgazione delle informazioni.
Il Punto di contatto unico del Dis è chiamato, invece, a operare su due fronti: a livello nazionale, per coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi, e a livello comunitario per garantire la cooperazione transfrontaliera delle autorità competenti italiane con quelle degli altri Stati membri e la partecipazione al Gruppo di cooperazione Nis.
