L’avvento, dopo le quattro dimensioni tradizionali (terra, aria, mare e spazio extra-atmosferico), di una quinta dimensione della conflittualità legata all’elemento cyber ha imposto uno sforzo originale da parte degli Stati nazione per aggiornare le rispettive dottrine della sicurezza nazionale. La natura dual-use (in italiano: ambivalente) delle tecnologie informatiche, facilmente reimpiegabili a scopo militare, l’abbassamento della soglia di accesso agli strumenti informatici determinata dalla diffusione di hardware a basso costo e dai processi di democratizzazione digitale, nonché l’intrinseco trade-off, o rapporto inversamente proporzionale, tra informatizzazione e sicurezza che contraddistingue le società densamente informatizzate, determinano infatti la nascita di nuove minacce alla sicurezza nazionale sul piano cibernetico; minacce che mutano e progrediscono con la stessa velocità dell’innovazione tecnologica e che obbligano quindi il legislatore a offrire una risposta flessibile, attenta e versatile.
A questo proposito, nel maggio del 2017 la Presidenza del Consiglio dei Ministri ha rilasciato il nuovo Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica[1], concepito per individuare “gli indirizzi operativi, gli obiettivi da conseguire e le linee d’azione da porre in essere per dare concreta attuazione al Quadro Nazionale per la sicurezza dello spazio cibernetico[2] (QSN), alla luce degli indirizzi per la protezione cibernetica e la sicurezza informatica indicati dal Presidente del Consiglio dei Ministri nella sua qualità di Organo di vertice dell’architettura nazionale cyber”.
Gli indirizzi strategici del Quadro Strategico Nazionale (QSN), elaborato dal Tavolo Tecnico Cyber (TTC) – che opera presso il DIS e al quale partecipano i rappresentanti cyber del CISR (Affari esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico), dell’Agenzia per l’Italia Digitale e del Nucleo per la Sicurezza Cibernetica (NSC) – sono i seguenti:
- Potenziamento delle capacità di difesa delle Infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese;
- Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati;
- Incentivazione della cooperazione tra istituzioni ed imprese nazionali;
- Promozione e diffusione della cultura della sicurezza cibernetica;
- Rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica;
- Rafforzamento delle capacità di contrasto alle attività e contenuti illegali on-line.
Per dare concretezza agli indirizzi strategici del QSN, il Piano Nazionale (PN) ha identificato 11 indirizzi operativi, di cui riportiamo i fondamenti.
- Potenziamento delle capacità di Intelligence, di polizia e di difesa civile e militare. “La protezione cibernetica e la sicurezza informatica nazionali, per essere efficacemente perseguite, presuppongono, in prima istanza, un’approfondita conoscenza delle vulnerabilità – non solo del fattore tecnologico ma anche di quello umano – e delle minacce cibernetiche che le sfruttano, al fine di rendere le reti e i sistemi, in particolare nel caso delle infrastrutture critiche, più resilienti, assicurando, al contempo, l’efficacia del contrasto”.
- Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati. “Tale indirizzo si pone l’obiettivo di potenziare il coordinamento e la cooperazione non solo tra i diversi soggetti pubblici, ma anche tra questi e i soggetti privati, considerato che questi ultimi gestiscono le infrastrutture critiche nazionali. Da qui discende l’esigenza di assicurare l’interoperabilità tra i vari attori, anche a livello internazionale”.
- Promozione e diffusione della cultura della sicurezza informatica. “La formazione e l’addestramento nel settore della sicurezza informatica sono stati, fino ad oggi, orientati prevalentemente al personale specialistico che opera o che è destinato ad operare nel settore. Si pone, pertanto, l’esigenza di un’attività di promozione della cultura della sicurezza informatica diretta ad un ampio pubblico, che includa privati cittadini e personale, sia delle imprese che della Pubblica Amministrazione”.
- Cooperazione internazionale ed esercitazioni. “Il carattere per definizione transnazionale della minaccia cibernetica e la sua pervasività richiedono un approccio internazionale alla tematica, posto che i singoli Stati devono necessariamente agire sinergicamente per far fronte alla stessa. Ciò presuppone, necessariamente, un comune livello di preparazione e di interoperabilità”.
- Operatività delle strutture nazionali di incident prevention, response e remediation. “L’approntamento di capacità di prevenzione e reazione ad eventi cibernetici richiede lo sviluppo di Computer Emergency Team (CERT) quali soggetti erogatori di servizi di assistenza tecnica, ricerca e sviluppo, formazione e informazione per i rispettivi utenti, pubblici e/o privati. La Direttiva NIS prevede, quantomeno a favore dei gestori di servizi essenziali, la costituzione dei Computer Security Incident Response Team (CSIRT), una nuova tipologia di organismo intesa quale evoluzione dei CERT in grado di assicurare una effettiva capacità di assistenza e supporto attivo alla propria constituency in caso di evento cibernetico. Nel contesto del recepimento delle novità introdotte dalla Direttiva NIS, occorre ridefinire il ruolo rivestito dagli attori presenti nell’attuale architettura nazionale (i vari CERT) e quelli che vi faranno ingresso (oltre a CSIRT, Autorità nazionale/i e punto unico di contatto). Nelle more del recepimento della direttiva NIS, sarà avviato un processo di progressiva unificazione dei CERT pubblici per sancire, nei settori di interesse strategico, la competenza esclusiva di un CERT nazionale unico, ovvero per creare una rete nazionale di CERT individuando un soggetto con poteri di coordinamento”.
- Interventi legislativi e compliance con obblighi internazionali. “La rapida evoluzione tecnologico-informatica comporta un altrettanto veloce obsolescenza delle norme che disciplinano materie correlate alle tecnologie dell’informazione e della comunicazione. Pertanto, esse necessitano di periodiche revisioni e aggiornamenti, oltre che di integrazioni, anche per creare un substrato giuridico alle attività condotte ai fini della protezione cibernetica e della sicurezza informatica e per responsabilizzare gli amministratori e gli utenti delle operazioni da questi compiute sui sistemi loro assegnati”.
- Compliance a standard e protocolli di sicurezza. “La compliance a standard e protocolli di sicurezza, elaborati sia a livello nazionale che internazionale, consente di garantire un comune ed elevato livello qualitativo nell’assicurare la protezione cibernetica e la sicurezza informatica dei sistemi e delle reti”.
- Supporto allo sviluppo industriale e tecnologico. “La garanzia dell’affidabilità e della sicurezza di componenti hardware e software prodotte nell’Unione Europea e nei Paesi terzi, specie di quelle impiegate da infrastrutture critiche e da soggetti che svolgono attività di rilevanza strategica per il Paese, rappresenta un obiettivo conseguibile solo se tutti gli attori della catena del valore (produttori di componenti hardware, sviluppatori di software, fornitori di servizi della società dell’informazione) faranno della sicurezza una priorità”.
- Comunicazione strategica. “La comunicazione circa un evento cibernetico e le relative conseguenze assume un’importanza strategica, in quanto le singole Amministrazioni interessate ed i soggetti privati gestori di servizi essenziali devono essere in grado di fornire, ove necessario o opportuno, un’informazione completa, corretta, veritiera e trasparente, senza con ciò creare inutili allarmismi che verrebbero ad amplificare l’impatto economico e sociale dell’evento stesso”.
- “Punto di partenza per un’oculata pianificazione finanziaria e per la ripartizione delle risorse è l’analisi dei costi di eventi cibernetici occorsi o potenziali, in quanto la rilevanza del rischio è direttamente proporzionale alla probabilità ed all’entità del danno. Parimenti, l’opportunità e la priorità d’intervento su una specifica vulnerabilità potrebbero essere meglio supportate a livello decisionale qualora corredate degli opportuni elementi di valutazione economica. Quest’ultima potrebbe meglio bilanciare l’analisi dei costi correlata alle esigenze di investimento nel settore pubblico quanto in quello privato”.
- Implementazione di un sistema di Cyber Risk Management “La protezione dei dati da minacce che ne pregiudicano l’autenticità, l’integrità, la riservatezza e la disponibilità è parte integrante del presente Piano Nazionale in quanto le informazioni costituiscono un valore intrinseco all’organizzazione, pubblica o privata, e imprescindibile obiettivo di ogni attacco cibernetico”.
Il 24 giugno 2018, dando seguito alla direttiva europea NIS (Network and Information Security) del luglio 2016, tesa ad affrontare il tema cyber incrementando il livello di sicurezza cibernetica nei 28 Paesi membri, è entrato in vigore il decreto legislativo di attuazione[3], che oltre ad occuparsi di questioni già inquadrate dal Piano Nazionale (PN), come la promozione della cultura della sicurezza, la limitazione dell’impatto degli incidenti informatici e il rafforzamento della cooperazione in ambito nazionale ed europeo, istituisce nuovi “obblighi in materia di sicurezza e di notifica per i cosiddetti Operatori di Servizi Essenziali (OSE) – ossia organizzazioni pubbliche o private operanti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile – e per i Fornitori di Servizi Digitali (FSD): e-commerce, motori di ricerca, e cloud computing”[4]. Tali obblighi sono istituiti al fine di salvaguardare la business continuity per gli OSE e i FSD. A loro spetta dunque il compito di adottare misure tecniche e organizzative atte a prevenire eventuali incidenti informatici e approntare un efficace modello di crisis management. “La notifica di incidenti con impatto rilevante sui servizi forniti andrà fatta al Computer Security Incident Response Team (CSIRT) e alle autorità competenti NIS, ossia i vari Ministeri”. Con il decreto, in ossequio a quanto previsto dalla direttiva NIS e dal quinto indirizzo del Piano Nazionale (PN), le funzioni svolte dal CERT nazionale e dal CERT-PA vengono attribuite allo CSIRT italiano. Tale nuova struttura viene ufficialmente istituita con il DPCM dell’8 agosto 2019 (pubblicato in gazzetta l’8 novembre dello stesso anno[5]), e viene posta, con riguardo all’ormai stabile tendenza accentratrice intrapresa dopo la metà del Duemila, presso il Dipartimento delle Informazioni per la Sicurezza (DIS). Lo CSIRT avrà il “compito di definire le procedure tecniche per la prevenzione e la gestione degli incidenti informativi; ricevere le notifiche di incidente; fornire al soggetto che ha effettuato la notifica le informazioni per facilitare la gestione efficace dell’evento; informare gli altri Stati membri dell’Ue eventualmente coinvolti dall’incidente; garantire la collaborazione nella rete di CSIRT, attraverso l’individuazione di forme di cooperazione appropriate, lo scambio di informazioni e la condivisione di best practices”[6].
Alla luce di quanto emerso dal Piano Nazionale (PN) e degli sforzi intrapresi dalla Presidenza del Consiglio dei Ministri per rafforzare l’architettura cibernetica del Paese, con riferimento al quadro delineato nel corso dei primi paragrafi, sembra che le istituzioni si stiano muovendo nella giusta direzione.
Sono tre i punti su cui è bene soffermarsi per mettere in evidenza il lavoro positivo svolto dal Tavolo Tecnico Cyber (TTC) e dagli organi che si sono occupati di elaborare i vari asset dell’odierna architettura cibernetica del Paese.
- Concezione della protezione cibernetica e della sicurezza informatica non come un obiettivo, ma come un “processo”. La realtà fluida, adattiva e mutevole del cyberspace impone la costituzione di strutture difensive flessibili, modulari e dinamiche, che considerino la sicurezza informatica non come un traguardo statico, ma come una successione ininterrotta di nuove linee di arrivo e di partenza. L’innovazione tecnologica comporta trasformazioni dall’impatto significativo su base pressoché quotidiana e la crescente potenza computazionale dei moderni processori implicherà nel breve periodo un aumento ancora più marcato delle potenzialità offensive offerte dalla dimensione cibernetica, per di più a costi decrescenti. Considerare la sicurezza informatica come un “processo”, ancorché ovvio, denota un’attenzione speciale per questi aspetti e non può che essere apprezzata.
- Razionalizzazione complessiva dell’architettura cibernetica del Paese e contrazione della catena di comando e controllo. La gestione ordinaria e straordinaria della sicurezza cibernetica nazionale viene attribuita alle strutture del DIS (Dipartimento delle informazioni per la sicurezza), il NISP viene abolito e il Nucleo per la Sicurezza Cibernetica (NSC), a cui è demandato il coordinamento della gestione delle crisi cibernetiche, viene riposizionato presso il DIS. Inoltre, la catena di comando deputata alla gestione delle crisi subirà un complessivo processo di contrazione, “al fine di rendere tempestiva ed efficace l’azione degli organi chiamati a svolgere compiti di response e remediation in caso di eventi cibernetici” (Gazzetta ufficiale n.125 del 31 maggio 2017[7]). I due CERT (Nazionale e della Pubblica Amministrazione), poi riuniti nello CSIRT italiano, interagiscono strettamente per consentire un allineamento operativo che assicuri “una capacità unitaria di rilevazione, allarme e prima analisi degli incidenti cibernetici”. In nuce, tutti i segmenti della società interessati alla tematica cyber sono conglobati in un sistema unitario orbitante attorno al DIS. Questa scelta, in un contesto di balcanizzazione digitale privo di forze trainanti e punti di ancoraggio stabili, può senz’altro ritenersi azzeccata, specie se abbinata alla volontà di voler creare, in ambito cyber, un vero e proprio network istituzionale che operi all’unisono per uno scopo comune, che nel caso precipuo è la sicurezza nazionale. La costituzione di un’architettura cibernetica reticolare permette un più attento controllo da parte degli organi istituzionali preposti al monitoraggio degli eventi cibernetici e una capacità di reazione significativamente maggiore, in ossequio al principio di “concentrazione delle forze” di clausewitziana memoria.
- Responsabilizzazione di tutti gli attori interessati a vario titolo alla tematica La costituzione di un network di attori, pubblici e privati, che cooperino e collaborino al fine di consolidare la sicurezza nazionale del sistema Paese origina dalla responsabilizzazione dei medesimi, un processo che li porti a considerare sé stessi non come unità distinte, ma come parte di un sistema. Collegare tutti i nodi della rete, in un mondo che della rete ha fatto il suo architrave portante, è il solo modo per realizzare un complesso difensivo realmente efficace.
Qualora questi tre principi, ovvero la percezione della sicurezza cibernetica come un processo, la concentrazione delle forze attraverso l’accentramento organizzativo e la responsabilizzazione di tutti gli attori coinvolti, restino saldi e centrali nell’agenda governativa, l’architettura cibernetica del sistema paese potrà sperare di raggiungere una soglia di efficacia ancora maggiore, restare al passo con l’evolversi della situazione su scala globale, reggere il confronto con il dinamismo dell’innovazione tecnologica, e innalzare dunque uno stabile e resiliente bastione difensivo nella quinta dimensione della conflittualità.
[1] https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2017/05/piano-nazionale-cyber-2017.pdf
[2] https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/quadro-strategico-nazionale-cyber.pdf
[3] https://www.gazzettaufficiale.it/eli/id/2018/06/09/18G00092/sg
[4] https://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/cyber-la-nis-entra-in-vigore-litalia-si-rafforza-e-fa-rete-con-lue.html
[5] https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2019/11/GAZZETTA-UFFICIALE-CSIRT.pdf
[6] https://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/cybersecurity-come-cambia-larchitettura-nazionale.html
[7] https://www.gazzettaufficiale.it/eli/gu/2017/05/31/125/sg/pdf