Vision and Global Trends

The Platform for Future Issues and Challenges

Ti trovi qui: Home / News / Cyber-security: una riflessione sul Perimetro di Sicurezza Nazionale Cibernetica

Cyber-security: una riflessione sul Perimetro di Sicurezza Nazionale Cibernetica

Autore: Stefano Ricci – 09/08/2019

Da più parti salutata come la prima pietra fondativa della nuova infrastruttura di sicurezza cibernetica italiana, il cosiddetto Perimetro di Sicurezza Nazionale Cibernetica costituirà il punto di partenza per i futuri orientamenti geopolitici del nostro paese.
Da un lato, infatti, il disegno di legge recentemente approvato dal Parlamento Italiano dovrebbe garantire un nuovo impulso al tentativo di sviluppare un’industria nazionale cibernetica; dall’altro, proprio il disegno di legge potrà condurre a una maggiore consapevolezza circa la necessità non solo di tutelare le infrastrutture sensibili nazionali, ma soprattutto di sviluppare quell’autentica cultura della cyber-security di cui oggi l’Italia è ancora carente.

Fra i provvedimenti più interessanti, in questa direzione, è l’istituzione di un Centro di Valutazione e Certificazione Nazionale, presso il Ministero dello Sviluppo Economico, avente fra i molti l’obiettivo di valutare l’acquisto, da parte di imprese nazionali, di beni o servizi informatici di matrice estera, così come condurre analisi su software e forniture hardware impiegate presso i centri di elaborazione dati di «operatori pubblici e privati da cui dipende l’esercizio di una funzione essenziale per lo Stato ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione anche parziali o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale».  

Il Perimetro di Sicurezza Nazionale Cibernetica, poi, definisce anche i criteri tramite cui realizzare quell’architettura cibernetica nazionale già individuata nel Piano Nazionale per la Protezione Cibernetica (datato febbraio 2017) e nella Direttiva NIS (maggio 2018).
Nello specifico: 

  • Individuazione, tramite decreto del Presidente del Consiglio dei Ministri, di quelle amministrazioni pubbliche e di quegli operatori nazionali, pubblici e privati, che svolgono attivamente un servizio essenziale al Paese, dipendente da reti e sistemi informaci; 
  • Individuazione degli standard capaci di garantire adeguati livelli di sicurezza informatica e di gestione dei processi informativi; 
  • Individuazione e suddivisione di ruoli e compiti fra le varie strutture centrali, primo fra tutti il nascente Centro di Valutazione e Certificazione Nazionale. 

In quest’ottica, allora, il secondo punto dei tre si configura come un elemento di assoluta rilevanza strategica, sancendo la nascita di un livello medio di sicurezza condiviso dai vari soggetti in campo e, contemporaneamente, affidando la valutazione di garanzia a un ente terzo, autonomo rispetto agli enti coinvolti.
Un passo fondamentale, quest’ultimo, per imporre un’adeguata spinta propulsiva alla nascita d’una strategia comune nella definizione degli orientamenti cyber nazionali: solo tramite l’adozione d’una piattaforma condivisa sarà infatti possibile sviluppare il comparto informatico nazionale e tutelare lo stesso da ingerenze di dubbia natura.
Si tratterebbe, in fondo, della naturale evoluzione di quanto enunciato già nello “Schema Nazionale” previsto dal decreto del Presidente del Consiglio dei Ministri nel 2003, il quale a sua volta ha recepito i principali orientamenti internazionali in materia di certificazione ICT (sebbene originariamente previsti solo in materia di sicurezza nazionale).

Ciononostante, molti – forse troppi – sono i punti deboli dell’attuale disegno di legge; fra tutti, il tempo di attuazione di quanto previsto nel suo corpo normativo.
Si legge nel d.l., infatti, che entro sei mesi verranno individuati i soggetti, pubblici e privati, da inserire all’interno del perimetro cibernetico nazionale.
Allo stesso tempo, in questi sei mesi, il Comitato Interministeriale per la Sicurezza della Repubblica e l’Agenzia per l’Italia Digitale lavoreranno per definire quali criteri impiegare per fornire ai soggetti già individuati un elenco di requisiti (quali sistemi informatici e architettura IT) da rispettare e aggiornare con cadenza annuale, pena l’applicazione di ingenti sanzioni pecuniarie.
Dopodiché, entro dodici mesi, verranno rese note le procedure tramite le quali i soggetti individuati nel Perimetro Cibernetico dovranno comunicare al Comitato Interministeriale per la Sicurezza della Repubblica eventuali incidenti informatici di cui essi siano rimasti vittima.
Ancora: entro un anno, il Ministero dello Sviluppo Economico e l’Agenzia per l’Italia Digitale, assieme al Ministero dell’Interno, al Ministero della Difesa e al DIS – Sistema di informazione per la sicurezza della Repubblica, previo parere del Ministero dell’Economia e delle Finanze, valuteranno e definiranno tutte le misure di sicurezza da adottare relative a gestione del rischio, protezione dei dati e integrità dei sistemi informatici.
Il tutto, infine, andrà “convalidato” di volta in volta con appositi decreti proposti sempre dal Comitato Interministeriale per la Sicurezza della Repubblica. 

Questo percorso, lungo e tortuoso, andrà poi integrato con il necessario svecchiamento dell’intero apparato burocratico nazionale, a cui andrà chiesto un radicale cambio di rotta, e con l’adozione delle nuove reti 5G, già oggetto di confusi dibattiti e polemiche spesso interminabili.
Un’ulteriore vulnerabilità è rappresentata dalla scarsa dotazione economica per l’allestimento del Centro di Valutazione e Certificazione Nazionale: nella Relazione illustrativa del d.l., si legge che «è autorizzata la spesa di 3,2 milioni di euro per l’anno 2019 e di 2,850 milioni di euro per ciascuno degli anni dal 2020 al 2023 e di 0,750 milioni di euro annui a decorrere dall’anno 2024».
Per quanto riguarda il comparto pubblico, eventuali adeguamenti informatici (è palese che vi sia necessità di adeguamenti informatici, altrimenti parte del corpus previsto dal Perimetro di Sicurezza Nazionale non avrebbero senso d’esistere) saranno «effettuati con le risorse finanziarie disponibili a legislazione vigente».
Per tracciare un parallelo, il Regno Unito, nel 2015, stanziò quasi due miliardi di sterline in cinque anni per la cyber-security nazionale, arrivando alla creazione di un National Cyber Security Centre che operasse per ridurre i rischi legati alla sicurezza informatica del sistema-paese in materia di infrastrutture critiche. 

Difficile, poi, tracciare un futuro “valido” per il sistema della certificazione di sicurezza: esso, per sua natura, non può che esser diretto al solo contrasto di minacce note.
Quali fondi, dunque, per la ricerca di settore, necessaria per alimentare un dibattito ancora assente ma fondamentale per il pieno riconoscimento della dimensione geopolitica rappresentata dalla cyber-security?
Il rischio, in conclusione, è quello di trovarsi fra due anni sì pronti all’operatività, ma in un mondo che, nel frattempo, è già mutato innumerevoli altre volte.

Stefano Ricci, lavora come data analyst, per un’importante società italiana di import – export e come freelance cyber-security analyst. E’, inoltre, autore del volume: Cyber Warfare: Verso Un Nuovo Paradigma Strategico, 2017 (Cyber-Warfare – Towards a New Strategic Paradigm)