serve-un-algoritmo-nazionale-di-sicurezza-per-il-cloud-pa.-gli-auspici-di-carta-(leonardo)

Serve un algoritmo nazionale di sicurezza per il cloud Pa. Gli auspici di Carta (Leonardo)

Che cosa è emerso nel corso dell’evento “Sicurezza cibernetica e sfide per l’Italia. Un nuovo ecosistema tra pubblico e privato?” promosso da Ispi. L’intervento di Carta (Leonardo)

 

“Non siamo all’anno zero” sulla cybersecurity nel nostro paese.

“Non comincia tutto con il decreto 82 del 2021, quello che prevede l’istituzione dell’Agenzia per la cybersicurezza nazionale”, ha sottolineato Franco Gabrielli, sottosegretario alla presidenza del Consiglio, autorità delegata per la sicurezza della Repubblica, intervenendo alla conferenza in streaming “Sicurezza cibernetica e sfide per l’Italia. Un nuovo ecosistema tra pubblico e privato?”, promossa da Ispi, in collaborazione con Leonardo.

“Ma proprio perché nel percorso fatto negli ultimi anni ci sono stati ritardi e sovrapposizioni, ora la prima risposta da dare è sotto il profilo dell’unitarietà e della coerenza dei comportamenti”, ha precisato Gabrielli.

“L’intervento normativo, per decreto, era più che giustificato” secondo Luciano Carta, presidente di Leonardo. “Era assolutamente indispensabile intervenire tenuto conto sia dell’intensificarsi degli attacchi cyber alle infrastrutture critiche del nostro Paese — da 147 nel 2019 a ben 509 nel 2020 — sia dei necessari interventi di razionalizzazione e di coordinamento in materia di cyber sicurezza”.

Inoltre “l’Italia non poteva rimanere indietro e grazie al decreto che istituisce l’Agenzia per la cybersecurity il nostro Paese avrà ulteriori strumenti per essere al pari con altri paesi d’Europa”, ha puntualizzato il presidente di Leonardo.

Nonostante il passo in avanti rappresentato dall’istituzione dell’Agenzia cyber, restano comunque delle criticità per Carta come il trasferimento dei dati sensibili verso infrastrutture cloud. Proprio per questo auspica la creazione di un algoritmo di cifratura nazionale certificato dall’Autorità nazionale per la sicurezza.

Ecco tutto quello che è emerso nel corso del dibattito introdotto dal presidente Ispi, Giampiero Massolo e moderato da Fabio Rugge, Head Osservatorio Cybersecurity Ispi.

IL DECRETO DEL GOVERNO DRAGHI

Il decreto-legge 14 giugno 2021 n. 82 “Disposizioni urgenti in materia di Cybersicurezza, definizione dell’architettura nazionale di Cybersicurezza e istituzione dell’Agenzia per la Cybersicurezza nazionale” è da considerare “il risultato di un percorso avviato dalla direttiva europea “Nis” del 2016, anno in cui la Nato ha riconosciuto il cyberspace come dominio operativo al pari di quelli terrestre, marittimo e aereo”, ha ricordato Luciano Carta.  Nel 2019, con la legge 133, il nostro Paese ha istituito il Perimetro di sicurezza nazionale cibernetica. Ed oggi, grazie al decreto approvato dal Consiglio dei ministri, il perimetro è stato ampliato, parallelamente a quanto accaduto con i perimetri strategici tutelati dall’aggiornata normativa sulla golden power.

L’OBIETTIVO DELL’AGENZIA PER LA CYBERSECURITY NAZIONALE

“Noi abbiamo voluto fortissimamente che la nascente Agenzia, seppur distinta nelle modalità e nell’ambito di azione dal comparto, permanesse nell’ambito della Sicurezza nazionale” ha spiegato Franco Gabrielli. “Un’altra ambizione che l’Agenzia si pone è quella di contribuire a quella tante volte evocata ‘autonomia tecnologica’ che è uno dei capisaldi, insieme al principio che secondo me dovrà essere declinato insieme a quello della sicurezza che è quello della sovranità”.

GABRIELLI: “UNA WORK FORCE DEDICATA A QUESTO SETTORE”

“Vogliamo creare anche nel nostro Paese, in un settore strategico delicato, una ‘work force’ dedicata a questo specifico settore” ha affermato il sottosegretario.

“E il fatto che il governo prima e, ci auguriamo, il parlamento poi, abbia accettato di remunerare persone di altissima qualificazione, di immaginare una modalità più flessibile di impiego della forza lavoro” va nell’ottica “di creare un sistema che produca una ‘work force’ nazionale”.

NECESSARIA UNA FORTE PARTNERSHIP PUBBLICO-PRIVATA

Un obiettivo ambizioso ma raggiungibile secondo Gabrielli, che non può prescindere da “una strategia davvero unitaria”, da “una forte partnership tra pubblico e privato”, da un “solido rapporto con il mondo dell’accademia”, da “profili professionali di elevatissima qualificazione e adeguatamente remunerati”.

L’Agenzia “potrà contare su una squadra di esperti capaci di realizzare importanti sinergie tra l’industria, la ricerca, le forze di polizia e il mondo dell’intelligence”, precisa il presidente dell’ex Finmeccanica Luciano Carta.

ATTENZIONE AL TRANSITO DI DATI SENSIBILI VERSO INFRASTRUTTURE CLOUD

Ma per il presidente di Leonardo “un elemento di fortissima criticità da non sottovalutare è rappresentato dal transito dei dati aziendali sensibili verso i cloud o altre infrastrutture tecnologiche riceventi”. Secondo Carta, “le attuali caratteristiche della rete internet non garantiscono che un dato digitale, originato in Italia e destinazione restare in Italia, durante il transito non ‘sconfini’”.

NECESSARIO UN ALGORITMO DI CIFRATURA NAZIONALE

Proprio per questi motivi, secondo il presidente di Leonardo “sarebbe dunque importante prevedere un meccanismo di protezione del dato tramite un algoritmo di cifratura esclusivamente ‘nazionale’ certificato dall’Autorità nazionale per la sicurezza che gestisce e distribuisce le necessarie chiavi di protezione. Anche così si contribuisce a rafforzare il perimetro di difesa nazionale da possibili esfiltrazioni”, ha puntualizzato Carta, già direttore dell’Aise (Agenzia informazioni e sicurezza esterna).

CARTA: “UN ACCORDO INTERNAZIONALE PER LA LOTTA ALLE MINACCE CIBERNETICHE”

Inoltre, per Carta “la prevenzione è fondamentale ma non è sufficiente: serve un approccio proattivo oltre che difensivo.”

“L’Agenzia per la cybersicurezza nazionale sicuramente assolverà al fondamentale ruolo di limitare i danni di un potenziale attacco cyber, purtuttavia altri Paesi – ad esempio la Gran Bretagna, la Francia e gli Stati Uniti – puntano sulla possibilità di effettuare azioni proattive e non solo difensive, intendendo queste come forme avanzate di difesa”. “Ci sono approcci differenti, anche sul piano legislativo, e ritengo che sarebbe necessario un sistema normativo armonizzato per consentire agli Stati di reagire tempestivamente ed efficacemente. Penso, ad esempio, a strumenti snelli di azione di cui dotare le agenzie di intelligence”, ha concluso il presidente di Leonardo.

SEVERINO: LA CRISI PANDEMICA HA INCREMENTATO I RISCHI DI ATTACCHI CYBER

Infine, “la crisi pandemica ha incrementato in modo esponenziale i rischi di cyberattacchi” ha evidenziato Paola Severino, vicepresidente e direttore del Master in Cybersecurity della Luiss, nel corso della conferenza “Sicurezza cibernetica e sfide per l’Italia”.

“Abbiamo a che fare con attacchi spesso difficili da individuare — ha ricordato Severino — che non sempre vengono denunciati dalle aziende per motivi reputazionali e che spesso non sono riconoscibili. Ci sono virus che per ‘infettare’ i nostri pc non richiedono più l’apertura di una email o un semplice clic”. In un quadro come questo, “i limiti normativi non consentono di portare avanti la lotta sul piano globale. La prevenzione perde di efficacia senza adeguate sanzioni ma per le sanzioni servono accordi internazionali: in assenza di tali accordi i cyberattacchi sono destinati a crescere di qualità e, soprattutto, di quantità” ha concluso Severino.

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *