Tratto dallo speciale:

Cyber Security italiana .. eppur si muove!

di Alessia Valentini

Pubblicato 4 Aprile 2017
Aggiornato 12 Febbraio 2018 20:46

logo PMI+ logo PMI+

Nonostante le critiche periodiche al sistema del Bel Paese, la cyber security italiana avanza ed evolve su più livelli: dal nuovo decreto sulle strutture decisionali e operative al neonato comitato nazionale per la ricerca in cybersecurity voluto per coordinare le forze a livello nazionale e cooperare in ambito internazionale per la formazione.

L’Accademia, in particolare La Sapienza di Roma, è da qualche anno parte attiva e propulsiva della sicurezza informatica italiana. Fra le iniziative formative, quest’anno si aggiunge anche l’apertura del nuovo master of science in cybersecurity e l’inaugurazione del Cyberchallenge.it per intercettare l’interesse dei giovani.

Rispetto alla roadmap, il Cybersecurity Framework 2016 rappresenta una pietra miliare. Quest’anno il focus del convegno annuale del CIS e del CINI è stato centrato sui 15 controlli essenziali per le PMI (estratti dai 99 del framework nazionale) per stimolare la riflessione sul tema dello sviluppo competitivo sui mercati internazionali e verso industria 4.0, mediante un processo di digitalizzazione sicura fin dal design e con capacità di resilienza ad eventuali attacchi e minacce di security.

Per raccontare le iniziative accademiche e quelle rivolte alle PMI, abbiamo intervistato il professor Roberto Baldoni, Direttore del centro Cyber Intelligence e Information Security dell’Università di Roma “La Sapienza” e del Laboratorio Nazionale di Cybersecurity del CINI.

In tema di aziende, spiega il Prof. Baldoni, è importante il ruolo di Confindustria per sollecitare le filiere verso una corretta e seria impostazione a questa problematica. Infatti, l’attenzione conferita da Confindustria al problema della sicurezza cyber, enfatizzata anche dalla recente designazione di un delegato nazionale per la cybersecurity (l’ing. Alberto Tripi, Presidente di AlmavivA S.p.A e presente nel sistema Confindustria con incarichi rappresentativi dal 1977 n.d.r.) è un grande passo in avanti, perché abilita la sinergia con il settore della ricerca  che opera a livello nazionale nel campo cyber grazie al comitato nazionale per la ricerca in cybersecurity recentemente costituito.

Quindi la ricerca non solo teorica ma applicata e coniugata alla filiera industriale è finalmente organizzata per cooperare insieme avendo come driver di sviluppo il programma nazionale di  industria 4.0.

L’obiettivo finale è quello di rendere sempre più efficaci le implementazioni di programmi nazionali in tema cyber rendendo progressivamente “piccola a piacere” la distanza fra l’ecosisistema industriale e quello della ricerca.

In questa sinergia si colloca anche il comparto istituzionale con un organo di comando per la cybersecurity con poteri più forti e più operativi. Infatti, il nuovo decreto Cyber annunciato il 17 febbraio scorso apporta cambiamenti in favore della maggiore operatività e dello snellimento della catena di comando per facilitare l’interazione con gli altri stakeholder nazionali.

L’interlacciamento più stretto fra industria e ricerca e il nuovo assetto di governo sulla cybersecurity rappresentano una terna operativa per creare un progetto a impatto reale sulla economia del paese. Infatti, la terna sinergica di attori istituzionali pubblici, accademici e privati permette di mettere a fattor comune a livello nazionale qualsiasi progetto o esperienza perché basati sullo stesso modello di analisi preventiva del rischio grazie ai 15 controlli essenziali per le PMI, e grazie al Cybersecurity National Framework per le aziende corporate, dimenticando la vecchia impostazione basata su singoli progetti faticosi e costosi da replicare.

Le risorse sono poche e si deve evitare la loro dispersione. Lo “sharing” non è più legato solo alle informazioni di sicurezza, ma alla modalità di approccio di un qualunque progetto di digitalizzazione in chiave sicura per design e impostazione.

Inoltre finalmente si realizza il cosiddetto PPP Partenariato Pubblico Privato nella sua accezione più completa. In sintesi è stato impostato un modello nazionale su cui basare la digitalizzazione delle aziende italiane utilizzando industria 4.0 come il primo dei driver di sviluppo.

Lo stesso Prefetto Pansa, che ha chiuso l’evento del CIS, ha prefigurato sviluppi importanti nell’ottica della sinergia confermando l’impegno verso lo sviluppo di un Sistema nazionale per abilitare il paese alla crescita sinergica di capacità di difesa e di attacco informatico per rendere sicuro il cyberspazio e il nostro paese, restando competitivi con gli altri paesi.

Cosa manca ancora alla roadmap nazionale? Il professor Baldoni auspica una più stretta collaborazione fra ricercatori e aziende con finanziamenti specifici per poter uscire dall’empasse di sicurezza del Paese, perché nessuna azienda può farlo da sola.  A livello nazionale si dovrebbe puntare ad avere organizzazioni (pubbliche, private e pubblico/private) dotate di una significativa massa critica di ricercatori e ingegneri capaci di realizzare delle operazioni importanti contro il cybercrime, per la cyberdefence e la cyberintelligence.

Tutto ciò abiliterebbe anche capacità confrontabili con il livello internazionale che è la condizione propedeutica per stabilire relazioni con altri paesi su questi temi. Esempi potrebbero essere il CERT nazionale o CERT PA  ma con una operatività h24/7×7 e capaci di collaborare efficacemente con le omonime strutture internazionali.  In tema di cybercrime si potrebbe rafforzare la Polizia Postale e il CNAIPIC per supportarli nell’interazione con le strutture di livello internazionale.

Per il prossimo futuro il CIS e CINI continueranno a lavorare attivamente sulla formazione, proseguendo con il progetto del Cyberchallenge e con i master in cybersecurity e con le attività del comitato nazionale all’interno del quale il professor Baldoni auspica l’inclusione progressiva di tutti gli altri istituti. Ad esempio con l’istituto superiore di sanità si potrebbero sviluppare le capacità di sicurezza nell’ambito medico ospedaliero e per la protezione dei dati personali.