Come si sta preparando il nostro Paese, a livello istituzionale, per affrontare efficacemente il problema della sicurezza informatica?L’intensificarsi delle minacce informatiche, conseguenza di una sempre più forte contaminazione tra connessioni di rete, processi produttivi, attività di consumo ed erogazione di servizi, ha posto gli stati di fronte a nuove e complesse sfide di policy per la tutela delle infrastrutture e del patrimonio informativo.
Dal punto di vista strategico-normativo il nostro Paese è perfettamente allineato con quanto indicato nella strategia europea per la cybersecurity, la direttiva NIS, e con le successive disposizioni normative quali il nuovo regolamento sulla protezione dei dati, GDPR, e il recepimento della Direttiva NIS sulla messa in sicurezza delle infrastrutture di rete critiche e dei sistemi informativi. Il DPCM Gentiloni del febbraio 2017 fornisce un riferimento nazionale strategico e operativo entro cui operare in modo coordinato tra pubblico e privato, militare e civile e ha stimolato l’aggiornamento del “Piano nazionale per la protezione cibernetica e la sicurezza informatica”. Tra le altre cose, esso prevede investimenti nella ricerca a partire da un Centro Nazionale di Ricerca e Sviluppo in Cybersecurity, che avrà come compito principale la ricerca avanzata, lo sviluppo di architetture, applicazioni e azioni di respiro nazionale. Tale centro dovrà essere in grado di attrarre ricercatori e investitori pubblici e privati (nazionali) per sviluppare ricerche di punta su tematiche di interesse strategico nazionale nel settore.
Quali sono i presupposti necessari affinché un sistema di cybersecurity possa essere considerato efficace?
La sicurezza cibernetica di un qualsiasi sistema non può prescindere dalla sicurezza dell’architettura hardware sottostante. Anche se il concetto astratto di architettura di un sistema cybersecurity complesso si è via via ampliato nel tempo, arrivando ad includere oltre alle soluzioni hardware anche software, algoritmi, infrastrutture di comunicazione, piattaforme, dati, processi, metodologie, contratti, capitale umano, la protezione dell’hardware rimane assolutamente un fattore quantomai strategico. L’hardware infatti costituisce l’ultima linea di difesa: se è corrotto, tutti i meccanismi introdotti per rendere sicuro il software (a qualsiasi livello) possono rivelarsi inutili. Un hardware non opportunamente protetto può costituire l’anello debole della catena, diventando una porta di accesso al sistema, alle sue funzionalità e ai dati in esso memorizzati.
Alla luce di queste considerazioni, cosa si deve fare per migliorare il livello di cybersecurity?
Nel processo di pianificazione delle strategie da mettere in atto contro attacchi cibernetici di varia natura, un paese evoluto deve porsi in maniera seria e consapevole anche il problema della cosiddetta “tecnologia nazionale”. Difatti, proprio in un contesto così rilevante come questo della sicurezza informatica uno Stato sovrano deve necessariamente avere il controllo totale di alcune tecnologie chiave.
Al riguardo, occorre definire una strategia complessiva che permetta di decidere, per ciascuna categoria e sottocategoria di componenti e di tecnologie, quali siano quelle da sviluppare a livello nazionale e quali quelle che possano essere acquistate sul mercato estero. In coerenza con l’obiettivo prioritario di favorire lo sviluppo della filiera della cybersecurity a livello europeo e nazionale, è importante lavorare ad una politica nazionale per favorire lo sviluppo di servizi e prodotti innovativi, tra cui ad esempio le produzioni di processori e dispositivi per applicazioni e settori ritenuti strategici per la sicurezza nazionale, compatibile con il quadro macro-economico del Paese.
Dobbiamo specializzarci sulla progettazione e sulla realizzazione delle cosiddette architetture nazionali tolleranti le vulnerabilità.
Come evidenziato anche nel Libro Bianco del Laboratorio Nazionale di Cybersecurity e del CINI, “Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici”, si tratta di architetture nazionali in grado di garantire livelli di sicurezza predefiniti, anche in sistemi che contengono dispositivi hardware ed eseguono applicativi software con vulnerabilità di diversa natura, note o non ancora rivelate. Le soluzioni proposte, da sviluppare secondo i paradigmi della Security by Design, devono essere in grado di fornire livelli di sicurezza variabili e adattabili alle diverse criticità dei sistemi.
Il controllo del Paese su queste architetture deve necessariamente essere completo: nell’allestimento di una produzione nazionale occorrerà pertanto rendere sicura l’intera filiera della cybersecurity, dalla fase di progettazione al processo di produzione, dal collaudo alla certificazione, dalla installazione alla manutenzione, dagli aggiornamenti alla dismissione.
In ciascuna fase sarà poi necessario garantire adeguati livelli di fiducia nelle persone coinvolte, negli strumenti di ausilio alla progettazione impiegati e nelle eventuali terze parti reperite a qualsiasi titolo sul mercato estero. Un’accorta programmazione e gestione è in grado di garantire la realizzabilità del progetto di architetture nazionali protette a costi non eccessivi e ritenuti compatibili con le disponibilità del Paese.