A meno di un mese dall’approvazione, da parte del Comitato interministeriale per la Cybersicurezza, presieduto da Mario Draghi, della Strategia nazionale di Cybersicurezza (2022-2026) e l’annesso Piano di implementazione, desideriamo delineare un primo framework di riferimento di quanto si sta realizzando sulla tematica, a livello istituzionale, grazie all’importantissimo contributo offerto, attraverso questa intervista, dal Prof. Ranieri Razzante, Consigliere per gli Affari delegati e la Cybersecurity del Sottosegretario alla Difesa.
Un primo argomento che vorrei condividere con Lei è la “Strategia nazionale di Cybersicurezza 2022 – 2026” e le sfide che questa mira ad affrontare. A suo avviso esiste una priorità ben specifica nel trattarle?
La priorità è sicuramente la sensibilizzazione dei privati e della PA perché, mi creda, siamo davvero tanto indietro nella percezione della cybersicurezza e dell’urgenza di finanziare l’assetto informatico delle nostre aziende. La spesa per le infrastrutture tecnologiche è ancora troppo bassa.
La gestione delle crisi cibernetiche vede, in particolare, il nostro CSIRT (Computer Security Incident Response Team Italia), la squadra che fa parte dell’Agenzia per la cybersicurezza nazionale, svolgere un ruolo fondamentale, degno di encomio – sui propri gruppi Telegram, gli hacker di Killnet hanno fatto i complimenti al CSIRT per le capacità di risposta ai loro attacchi, che non hanno sortito gli effetti sperati a danno delle nostre infrastrutture informatiche. E’ sufficiente il loro lavoro o è necessario un coordinamento più ampio tra diversi soggetti per dare una risposta pronta ed efficace al prefigurarsi di eventi cyber sistemici?
Mi permetta di prescindere dal giudizio “canzonatorio” di killnet sui nostri esperti, sui quali c’è poco da discutere comunque. Ma serve un coordinamento tra le forze in campo, che l’Agenzia dovrà avere la capacità di realizzare in tempi speriamo brevi. Altrimenti rischiamo di disperdere le forze, e ricordo che l’Agenzia è nata per questo, dato che da sola non può ancora avere una dotazione di risorse umane minimamente sufficienti a far fronte alla nostra sicurezza cibernetica.
Per affrontare al meglio le sfide del Paese, attraverso la Strategia Nazionale di Cybersicurezza, sono stati individuati tre obiettivi fondamentali: protezione degli asset strategici nazionali; risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso sistemi di monitoraggio, rilevamento, analisi e attivazione di processi che coinvolgano l’intero ecosistema di cybersicurezza nazionale; sviluppo sicuro delle tecnologie digitali attraverso strumenti e iniziative volte a supportare i centri di eccellenza, le attività di ricerca e le imprese. E’ sufficiente il raggiungimento di questi tre obiettivi per garantire un approccio “security-oriented”?
Magari! Temo ci vorranno però almeno 5 anni, ma sono un ottimista per natura. Necessitano stabilità di governo e di governance, un piano di investimenti razionale con zero burocrazia, dirottamento in tempo reale di risorse ai centri di ricerca, un sistema di valutazione rapido ed obiettivo delle competenze.
Raggiunto l’accordo sulla nuova direttiva europea sulla cybersicurezza, Nis 2, che una volta adottata sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (Network and Information Systems, Nis). Quali novità introduce?
Senza dubbio una migliore definizione degli ambiti della sicurezza, un ampliamento delle strutture obbligate, l’estensione delle norme all’intera supply chain delle imprese. Un quadro più chiaro della prima direttiva, anche se ancora non esaustivo.
Come Nis2 si allinea al regolamento sulla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience for the financial sector, Dora) e alla direttiva sulla resilienza delle entità critiche (Critical entities Resilience, Cer)?
Innanzitutto, il pacchetto per la finanza digitale affianca la NIS e in qualche modo la completa, poiché il perimetro di sicurezza della direttiva include tutte le imprese di settore e classifica come essenziale il settore finanziario. Così la Cer. L’armonizzazione, però, è ancora a rischio. Io sarei per un Regolamento unico immediatamente applicabile agli Stati Ue, ove le frammentazioni normative sono – anche su questo profilo – ancora troppe.
Diversificazione e sviluppo della tecnologia italiana ed europea per l’autonomia nazionale strategica. La work force, con skill e professionalità, in questo scenario, che ruolo ha?
Ruolo esiziale, più che essenziale. Non vedo come si possa realizzare un’autonomia strategica senza aver introdotto ed implementato financo la nozione di “work force” nel nostro Paese. Laddove dovessimo pensare un solo istante che la tecnologia ed il computer sostituiscano l’efficienza del lavoro umano avremmo perso l’obiettivo.
Al di là del quadro organico e del perimetro tracciato dalla Strategia nazionale di Cybersicurezza è possibile regolamentare il mondo Cyber? Ci sono indicazioni operative in tal senso da parte del Ministero della Difesa con cui Lei sta collaborando?
Le indicazioni operative della Difesa rispecchiano ovviamente i desiderata e le determinazioni governative ed intergovernative, che sono strategiche e non nella mia disponibilità. Ma la determinazione è quella di integrare sempre più la nostra Difesa nel quadro di cyber resilience, dato il suo ruolo storico e riconosciuto nella protezione delle infrastrutture critiche.
Il binomio criptovalute – cybercrime è ancora oggetto di pregiudizi fondati o possiamo, dati e studi alla mano, svincolare credibilmente le une dall’altro?
Il binomio non si può associare, dati alla mano, a fenomeni solamente negativi. È indubbio che vi sia una potenzialità criminogena sia nel web che negli strumenti crypto, ma se li regolamentiamo in maniera compiuta e che non lasci spazio ai free riders ne potremo anche trarre benefici.