Cybersecurity, l'Italia mette a punto una sua strategia

L'Italia comincia a occuparsi di sicurezza informatica con un approccio nazionale, strategico e accentrato, laddove finora questi problemi erano affidati a una selva di enti pubblici o soggetti privati. La novità di oggi è la firma del primo decreto per la nascita di "un'architettura di sicurezza cibernetica nazionale e di protezione delle infrastrutture critiche", come comunicato dalla Presidenza del Consiglio. La firma è del presidente del Consiglio, Mario Monti, e dei ministri membri del Comitato interministeriale per la sicurezza della Repubblica.

"Il decreto pone le basi per un sistema organico, all'interno del quale, sotto la guida del presidente del Consiglio, le varie istanze competenti possono esercitare in sinergia le loro competenze". In pratica, significa che adesso nasce "un primo coordinamento nazionale a livello oplitico di tutta la sicurezza informatica. A livello operativo, si occuperà del problema il Cert, invece, a partire da quest'anno: il primo centro nazionale per la cyber sicurezza", spiega Rita Forsi, direttore dell' Istituto superiore delle comunicazioni e delle tecnologie dell'informazione.

Si tratta di rispondere a un'emergenza mondiale. La stessa Presidenza del Consiglio cita i dati di Gartner, secondo cui privati e pubbliche amministrazioni mondiali hanno speso 60 miliardi di dollari nel 2012, per difendersi dagli attacchi informatici, contro i 55 del 2011 e gli 86 previsti nel 2015. Assinform stima che il 40% degli attacchi richiedono almeno 4 giorni per essere risolti. Nel 90% dei casi l'attacco ha successo a causa dell'errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche.

Finora le aziende e le pubbliche amministrazioni sono state costrette ad affrontare questi problemi senza un sostegno statale. La nuova strategia nazionale avrà tre scopi: individuare le minacce, prevenire i rischi e coordinare una risposta in situazioni di crisi. A questi corrisponderanno tre livelli d'intervento: "uno politico per l'elaborazione degli indirizzi strategici, affidati al Comitato interministeriale per la sicurezza della Repubblica; uno di supporto operativo ed amministrativo e a carattere permanente, il Nucleo per la Sicurezza Cibernetica presieduto dal Consigliere Militare del Presidente del Consiglio; uno di gestione di crisi, affidato al Tavolo interministeriale di crisi cibernetica", spiega Palazzo Chigi.

Ma oggi l'Italia ha posto solo il primo mattone di un edificio che avrà bisogno di altri interventi per generare un effetto pratico. Il decreto prevede la "prossima adozione di un Piano nazionale per la sicurezza dello spazio cibernetico", coinvolgendo anche il settore privato. Il primo ambito che sarà messo in sicurezza, a livello informatico, sono le infrastrutture critiche (come da direttiva europea 2008), cioè quelle dell'energia e dei trasporti.

L'Unione europea chiede, del resto, che l'Italia attivi il Cert entro il 2013, cioè sarà un team di risposta ad attacchi informatici. Condividerà informazioni con imprese e cittadini, coordinandosi con strutture analoghe in Europa. L'obiettivo, che l'Europa vuole raggiungere grazie ai Cert nazionali, è una risposta più pronta ed efficace ad attacchi che mettono in pericolo le informazioni commerciali e addirittura la sicurezza nazionale.
Altre misure arriveranno nei prossimi mesi, probabilmente. La commissione Trasporti, poste e telecomunicazioni della Camera, ha appena chiuso l'indagine conoscitiva sulla sicurezza informatica delle reti, chiedendo di introdurre il reato di furto di identità digitale, con sanzioni penali.

La stessa indagine conoscitiva fa comprendere quanto ci sia ancora da fare in questo campo. Chiede "la costituzione di squadre di livello nazionale per la risposta ad emergenze informatiche (il Cert, appunto, Ndr.), l'adozione di una strategia di sicurezza informatica nazionale, l'elaborazione di piani di emergenza nazionali, l'organizzazione di esercitazioni nazionali e la partecipazione, come già avvenuto nel recente passato, ad esercitazioni europee". Il decreto è un primo passo strategico. Adesso bisogna scendere a livello operativo.

©RIPRODUZIONE RISERVATA