Il DL sul perimetro di sicurezza nazionale

di Carlo Mauceli

Il recente decreto legge sul perimetro di sicurezza cibernetica è il frutto di nuove riflessioni sull’evoluzione della minaccia cyber, del contesto tecnologico e del panorama normativo nazionale e internazionale ed il fatto che sia composto da diversi attori, pubblici e privati, rappresenta di per sé un elemento positivo. Anche i criteri di individuazione degli attori sono un elemento a favore del decreto in quanto stabiliscono che:

• Il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;
• L’esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici e al cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

Rimane, invece, il forte dubbio sulle tempistiche per definire chi entrerà a far parte del perimetro, visto che nel DL la loro individuazione viene delegata ad un successivo decreto (entro 4 mesi dall’entrata in vigore della legge di conversione) del Presidente del Consiglio (art. 1 comma 2 lettera a). Essendo, di base, un decreto delegato è tutto rimandato a successivi provvedimenti che dovranno essere emanati un numero di mesi imprecisati dopo l’entrata in vigore della legge di conversione del DL. Sarebbe quindi importante che questi tempi venissero effettivamente rispettati.

Inoltre, si tratta di un decreto fortemente sbilanciato verso due elementi:

1. Le reti di comunicazione e il tema del 5G
2. Il CVCN che:
   • Assorbe metà delle risorse finanziarie, già esigue;
   • Rischia di diventare un collo di bottiglia e, soprattutto, non è chiaro come si pone, dal punto di vista delle valutazioni verso i cloud provider. In particolare, nel comma 7 punto c si dice “elaborazione e adozione di schemi di certificazione cibernetica, laddove, per ragioni di sicurezza nazionale e su con-forme avviso del CISR tecnico, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica” Cosa significa? Che anche se le soluzioni, siano esse HW o SW, rispondono agli standard internazionali, devono, comunque, passare al vaglio della certificazione e validazione del CVCN? Questa è fonte di preoccupazione perché si tratterebbe di un ulteriore irrigidimento oltre che un allungamento smisurato dei tempi.

e che, come detto, pur apprezzando lo sforzo di definire una struttura organizzativa significativa, non si va alla radice dei problemi che affliggono il nostro Paese e che nascono da una domanda ben precisa “Come mai il nostro Paese è tra i primi al mondo in quanto ad attacchi come mai le nostre aziende subiscono attacchi con tecniche non necessariamente moderne ma in grado, comunque, di colpire ugualmente?”

I dati dell’ultimo rapporto Clusit sono impietosi. Lo studio si basa su un campione che al 31 dicembre 2018 è costituito da 8.417 attacchi noti di particolare gravità, ovvero che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili (personali e non), o che comunque prefigurano scenari particolarmente preoccupanti, avvenuti nel mondo (inclusa quindi l’Italia) dal primo gennaio 2011, di cui 1.552 nel 2018 (+77,8% rispetto al 2014, +37,7% rispetto al 2017) e 5.614 registrati tra il 2014 e il 2018.

Complessivamente, rispetto al 2017, il numero di attacchi gravi che abbiamo raccolto da fonti pubbliche per il 2018 cresce del 37,7%. In termini assoluti, nel 2018 le categorie “Cybercrime” e “Cyber Espionage” fanno registrare il numero di attacchi più elevato degli ultimi 8 anni. Dal campione emerge chiaramente che, con l’esclusione delle attività riferibili ad attacchi della categoria “Hacktivism” che diminuisce ancora sensibilmente (-22,8%) rispetto al 2017, nel 2018 sono in aumento gli attacchi gravi compiuti per finalità di “Cybercrime” (+43,8%), così come quelli riferibili ad attività di “Cyber Espionage” (+57,4%). Va sottolineato che, rispetto al passato, oggi risulta più difficile distinguere nettamente tra

“Cyber Espionage” e “Information Warfare”: sommando gli attacchi di entrambe le categorie, nel 2018 si assiste a un aumento del 35,6% rispetto all’anno precedente (259 contro 191)

Pertanto, alla luce di tutto questo, pensiamo che il decreto dovrebbe coprire anche le aree di sofferenza del nostro Paese che riassumerei in questi punti:

1. Soluzioni di innalzamento della sicurezza basate su soluzioni cloud driven. Attacchi avanzati, mirati ed evasivi di altra natura rendono estremamente difficile per le aziende prevenire efficacemente le violazioni informatiche:
2. I criminali informatici utilizzano attacchi avanzati per aggirare soluzioni antivirus, IPS e firewall di nuova generazione e si nascondono nelle aziende per mesi (320 giorni in media nel 2015, quando notificato esternamente)
3. Oltre il 68% del malware è specifico per un’azienda e l’80% di quel malware è usato solo una volta, pertanto le difese basate su firme sono inefficaci contro gli attacchi mirati
4. Oltre l’80% degli avvisi generati dai sistemi di sicurezza basati su criteri e firme sono inaffidabili e sottraggono risorse all’analisi delle segnalazioni critiche

L’odierna trasformazione imprenditoriale dell’IT, che espande la superficie di attacco dell’azienda, rende ancora più complessa questa sfida:

1. Entro il 2020, le applicazioni cloud pubbliche rappresenteranno oltre i due terzi della spesa aziendale. Le operazioni basate su cloud aumentano del 40% il traffico Internet aziendale (e le potenziali minacce) in entrata e in uscita. Tutto questo traffico deve essere controllato
2. Al giorno d’oggi, i dispositivi non Windows supportati dal 96% delle aziende solitamente non sono stati ben protetti
3. L’adozione dei collegamenti diretti a Internet da parte del 40% delle filiali aumenta la loro esposizione agli attacchi al di fuori dell’elevata protezione della sede centrale

Per ridurre al minimo il rischio di costose violazioni informatiche, le aziende di tutte le dimensioni hanno bisogno di proteggersi efficacemente dagli attacchi. Ciò che si deve fare può essere riassunto in questi quattro punti:

1. Rilevare e bloccare le minacce che i prodotti di sicurezza tradizionali non rilevano
2. Rispondere rapidamente e contenere l’impatto degli incidenti
3. Adattarsi costantemente all’evoluzione delle minacce
4. Scalare e rimanere flessibile quando l’azienda cresce o la modalità di erogazione dei servizi IT cambia

Le tecnologie che possono garantire il livello di sicurezza richiesto, da un punto di vista logico, non possono essere basate su architetture on premise di vecchio stampo ma su sistemi basati su Machine Learning e algoritmi di Artificial Intelligence e non più basati su firme che ispezionano gli oggetti sospetti per identificare minacce mirate, evasive e sconosciute.

2. Investimenti per la Formazione. Nel lontano 2015, il Prof Baldoni, scriveva nel Libro Bianco della Cybersecurity quanto segue: “Le figure professionali legate alla sicurezza hanno un mercato mondiale e spesso in Italia ci troviamo a competere con realtà che, oltre confine, offrono condizioni salariali di gran lunga migliori. Il numero di figure professionali legate alla cybersecurity prodotte dalle nostre università è ancora troppo basso, a causa anche dei pochi docenti presenti in Italia su questo settore specifico. È questa una delle cause che, di fatto, impedisce l’attivazione di nuovi corsi di laurea triennale e magistrale in molte università italiane: corsi di laurea che in questo momento si contano purtroppo sulla punta delle dita.

A causa del combinato disposto di una fuga dall’Italia per cogliere opportunità salariali importanti e di una scarsa creazione di figure professionali adeguate rispetto al bisogno, è necessario e urgente mettere a punto delle strategie di brain retention che rendano più attraente lavorare su tematiche di sicurezza informatica nel nostro Paese. Israele, ad esempio, è riuscita a frenare l’emorragia attraverso la creazione di un ecosistema Industria-Università-Governo basato su parchi tecnologici e politiche incentivanti per le spin-off, riuscendo in questo modo a trasformare una debolezza endemica in un fattore di crescita. Oltre a questi programmi, dobbiamo creare le condizioni per riportare in Italia i nostri migliori cervelli nell’ambito della scienza e dell’imprenditoria nel settore della sicurezza. La mobilità del mercato del lavoro è in questo settore un problema endemico che non attanaglia solo l’Italia: alcuni grandi paesi si stanno muovendo, da un lato per avere a disposizione, tra qualche anno, la workforce necessaria e, dall’altro, per creare le condizioni per mantenerla all’interno dei loro confini. Questo passa, a titolo di esempio, per politiche di prestiti d’onore verso gli studenti: politiche ad esempio già perseguite da Francia e Germania e che potrebbero essere prese in considerazione anche nel nostro Paese per mantenere i neo laureati nelle nostre strutture governative, nella PA e nel sistema industriale nazionale. Se non si metteranno in atto adeguate politiche, la situazione peggiorerà sensibilmente nei prossimi anni. Si noti, al riguardo, che paesi come la Germania stanno facendo politiche molto aggressive per attirare non solo scienziati e imprenditori, ma anche semplici studenti stranieri verso corsi di laurea all’interno delle loro università”. Sono passati quattro anni e poco è cambiato se non il fatto che in qualche Università quali Politecnico di Milano, La Sapienza, Tor Vergata, Cagliari si sono istituiti dei corsi di laurea magistrale in cybersecurity ma non esiste un piano nazionale per creare figure professionali adeguate e, di conseguenza, continua a mancare quella cultura necessaria a fare cambiare la sensibilità verso un problema diventato tra i più importanti del pianeta.

3. Investimenti per la rimozione dell’obsolescenza tecnologica. Gli attacchi che l’Italia subisce dipendono non tanto dalla capacità degli attaccanti di utilizzare tecniche nuove, cosa che avviene in casi precisi e con campagne mirate (APT), bensì da infrastrutture e applicazioni obsolete che, proprio in virtù di mancanza di sgravi fiscali per le aziende private, PMI per lo più, e di investimenti per quelle pubbliche, non sono in grado di aggiornare e mettere in sicurezza le proprie piattaforme.
4. Potenziamento del CERT. Se diamo uno sguardo al panorama internazionale in termini di organizzazione delle unità di sicurezza, sono diversi i modelli che troviamo. Proprio in virtù della nostra esperienza e della nostra collaborazione con i Governi di altri Paesi (Regno Unito, Danimarca, Francia, Germania, Repubblica Ceca, solo per citarne alcuni), crediamo sia necessaria la formazione di un’Unità di Crisi permanente presso il CERT Nazionale o la Presidenza del Consiglio, composta da tecnici provenienti dal settore privato e pubblico che operino nell’interesse del Paese. Un’unità centrale di Cybersecurity che funzioni come una cellula sempre attiva per rispondere in modo unitario ad attacchi verso Pubblica Amministrazione ed infrastrutture critiche di interesse nazionale, incaricata di fare formazione e sensibilizzazione all’interno dello Stato ed infine, capace di rispondere tempestivamente ad una minaccia cibernetica in assoluta sinergia con il DIS ed i reparti di polizia postale e delle comunicazioni incaricati nell’attività di contrasto e repressione del fenomeno. Di fatto una cellula centrale il cui punto di forza è dato dall’insieme delle competenze investigative che giungono dalle Forze dell’Ordine e di quelle più strettamente informatiche che sono caratteristiche di coloro che operano nelle aziende che fanno della sicurezza un elemento distintivo. Questa iniziativa è in linea con il senso di emergenza e risposta efficace richiesto dalla direttiva EU in tema di Cybersecurity (NIS) che verrà in tempi brevi approvata dal Parlamento Europeo e che di conseguenza, come Italia, dovremo recepire in sede di Comunità Europea nel nostro ordinamento legislativo. Tutto ciò deve necessariamente passare attraverso l’aumento delle conoscenze e delle relative competenze dell’unità di cybersecurity, come accennato, attraverso l’inserimento di specialisti che abbiano davvero un’esperienza più diretta del mercato e che possano affiancarsi a quelle che hanno la conoscenza e l’esperienza più di carattere “militare/governativo”.

Credo che se i nostri decisori seguissero questa strada potremmo, finalmente, uscire da queste sabbie mobili e guardare con rinnovato entusiasmo ad una vera e propria rivoluzione digitale.

A questo link trovate la registrazione video della mia audizione.