Dopo gli attentati di Parigi anche in Italia si sono accese le luci della ribalta per la Cyber Security, indicata più volte come la migliore soluzione per combattere i nemici che minacciano il nostro mondo. A prescindere dalle iperboli dei politici nostrani, e’ indubbio che si tratti di un tema che figura sull’agenda di tutti i decision maker, pubblici e privati, del mondo. L’Italia, una volta tanto, potrebbe essere fra i paesi leader del settore, nonostante l’indifferenza della politica e dell’opinione pubblica. E questo grazie al lavoro portato avanti negli ultimi anni dal settore della ricerca che, nel Novembre 2015, ha presentato al paese il white paper “Il Futuro della Cyber Security in Italia” edito dal Laboratorio Nazionale di Cyber Security CINI – Consorzio Interuniversitario Nazionale per l’Informatica. Frutto di un lavoro multidisciplinare, il documento affronta in modo approfondito tutti gli aspetti legati al mondo cyber, da quelli tecnologici a quelli sociali, senza dimenticare politica ed economia.
European Affairs ha incontrato il Prof. Roberto Baldoni, direttore del Laboratorio Nazionale di Cyber Security e docente universitario, che ha curato, insieme al Prof. Rocco de Nicola, la redazione del libro bianco.
Prof. Baldoni, cos’e’ la Cyber Security?
La Cyber Security consiste nella protezione degli asset tangibili e intangibili (dati e informazioni) appartenenti ad un’organizzazione, una nazione, o un singolo cittadino.
Di fronte alle minacce che arrivano dalla rete sono necessarie soluzioni sistemiche in grado, tramite una catena difensiva ben congegnata, di garantire uno standard di sicurezza accettabile.
E qui il campo si allarga: non solo sicurezza informatica, ma anche coinvolgimento di altri strumenti quali la psicologia, l’implementazione di politiche condivise, il contributo delle aziende e del governo sono necessari a garantire risposte dinamiche e flessibili contro modalità di aggressione che si evolvono di continuo.
Quali sono gli attori di questo rapporto complesso?
Principalmente tre: Governo, Privati e Accademia.
Agendo in materia isolata, nessuno può affrontare contrastare efficacemente le minacce: non i Governi, che non guidano lo sviluppo tecnologico. Non i Privati, che hanno i capitali, ma mancano sia degli strumenti coercitivi che della teoria. Non l’Accademia, che nonostante abbia il know how, manca sia di capitali che di poteri normativi.
Collaborazione e condivisione sono le parole chiave.
Come mettere in atto una strategia efficace?
I pilastri di una strategia cyber efficace sono:
- Un sistema di Early Warning, in grado di individuare per tempo le potenziali minacce e allertare gli altri anelli della catena protettiva:
- I Gruppi di Intelligence organizzati in un sistema di meeting fra esperti del settore che analizzino preventivamente le minacce future in base allo stato dell’arte della tecnologia al momento disponibile;
- L’implementazione di un Framework Nazionale, che mediante la collaborazione fra soggetti diversi, permetta di ampliare nel tempo le difese in un modo economicamente sostenibile;
- Information Sharing.
A proposito di condivisione dei dati. Negli Stati Uniti sta suscitando forti resistenze un disegno di legge, lo Sharing Information Act, che “obbligherà” le grandi corporation a condividere le informazioni di cui sono in possesso con gli Enti Federali.Le organizzazioni per i diritti umani hanno lanciato l’allarme Privacy.
La Privacy dei cittadini non e’ necessariamente in pericolo, anzi. Presso i nostri laboratori de “La Sapienza”, tanto per fare un esempio, stiamo conducendo studi avanzati su modalità di trasmissione di dati e informazioni in totale rispetto della riservatezza.
Qualora su di esse gravi un alto livello di privacy, sara’ possibile passare solo la parte di informazione che interessa senza andare ad intaccare la libertà del singolo utente.
Rimaniamo negli Stati Uniti, come valuta la scelta di affidare un ruolo centrale al Dipartimento della Difesa? Assisteremo ad una militarizzazione di Internet?
La rete può diventare un campo di battaglia, come la terra, l’acqua l’aria o lo spazio. Teniamo pero’ presente che una prospettiva di questo genere porterebbe ad un aumento esponenziale dei costi, pertanto, al momento, sembra improbabile.
Dopo gli attentati di Parigi, tutto il mondo avanzato, Italia compresa, evoca la Cyber Security come la panacea per la lotta al terrorismo. E’ davvero così’?
La minaccia Cyber può assumere forme diverse.
Quella di attacchi massicci e strutturati di grandi organizzazioni verso altre, vedi la vicenda Sony. In questo caso la minaccia ha un maggiore grado di prevedibilità e un’adeguata politica di partenariato partenariato privato – pubblico – accademica e’ in grado di predisporre misure adeguate. Si tratta di uno scenario in cui contano molto le risorse economiche e organizzative.
La seconda forma che può assumere e’ quella del lupo solitario. Un attacco imprevedibile, condotto magari da un ragazzo particolarmente abile, ma senza grandi mezzi, in grado di provocare danni ingenti a privati o aziende.
In questo caso ciò che più conta e’ il grado di sicurezza complessiva del sistema: più e’ avanzato, minori saranno le possibilità’ di successo dell’attaccante.
E’ per questi motivi che abbiamo lanciato l’iniziativa del Framework Nazionale.
Di cosa si tratta?
Si tratta, per dirla con una metafora sportiva, di un campo da gioco dove andremo a fissare, in maniera aperta e condivisa, le regole che un’organizzazione dovrebbe seguire per valutare il grado di sicurezza delle proprie informazioni.
Non si tratta, e’ bene specificarlo, di standard di sicurezza di carattere tecnico. Quelli esistono già. Si tratta piuttosto di 98 regole chiare (denominate framework core), che permettono, ove seguite, di verificare il grado di sicurezza delle policies adottate.
Si tratta di uno strumento importante soprattutto per un paese come il nostro, dove la struttura portante dell’economia sono le PMI, che dispongono di minori risorse rispetto alle grandi corporation.
L’adozione di un Framework aperto e condiviso consentirà ai vertici di avere un pannello di controllo chiaro e diretto per verificare il grado di sicurezza della propria organizzazione e di inserire quindi la cyber security nella catena di creazione del valore aziendale.
Quando diventerà’ operativo?
Il Framework nazionale e’ attualmente disponibile su Internet e lo sara’ fino al 10 gennaio. Si tratta di una fase aperta, in cui tutti possono fornire commenti, suggerimenti, proposte di miglioramento. Al termine di questo periodo il CINI – Cyber Security National Lab rielaborerà il materiale pervenuto e la versione definitiva verra’ presentata il 4 Febbraio 2016.
