NEWSLETTER - IL CAFFE' DIGITALE
Perimetro e Agenzia per la Cybersicurezza Nazionale (ACN)

N. Ottobre 2021
        

tratto da un intervento di
Fabio Lazzini,
CISO/DPO, Sogei

 

Intervento effettuato durante l’evento TOSCANA DIGITAL SUMMIT del 13 Luglio 2021, appuntamento del Digital Italy Program 2021

#LaVisioneDeiLeader


Nel comparto della cyber security abbiamo assistito negli ultimi due anni ad un fermento normativo e organizzativo probabilmente senza precedenti. Dopo l’attuazione della Direttiva NIS e il GDPR, il Governo ha deciso di imprimere una forte accelerazione all’innalzamento dei livelli di controllo e contrasto delle minacce cyber.

La creazione prima del Computer Emergency Response Team Italia (CERT Italia), dalle spoglie del CERT PA e del CERT Nazionale, e l’istituzione del Perimetro di Sicurezza Nazionale Cibernetica poi, hanno costituito un notevole impulso all’evoluzione delle strutture organizzative e normative pensate per dotare il Paese delle opportune capacità cyber.

In un contesto internazionale sempre più fluido – con il conflitto commerciale tra Stati Uniti e Cina, la proiezione della Russia al di fuori dei propri confini e le sempre più frequenti azioni attribuite ad attori sponsorizzati dal governo cinese – l’Italia ha inteso come necessari ulteriori strumenti per rilevare, condividere e contrastare le minacce cyber emergenti, soprattutto per i centri nevralgici dell’impianto sociale, economico e produttivo.

Il Perimetro ha come capisaldi, per le Funzioni Essenziali individuate, il censimento delle tecnologie utilizzate, misure di sicurezza specifiche, notifica tempestiva degli incidenti di sicurezza ed un processo di procurement sicuro, oltre che strumenti specifici per le tecnologie 5G. Un tale intervento normativo, ben più incisivo sia della NIS che della norme precedenti,  deve essere interpretato come uno sforzo significativo per innalzare la consapevolezza e le possibilità di difesa e di contrasto alle minacce creando così un ecosistema incardinato sui controlli, la condivisione di informazioni e l’applicazione di tempestive contromisure assolutamente nuovo.

Lo scenario è ora evoluto ulteriormente con l’emanazione del Decreto-legge 14 giugno 2021, n.82 e l’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN); il decreto introduce diverse novità in materia di cybersicurezza e tra queste è presente anche l’istituzione del Comitato interministeriale per la cybersicurezza e del Nucleo per la cybersicurezza.

Con questo nuovo assetto e con il contestuale allargamento del numero di soggetti, inclusi nel Perimetro, giunge a piena realizzazione il piano del Governo volto a dare strumenti avanzati ed efficienti alla cyber security in maniera autonoma ed indipendente da altre agenzie e dal resto del comparto intelligence.

Oltre ai piani preesistenti per la cyber security, con il diffondersi della pandemia sono state avviate iniziative comunitarie che hanno permesso agli stati membri di accedere a possibilità rilevanti. Il Piano Nazionale di Ripresa e Resilienza (PNRR), recentemente approvato dalla Commissione Europea ed espressione del programma comunitario “Next Generation EU”, costituisce un’occasione unica e senza precedenti di poter avviare iniziative estese e che, in uno scenario differente, sarebbe quanto meno ardito realizzare. Rappresenta un quadro complessivo, che prevede un piano di investimenti organico e coordinato per spingere il Paese non solo a rispondere all’emergenza pandemica con forza e ampiezza, ma che può essere il volano per attuare nuovi e sfidanti progetti.

Nell’ambito della cyber security il PNRR destinerà 620 milioni di euro per potenziare personale e strutture delle Pubbliche Amministrazioni. “Digitalizzazione, Innovazione, Competitività, Cultura” saranno i cardini per la modernizzazione digitale delle infrastrutture di comunicazione del Paese nella Pubblica Amministrazione e nel suo sistema produttivo. In questo modo, la Pubblica Amministrazione sarà dotata di strumentazioni più tecnologiche e saranno potenziati il personale, le infrastrutture, così come la stessa organizzazione e le procedure sia interne che quelle orientate al cittadino.

Collegamento con Piano Triennale della PA

Nell’ambito della PA, il PNRR si affianca, o meglio si sovrapporne, con il Piano Triennale della PA, che specificamente per la Pubblica Amministrazione prevede di innalzare il livello della sicurezza in maniera significativa. Il Piano dovrà permettere di sanare una situazione che viene rilevata spesso come grave e preoccupante, in quanto lo sviluppo delle infrastrutture tecnologiche e dei processi di gestione è stato rapido e probabilmente non adeguatamente strutturato.

Infatti, come ha affermato il ministro per la transizione digitale, in Italia “abbiamo oltre il 90% dei server della Pubblica amministrazione che non è in condizioni di sicurezza” di conseguenza servono infrastrutture (in cloud) più sicure.

Lo sviluppo sostenibile del paese passa necessariamente dalla definizione di una nuova politica per l’innovazione volta a trasformare la PA in chiave digitale e sostenere la competitività delle imprese. Per questo motivo, il 27% delle risorse totali del PNRR sono destinate alla transizione digitale del sistema-paese nel suo complesso. Per raggiungere questo risultato la strategia è di adottare in modo netto il principio “cloud first”. Da ciò discende che, se fino ad oggi il cloud è stato una tra le tante opzioni per la PA, domani sarà sempre più la scelta obbligata per la conservazione sicura dei dati, per la loro elaborazione e per l’offerta di servizi digitali, che creino sempre più valore per i cittadini e gli utenti.

La transizione digitale deve poter abilitare elevati livelli di resilienza della PA sia centrale che periferica, sia nazionale che locale. Per la Pubblica Amministrazione nazionale ciò si è già verificato.

Infatti, a causa dello scenario emergenziale collegato alla pandemia, in tempi brevissimi le organizzazioni governative si sono rapidamente spostate sui canali digitali e hanno implementato soluzioni “smart”, che i cittadini hanno dovuto adottare e fare proprie. Strumenti di iper-automazione consentono alle PA di fornire a dipendenti, cittadini e imprese servizi end-to-end “contactless” orientati a complementare e sfruttare a loro vantaggio l’iper-connettività. Comportamenti e paradigmi prima solo proposti o suggeriti sono diventati di uso comune e quotidiano. Abbiamo assistito ad una tale esplosione di applicazioni e usi delle tecnologie digitali, una tale pervasività dei dispositivi e delle interazioni da avviare una rapida rivoluzione: Gartner afferma che entro il 2024, il 75% delle PA avrà almeno tre iniziative di hyperautomation avviate o in corso ed entro il 2025, oltre il 50% delle agenzie governative avrà modernizzato le applicazioni legacy fondamentali per migliorare la resilienza e l’agilità sfruttando il cloud.

Strategia locale

A causa della specifica connotazione e della storia del nostro tessuto socioeconomico, composto da pochi gruppi di grandi dimensioni e da una galassia di medie, piccole e microimprese, la robustezza del nostro Sistema Paese non può essere rafforzata solo con interventi e strategie orientate alle grandi realtà, dedicandosi alle grandi città, ai grandi operatori. O almeno non solo, e soprattutto non pensando a queste entità macroscopiche come ad elementi granitici ed atomici.

Inoltre, l’adozione strutturale di modelli di lavoro da remoto/ibrido e del cloud ha ormai favorito lo spostamento della popolazione dai grandi centri urbani a realtà locali più piccole o almeno ha reso maggiormente omogenee le modalità di accesso a servizi e lavoro. La disponibilità di tecnologie e servizi digitali adeguati alle nuove esigenze diventa quindi un fattore determinante per l’attrattività sociale ed economica del territorio. Più che con singole iniziative di “smart cities”, poco collegate l’una con l’altra, è opportuno orientarsi verso una logica di ecosistema urbano “intelligente” fondato sulla condivisione e orchestrazione sicura dei dati tra i diversi attori coinvolti. Una ricerca Gartner afferma che “entro il 2023, il 50% delle città con meno di 250.000 abitanti promuoverà la crescita utilizzando le iniziative di “smart city” per attrarre i lavoratori agili, che migrano dalle grandi città”.

In questo contesto quindi, la via da prediligere sarebbe quella della sinergia nazionale-locale, centrale e periferica affinché gli interventi si incardinino su tutto il territorio nell’ampio ventaglio di realtà, che esprimono il tessuto socioeconomico italiano.

Con la globalizzazione dei mercati ormai consolidata, la diffusione di modelli di business de-centralizzati e la “Data Economy”, è giunto il momento di garantire alle medie, piccole e microimprese italiane un supporto consistente e costante, affinché siano competitive. E la sicurezza è una delle prime componenti per garantire alle imprese locali di affacciarsi e proporsi sul mercato, mantenendo protetto il proprio know-how, assicurando la riservatezza dei dati, ma soprattutto potendo contare su servizi avanzati come il cloud anche attraverso fornitori nazionali di valore.

Le istituzioni locali, d’altro canto, devono attuare efficacemente le indicazioni degli organismi nazionali e internazionali, così da non costituire l’anello debole di un eco-sistema che avrebbe tutti gli elementi per dimostrarsi maturo e robusto.

Centro di competenza regionali e ruolo Sogei con il progetto CyberKit

A coadiuvare l’innovazione e la modernizzazione sul territorio possono essere le iniziative locali e radicate nelle specifiche realtà: i Centri di Competenza, i consorzi di Ricerca & Innovazione, i piani di investimenti e finanziamenti, i conglomerati e le associazioni. Un esempio fra tutti è rappresentato dal Centro di Competenza in Cyber security Toscano (C3T), che svolge attività di ricerca e trasferimento tecnologico nel campo della sicurezza informatica con l’obiettivo di informare, sensibilizzare e rispondere alle esigenze delle piccole e medie imprese, degli enti pubblici e dei professionisti su come conoscere, comprendere e reagire alle minacce di sicurezza informatica.

Anche iniziative nazionali o comunitarie possono poi portare il loro contributo, se opportunamente veicolate, fino a pervadere tutta la trama produttiva periferica e distribuita. A tal proposito la Comunità Europea sta supportando iniziative di partnership attraverso progetti finanziati dalla Commissione Europea stessa al fine di realizzare e mettere a disposizione di PMI, microimprese, istituzioni locali e singoli cittadini contributi finalizzati all’innalzamento della cyber security.

Sogei in particolare partecipa al progetto CyberKit4SME, che mira a democratizzare un kit di strumenti e metodi di cyber security, che consenta a small and medium enterprises (SME) e micro imprese di aumentare la consapevolezza dei rischi della cyber security, delle vulnerabilità e degli attacchi, monitorare, prevedere e gestire i rischi, applicando misure di sicurezza per gli aspetti organizzativi, umani e tecnici ed infine collaborare e condividere informazioni in uno sforzo collettivo di sicurezza e protezione dei dati.

Il connubio tra le iniziative locali, nazionali e comunitarie, orientate allo sviluppo locale, potrà abilitare un’evoluzione fondamentale per innalzare la resilienza di tutto il Paese e soprattutto potrà soddisfare le legittime aspettative di cittadini e imprese, che potranno avere un’esperienza di e-citizenship e attività produttiva sicura, affidabile, rapida ed efficace.

ULTIMO NUMERO
ARCHIVIO
LE RUBRICHE
COME NASCE IL CAFFÈ DIGITALE
REGISTRATI
Iscriviti alla Newsletter mensile!
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!