Cyber Security e infrastrutture critiche: il Paese è pronto
L’emergenza che stiamo vivendo ha fatto emergere una serie di criticità in termini di cyber security che, da un punto di vista della PA centrale, crediamo siano comunque state gestite al meglio. Può darci qualche dettaglio in merito?
L’emergenza sanitaria ha avuto degli effetti inevitabili anche sul piano della sicurezza cibernetica. Questo è accaduto per due ragioni: innanzitutto, per l’alto grado di informatizzazione che ormai caratterizza l’erogazione dei servizi essenziali. In secondo luogo, per l’aumento dei tentativi di attacco informatico registrati ai danni dei cittadini, delle imprese e delle istituzioni.
Ma soprattutto quelli rivolti alle strutture ospedaliere e delle istituzioni pubbliche. In particolar modo, però, penso a quelli che hanno messo a dura prova le strutture deputate alla gestione dell’emergenza sanitaria che stiamo purtroppo vivendo. Tuttavia, di fronte a queste criticità abbiamo risposto in modo adeguato, lavorando sia sul piano della prevenzione che con azioni di reale contrasto alle minacce cibernetiche. Ciò è stato possibile grazie al costante e quotidiano raccordo tra la Polizia Postale e i responsabili della sicurezza informatica delle infrastrutture strategiche del nostro Paese, che hanno consentito la condivisione di preziose informazioni di sicurezza utili ad individuare e mitigare le minacce informatiche in atto e potenziali.
Le infrastrutture critiche, e in particolare quelle energetiche e legate ai servizi di pubblica utilità, sembrano ben governate al momento da parte di chi ne ha la gestione informatica. Avete avuto in questi giorni complessi qualche segnalazione diversa in merito?
Il buon governo delle infrastrutture critiche, specie di quelle operanti nel settore energetico, non è un dato casuale, ma il frutto della sensibilità nei confronti di questi temi da parte dei security manager delle aziende pubbliche e private, oltre che del nostro modello organizzativo di protezione. Del resto, la sicurezza cibernetica è una responsabilità condivisa, dove tutti siamo costantemente in prima linea, e il Ministero dell’Interno, attraverso la Polizia Postale e delle Comunicazioni, lavora quotidianamente con le infrastrutture critiche del Paese, creando così un circuito di protezione e di condivisione delle informazioni attivo tutto l’anno, 7 giorni su 7. Tutto questo consente di tenere la gran parte delle minacce informatiche sotto controllo e anche molto spesso di prevenirle. Si tratta di un compito per niente agevole, considerato l’aumento esponenziale degli attacchi cibernetici, in larghissima parte riconducibili ad una matrice criminale. Basti pensare che, nell’ultimo anno, la Polizia Postale ha diramato oltre 82.000 alert e rilevato 1181 attacchi effettivi, con l’apertura di 155 indagini, individuando ben 108 cyber criminali denunciati all’Autorità Giudiziaria.
Ritiene che la drammaticità della pandemia possa avere come contraltare una reazione in termini di velocizzazione dei processi d’innovazione? E che quindi la naturale pervasività della digitalizzazione possa essere accompagnata da altrettanta velocità nelle misure di sicurezza?
Certamente l’epidemia in atto incrementerà l’utilizzo della tecnologia e il ricorso a strumenti informatici avanzati e innovativi. Tuttavia, sarà fondamentale che, ad un aumento nell’impiego delle risorse tecnologiche, ci sia anche un parallelo innalzamento delle misure atte a garantire la sicurezza nell’utilizzo di reti e strumenti informatici. Serve uno sforzo in termini di adeguamento dei processi di sicurezza, che deve riguardare ancora una volta tutti gli attori coinvolti: dai produttori dei dispositivi ai gestori delle reti, dai provider di servizi informatici e telematici ai gestori delle piattaforme di comunicazione, dalle Autorità pubbliche al mondo delle imprese, fino ai cittadini che dovranno essere capaci di un utilizzo informato e consapevole delle nuove tecnologie.
La digitalizzazione spinta ha creato grandi opportunità ma pure una fragilità di sistema che apre una seria discussione sul tema della governance. Le normative in vigore appaiono sufficienti?
La digitalizzazione ha avuto – e sta avendo ancora oggi – un impatto molto forte nella nostra società. In questo scenario, il tema della governance è decisivo. Nel corso degli anni sono stati fatti numerosi passi avanti, sia a livello internazionale con l’approvazione della Direttiva NIS, sia a livello nazionale con l’attuazione, da ultimo, della legge sul Perimetro di Sicurezza Nazionale Cibernetica. Infatti, sempre sotto il profilo normativo, in questa legislatura abbiamo approvato la prima legge davvero focalizzata sul tema della sicurezza informatica, che ha come obiettivo quello di dotare l’Italia di sistemi informatici che siano finalmente al passo con i tempi e che soprattutto che possano mettere in grado il personale di gestire le informazioni in sicurezza. Dobbiamo avere molto chiaro che in ballo c’è non solo la giustissima sicurezza delle informazioni pubbliche e private, ma di riflesso la vera e propria sicurezza nazionale del nostro Paese.
Anche l’attuale emergenza del coronavirus sta dimostrando come ampie parti del Paese non siano in grado di utilizzare l’informatica avanzata per supplire ai distanziamenti personali; le esigenze di sicurezza del sistema, peraltro indispensabili, non rischiano di diventare fattori di ritardo in assenza di un grande piano nazionale, che sappia superare le disuguaglianze tecniche e culturali delle Regioni italiane?
In Italia anche in questo settore persistono delle disuguaglianze territoriali evidenti. Per questo, nella scorsa legislatura, il governo Gentiloni ha finanziato la realizzazione del Piano Banda Ultra Larga, che rappresenta un grande investimento e che ha tra i suoi obiettivi quello di ridurre il gap digitale tra le regioni italiane.
Venendo alle infrastrutture critiche, come quelle dei servizi di pubblica utilità, nel maggio 2020 dovrebbe iniziare ad operare il CSIRT italiano (Computer Security Incident Response Team) costituito presso il DIS (Dipartimento Informazioni per la Sicurezza), focal point unico per quanto concerne l’armonizzazione richiesta dalla Direttiva NIS (Network and Information Security) con gli altri paesi europei. Il DIS presiede il Nucleo Sicurezza Cibernetica (NSC), board intergovernativo, che dovrebbe portare a ulteriori avanzamenti dell’ecosistema cyber nazionale.
Con la creazione di questa struttura, che risponde alla Direttiva per il rafforzamento delle difese cibernetiche dei paesi dell’Unione europea, l’Italia compie un netto salto di qualità per proteggere le nostre infrastrutture più sensibili e l’intero ecosistema nazionale dagli attacchi cibernetici.
La Direttiva NIS e l’introduzione del Perimetro di Sicurezza Nazionale Cibernetica ridisegnano – sia in chiave europea, che nazionale – i pilastri del sistema di sicurezza cyber, confermando la bontà di un approccio olistico e multilivello, che vede una costante interlocuzione tra i diversi attori pubblici e gli attori dell’industria e dell’imprenditoria nazionale. In questo quadro, il Nucleo per la Sicurezza Cibernetica (NSC), composto dai rappresentanti della Polizia Postale, del Comparto intelligence e della Difesa, costituisce un presidio fondamentale per la nostra sicurezza nazionale.
Con la diffusione dell’IT aumentano i rischi, e sempre più numerosi sono i device che possono essere attaccati, come naturali sviluppi del mercato. Serve quindi protezione evoluta, ma come può un organo istituzionale di impronta militare stare al passo con trasformazioni tanto veloci?
Molto spesso ci troviamo di fronte ad attacchi informatici molto sofisticati che, come ha sottolineato nella domanda, spesso evolvono in maniera molto rapida. Gli ostacoli all’attività investigativa, quindi, non sono certamente pochi. Tuttavia, l’attività delle nostre Forze di Polizia va avanti ogni giorno, ottenendo risultati molto più che positivi. E di questo bisogna ringraziare la Polizia Postale e tutti gli operatori che quotidianamente lavorano per contrastare le minacce informatiche.
Considerate le peculiarità del settore energetico, caratterizzato da una pluralità di operatori di grandissime, grandi, medie e piccolissime dimensioni, ma tutte telematicamente connesse tra loro, l’attuale architettura istituzionale appare adeguata?
La digitalizzazione del settore energetico rappresenta un’innovazione molto rilevante, che può offrire nuove opportunità di sviluppo. Si tratta, però, di un settore molto delicato e che richiede standard di sicurezza avanzati. Solo così si possono ridurre al minimo i rischi di attacchi sia verso gli operatori che soprattutto vero le piccole e medie imprese di settore, sicuramente le più esposte a questa minaccia. Per questo motivo, la Polizia Postale ha scelto di allargare anche a loro la rete di protezione del CNAIPIC, fino ad ora approntata solo per le grandi infrastrutture critiche. In questo modo, i ‘Nuclei operativi sicurezza cibernetica’ presenti presso ogni Ufficio di polizia postale dislocato nel territorio potranno costruire un contatto diretto ed un rapporto quotidiano con tutti gli attori critici, dalle istituzioni alle imprese vicine, in modo da aumentare il livello di sicurezza.
Negli scorsi anni – con particolare riferimento alle reti di elettricità e gas e impianti di produzione – si è ritenuto di segretare le prescrizioni obbligatorie e le implementazioni tecnologiche poste in capo agli operatori, tra le quali quelle di comunicare gli “incidenti”. Molti nel settore sostengono che la trasparenza e l’ampia diffusione delle informazioni siano invece alla base della sicurezza cibernetica, perché migliorano la capacità di risposta e prevenzione. Qual è la sua opinione in merito?
Alcuni settori delicati, come quelli relativi alle reti di elettricità e gas, necessitano di garanzie di sicurezza particolari, che sono assicurati da processi istituzionali dotati del necessario grado di riservatezza. Ciò non toglie che la condivisione del patrimonio informativo nel campo della sicurezza cibernetica sia un valore aggiunto per le attività di prevenzione. Questa impostazione viene confermata dalle recenti normative in attuazione della Direttiva NIS e del Perimetro di Sicurezza Nazionale Cibernetica, che definiscono procedure per l’emersione di eventi cibernetici critici per la nostra sicurezza nazionale e pubblica, oltre che utili a garantire la corretta diffusione delle informazioni e al contempo il giusto livello di riservatezza.
Cyber Security e intelligence viaggiano in modo integrato e trasversale a più ambiti: telecomunicazioni (pensiamo alle prospettive connesse alla tecnologia 5G), trasporti, logistica, (di grande attualità il tema dei porti), automotive, manifatturiero, farmaceutico e biomedicale. Non pensa che andrebbe strutturato un piano formativo di ampio spettro per adeguare i livelli di competenza a un grado di complessità che si sta alzando? In qualche modo il piano Industria 4.0 lo prevede, ma l’impressione è che il cambio di paradigma stia avvenendo in un lasso di tempo troppo lungo. Cosa ne pensa?
Lo spazio cibernetico rappresenta un nuovo dominio di importanza strategica per lo sviluppo economico, sociale e culturale. In questa prospettiva, l’avvento della tecnologia 5G costituirà un fattore qualificante per lo sviluppo della quasi totalità dei servizi digitali. È sotto gli occhi di tutti, infatti, che le reti 5G saranno l’infrastruttura portante del prossimo futuro, non solo per i nuovi servizi di comunicazione elettronica, ma anche per una vasta gamma di servizi essenziali come l’energia, i trasporti, i servizi bancari, quelli sanitari e i sistemi di controllo industriale. Stiamo parlando di una rivoluzione rispetto alla quale l’Italia sta cercando di non farsi trovare impreparata. Da questo punto di vista, sono stati ingenti gli investimenti messi in campo per la protezione delle nostre infrastrutture più sensibili. È sempre possibile fare di più e meglio, ma – sia chiaro – si tratta di un lavoro che il nostro Paese ha già iniziato a svolgere.
Un tema caro a Energia Media è quello delle Smart City e delle Smart Land. Crediamo ci si stia avvicinando a un cambio culturale che va verso una maggior comprensione da parte di PA e Utility della necessità di lavorare in rete, secondo condivisione di vision e capacità di co-progettazione dei propri territori, per attrarre risorse economiche e competenze. Se così è, serve garantire agli attori governance basate sulla traduzione qualitativa di dati in informazioni e la massima sicurezza anche cibernetica. Non crede che serva una strategia complessiva capace di unire e incentivare sviluppo con sicurezza?
Le Smart City, già prima dell’emergenza Covid19, rappresentavano il nostro prossimo futuro, dove l’innovazione tecnologica, l’utilizzo di infrastrutture informatiche e la condivisione di dati tra le persone consente di sviluppare un modello di società diversa, più avanzata e sostenibile. È chiaro che alla luce dell’emergenza sanitaria che ha colpito il mondo, tutto questo dovrà essere ripensato in una chiave diversa, perché diversi saranno i nostri comportamenti, le nostre esigenze e abitudini.
In conclusione, quanto il tema della cyber security, riguarda aspetti tecnologici e quanto invece di cultura, comportamenti, abitudini?
Sono aspetti che devono viaggiare contestualmente. La strada migliore è quella di unificarli: da una parte l’aspetto culturale, attraverso l’educazione e l’apprendimento degli strumenti tecnologici, e dall’altra il tema della protezione dei dati e della sicurezza digitale. In questo senso, il Governo e la maggioranza ritengono una priorità l’azione di sensibilizzazione di cittadini e imprese circa i rischi connessi all’utilizzo dei dispositivi in rete. Una società digitale è una società nella quale nessuno deve essere lasciato indietro, specie quando la tecnologia diviene o diverrà sempre più centrale nell’erogazione dei servizi pubblici essenziali, nei rapporti commerciali e delle relazioni umane. Dobbiamo però riconoscere che la sfida è enorme. Stiamo parlando di una rivoluzione vera e propria, il cui impatto cambierà la vita e i comportamenti delle future generazioni.
Da energiamedia.it di Emanuele Martinelli