Maggior attenzione agli aspetti "pratici" della materia; rafforzamento della cooperazione tra tutti i protagonisti; promozione della cultura della sicurezza informatica. Queste, in estrema sintesi, le linee guida più importanti che emergono dal nuovo Piano Nazionale per la protezione cibernetica e la sicurezza informatica, adottato con Decreto della Presidenza del Consiglio dei Ministri il 31 marzo 2017 e pubblicato sulla Gazzetta Ufficiale n.125 del 31 maggio 2017.
Una svolta sostanziale, rispetto al piano precedente redatto a cavallo tra il 2014 e il 2015. Con la nuova road map, come accennato, si dà maggior rilevanza agli aspetti pratici e, oltre a promuovere l'integrazione delle varie forze di polizia e controllo attive nella cybersecurity nazionale, si vuole incentivare e rafforzare la cooperazione internazionale (non a caso, nel Piano si adotta lo stesso vocabolario utilizzato a livello internazionale da UE, NATO E ONU) anche attraverso esercitazioni in "stile militare".
Insomma, visto l'aumento delle minacce informatiche e degli attacchi state sponsored (cioè, sponsorizzati da stati stranieri con l'obiettivo di colpire infrastrutture critiche, siano esse pubbliche o private), l'Italia si prepara a dare risposte adeguate (sia difensive, sia contro-offensive) a possibili tentativi di attacco. La prospettiva di una cyberguerra su larga scala, infatti, si fa sempre più concreta e farsi trovare impreparati vorrebbe dire mettere a rischio la sicurezza nazionale.
Le linee guida del Piano Nazionale per la protezione cibernetica e la sicurezza informatica
Nello specifico, il Piano individua gli indirizzi operativi e le linee d'azione da porre in atto per conseguire quegli obiettivi che consentiranno di dare attuazione al Quadro Strategico Nazionale (abbreviato in QSN) per la sicurezza dello spazio cibernetico. Il tutto si può riassumere in 11 indirizzi d'azione che dovranno guidare l'operato dei soggetti pubblici e privati interessati all'implementazione del QSN.
Il Piano, rivisitato dai punti di contatto cyber dei Dicasteri CISR (Affari Esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico), dell'Agenzia per l'Italia Digitale e del Nucleo per la Sicurezza Cibernetica (operante all'epoca presso l'Ufficio del Consigliere Militare del Presidente del Consiglio), prevede:
- Potenziamento capacità di intelligence, di polizia e di difesa civile e militare
- Potenziamento dell'organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati
- Promozione e diffusione della cultura della sicurezza informatica. Formazione ed addestramento
- Cooperazione internazionale ed esercitazioni
- Operatività delle strutture nazionali di incident prevention, response e remediation
- Interventi legislativi e compliance con obblighi internazionali
- Compliance a standard e protocolli di sicurezza
- Supporto allo sviluppo industriale e tecnologico
- Comunicazione strategica e operativa
- Risorse
- Implementazione di un sistema di cyber risk management nazionale
Novità del Piano Nazionale di sicurezza informatica
Le molteplici innovazioni introdotte con il Piano di protezione cibernetica sono necessarie anche per allineare il sistema nazionale di sicurezza informatica alla direttiva europea NIS (acronimo di Network and Information System), che si pone l'obiettivo di stabilire un livello minimo comune di sicurezza delle reti e dei sistemi informativi tra i Paesi dell'Unione Europea. In questa ottica, dunque, si inseriscono misure operative come il rafforzamento della cooperazione con i partner europei e stranieri anche attraverso esercitazioni comuni. Ma non solo.
Per far sì che i parametri dei sistemi di sicurezza e controllo italiani rispettino quanto previsto nel NIS, il Piano italiano pubblicato in Gazzetta Ufficiale il 31 maggio 2017 prevede una "filiera corta" per la gestione delle crisi ed emergenze cibernetiche, il progressivo accorpamento dei CERT (acronimo di Computer Emergency Response Team), l'istituzione di un centro nazionale di certificazione nazionale ICT e la creazione di un centro nazionale per la crittografia. Queste mosse dovrebbero consentire al nostro Paese di migliorare l'efficienza nel processo di incident prevention, response e remediation e garantire, così, livelli e parametri di sicurezza in linea con il resto del Continente.
Come si svilupperà la sicurezza informatica nazionale in futuro
Analizzando nel dettaglio il Piano Nazionale per la protezione cibernetica e la sicurezza informatica, si possono individuare anche le direttrici attraverso le quali si svilupperà e si proverà a raggiungere gli obiettivi prefissi.
Prima di tutto, si procederà a una valutazione e valorizzazione delle risorse umane che, già da tempo, operano nel settore sia a livello pubblico che privato. Per questo motivo si favorirà l'interazione tra i diversi soggetti e le diverse realtà, così da migliorare lo scambio di competenze e conoscenze e, allo stesso tempo, accorciare la catena di comando preposta alla gestione delle crisi.
In seconda battuta si dovranno mettere in atto delle misure che garantiscano una migliore difesa perimetrale, partendo da una definizione (e da una concezione) sistemica di sicurezza informatica. A tal riguardo, sarà necessario intraprendere un percorso che porti alla standardizzazione e certificazione delle soluzioni hardware e software pensate per la sicurezza informatica.