software gestionale

Itasec 2019: presentate le linee guida sulla cyber security

Dal Dis alla Difesa ecco gli obiettivi del piano nazionale sulla sicurezza dello spazio cibernetico

É stata presentata a Pisa, durante Itasec 2019, la prima bozza della strategia italiana per la sicurezza cibernetica che, con ogni probabilità, verrà pubblicata nel mese di settembre. La relazione del professore Roberto Baldoni, vicedirettore del Dipartimento per le informazioni sulla sicurezza (Dis), a capo del Nucleo di sicurezza cibernetica (Nsc) che vigila sulle infrastrutture critiche e sullo spazio cibernetico italiano, ha indicato e descritto i criteri e gli obiettivi strategici del piano.  

Gli obiettivi del piano

Il principale obiettivo, in linea con la strategia europea, è senza dubbio quello di aumentare sensibilmente le difese dello spazio cibernetico nazionale, attraverso una sempre progressiva riduzione delle vulnerabilità e, in generale, la mitigazione del rischio cyber in un contesto di scenario caratterizzato da una maggiore pervasività degli attacchi, talvolta capziosamente preordinati alla destabilizzazione dei sistemi democratici.  

Scenario confermato anche dal ministro della Difesa, Elisabetta Trenta, intervenuta alla giornata di apertura dell’Itasec 2019, la conferenza italiana sulla sicurezza informatica. Secondo il Ministro, la perdita economica imputabile al cybercrime nel 2020 viene stimata in tremila miliardi di dollari e gli attacchi informatici potrebbero interessare il 74% del volume degli affari mondiale. Per queste ragioni, ha affermato Baldoni, è fondamentale “isolare un perimetro nazionale di sicurezza cibernetica, per tutelare i fornitori e proteggere i servizi la cui interruzione comprometterebbe la sicurezza nazionale”. 

In tale contesto, sarà altrettanto strategico che la direttiva europea Nis sulla cybersicurezza (network information security) recentemente attuata in Italia, incontri il più ampio e generalizzato commitment delle aziende ed operatori per realizzare un sempre più fitto scambio di informazioni nella cornice di una sana e costruttiva collaborazione pubblico-privato. 

Cyber security Act

Il passaggio ulteriormente evolutivo viene dettato dal Cyber security Act che, a regime, introdurrà un sistema di certificazione delle tecnologie informatiche al fine di assicurare il pedissequo rispetto degli standard nazionali ed europei. Specularmente al nuovo potenziato ruolo dell’Enisa (European Network and Information Security Agency) nel contesto del Cyber securuty Act, in ambito nazionale, verrà affidato al centro di valutazione e certificazione nazionale (CVCN)  il controllo delle tecnologie informatiche.

“Il cybercrime subirà un’accelerazione”

Baldoni ha proseguito il suo intervento evidenziando che, in seguito ai recenti gravi attacchi subiti dal nostro paese, si è registrato un incremento dal 30 all’83% di password cambiate negli accounts delle pubbliche amministrazioni evidenziandosi una evidente capacità di resilienza agli attacchi informatici. L’architettura normativa, tra Regolamento GDPR e Direttiva NIS, con il decreto attuativo di quest’ultima dello scorso maggio, a cui si aggiungono le norme sull’antiterrorismo e il golden power contro gli investimenti predatori, sono certamente strumenti efficaci di contrasto alla minaccia cibernetica. Tuttavia, afferma Baldoni, il cybercrime “subirà un’accelerazione che proseguirà nei prossimi anni con l’intelligenza artificiale”.

Il Dis ha individuato le 465 aziende pubbliche e private che possono essere classificate come operatori dei servizi essenziali (ose) e fornitori di servizi digitali.  Si tratta di aziende che forniscono servizi strategici indispensabili per il paese (come quelli afferenti alle cosiddette infrastrutture critiche, reti elettriche, trasporti, ospedali, etc) la cui procurata interruzione potrebbe mettere a repentaglio anche la sicurezza nazionale di cittadini e aziende. Inevitabilmente queste aziende ed operatori, dovranno innalzare le misure di difesa non appena saranno diffuse le linee guida. Obiettivo strategico è dunque fare in modo che il sistema di certificazione delle tecnologie informatiche rappresenti a regime l’organizzazione virtuosa delle aziende. 

Si punta a riuscire a definire, già prima delle elezioni europee, una direttiva sulla certificazione informatica. 

Secondo Baldoni “la direttiva costituirà un elemento importante per il settore industriale del sistema paese, che impatterà su medicale, energia, manifattura”. Per questo,  continua Baldoni, “servirà un’autorità nazionale che proponga schemi di certificazione alle Ue, che li dovrà accettare”. Un ufficio a cui si potrebbe anche affidare l’analisi delle tecnologie sul 5G, su cui una importante partita è in corso tra Stati Uniti e Cina. Ciò verrà esteso anche al sistema degli appalti pubblici, dichiara Baldoni: “la sicurezza informatica sarà un parametro dirimente per vincere un’asta. 

Intanto, nell’ultima assemblea delle Nazioni Unite Russia e Stati Uniti, con due distinte risoluzioni hanno creato due diversi gruppi di lavoro sulle minacce del cyberspazio. E in questo scenario anche l’Europa dovrebbe mettere a punto uno strumento sanzionatorio contro chi attacca gli spazi informatici dei paesi membri. Si tratta, come afferma Baldoni, di condurre “una battaglia di difesa ed economica”. A questo proposito, l’ambasciatore Francesco Maria Talò, coordinatore della partita della cyber security al ministero degli Esteri, ha dichiarato che “oggi le aziende italiane esportano tra 80 e 120 miliardi di euro, ma c’è spazio per crescere e arrivare a 180 miliardi entro il 2020”. 

Il ministro Trenta ha affermato il proprio incondizionato sostegno ad “una soluzione che consenta di includere nel 2%” del prodotto interno lordo che i paesi Nato versano all’alleanza atlantica “anche gli investimenti in cyber security”, non necessariamente destinati ai bilanci militari, ma anche per interventi civili. Anche il Sottosegretario di Stato alla Difesa, Angelo Tofalo, è intervenuto per rappresentare l’istituzione di un tavolo tecnico per aumentare gli investimenti in ambito cyber e,  tra le proposte, anche l’ipotesi di una mini-leva per fare formazione in sicurezza informatica, come ha riferito in audizione alle commissioni Difesa di Camera e Senato il generale Francesco Vestito, a capo del Comando interforze per le operazioni cyber. Secondo Baldoni ai centri di competenza potrebbe essere affidata l’individuazione dei criteri per la certificazione delle tecnologie informatiche, nonché la formazione di esperti in grado creare sistemi di difesa cyber meno vulnerabili e più resilienti.

Davide Maniscalco

Avvocato Cassazionista, con formazione giuridico-aziendale, ha consolidato la propria esperienza professionale prevalentemente nel settore dei carburanti e delle energie. Ha assunto ruoli di alta direzione in Gruppi societari del settore wholesale and retail trading, logistic, transport & management. Ha maturato una significativa esperienza in diritto commerciale e societario, nonché nella contrattualistica di impresa, occupandosi in azienda della gestione del capitale umano e delle relazioni sindacali. E’ Of Counsel dello Studio Viola di Palermo con cui collabora nell’ambito dell’innovativo BID Department per lo sviluppo del commercio internazionale delle imprese, negli uffici di rappresentanza di Milano e New York. Nel corso dell’esperienza professionale ha approfondito il rapporto tra diritto e tecnologie della società dell’informazione ed ha poi rivolto particolare attenzione alle materie della information security, acquisendo competenze trasversali in informatica giuridica, governance digitale, cybersecurity e business resilience. Certified functional continuity professional (CFCP) DRII e crisis manager. Referente territoriale e Docente della Geeks Academy, scuola di alta formazione specialistica e network della formazione in cybersecurity, digital forensics e data analysis. Professionista della Privacy iscritto negli elenchi dei professionisti dell’Associazione Anorc Professioni*, per la quale è Referente Territoriale. Professionista della Digitalizzazione documentale e della Privacy, con master di primo livello conseguito presso l’Università UniTelma Sapienza di Roma. Membro del Team D&L Net dello Studio Legale Lisi**, a cui aderisce come specialista della Privacy. Membro del consiglio direttivo dell’Associazione Confcommercio Professioni Palermo, che aderisce alla Confcommercio di Palermo. Business Coach e Licensed NLP Master Practitioner iscritto nell’elenco tenuto dall’Associazione Assocoaching I° livello Disaster Manager – Assodima ______________________ ____________________________ * ANORC Professioni è un’associazione professionale, indipendente e senza scopo di lucro, iscritta nell'elenco del MISE, che rappresenta i Professionisti della digitalizzazione e i Professionisti della privacy. **Il D&L Net è un Network professionale che in modo multidisciplinare vuole garantire ai Professionisti che aderiscono una crescita sia in termini di competenze, che di attività, nelle materie del diritto dell’informatica e della protezione dei dati personali. Per tali motivi i Professionisti accettano di riconoscersi in questo Network, di mettere a disposizione con spirito collaborativo e proattivo la propria professionalità e di impegnarsi a sviluppare la rete professionale secondo una serie di diritti e doveri condivisi nel Codice che accettano di osservare.

Articoli suggeriti