“È cruciale istituire una struttura di coordinamento nazionale dei Cert, integrata con un Cert internazionale”: lo afferma Gianluigi Castelli, Cio di Eni.
Dottor Castelli, le misure sulla sicurezza delle reti contenute nell’Agenda digitale europea sono in grado di assicurare protezione su scala nazionale e comunitaria?
L’esito delle azioni di contrasto agli attacchi informatici è fortemente legato alla tempestività con la quale una possibile minaccia viene identificata. Il coordinamento tra le fonti informative e l’immediata comunicazione ai possibili soggetti interessati è quindi uno dei principali fattori di successo per prevenire e bloccare possibili attacchi informatici. Considerando la crescente complessità delle metodologie di attacco e l’evoluzione delle motivazioni che spingono le organizzazioni criminali, è fondamentale l’istituzione di una struttura di coordinamento nazionale degli attuali Cert, integrata con un Cert internazionale che sovrintenda al supporto nella gestione dell’incidente, garantendo che siano fatti gli interessi pubblici e incrementando il livello di sicurezza del sistema paese. Questo è tanto più importante per una multinazionale come Eni, che non necessita solo della visione locale ma, soprattutto, di quella globale per gestire al meglio il fenomeno.
Eni rientra tra le aziende più a rischio…
Oggi in Italia operano il Cert-Spc dedicato alle PA e il Cert-Difesa, che fornisce assistenza agli utenti della difesa. Un unico Cert nazionale colmerebbe il gap delle attuali strutture e beneficiando delle rispettive competenze potrebbe mettere a fattor comune con Eni le possibili minacce e le contromisure da adottare, contribuendo alla protezione degli asset critici.
Quanto pesa oggi sui conti di Eni la spesa per mantenere sicure le reti?
Eni considera la protezione degli asset informatici fondamentale per il proprio business e gli investimenti negli anni sono in costante aumento, attestandosi attorno al 5% della spesa informatica complessiva. Inoltre da un paio d’anni abbiamo centralizzato l’attività di sicurezza informatica, creando un team di elevate competenze che presidia tutti gli aspetti di governance, policy, procedure, progettazione, testing e verifica. Un Cert nazionale, definendo standard comuni, potrebbe alleviare gli investimenti nelle fasi alte di scouting e di concezione di metodi e strumenti, oggi in carico alle aziende.
Quali sono le linee guida principali della vostra attività per mantenere sicure le reti di comunicazione e lo scambio di dati?
Eni adotta le principali misure di sicurezza di rete previste dai più autorevoli standard di riferimento, implementando soluzioni leader di mercato. Inoltre specifiche strutture organizzative sono dedicate alla sicurezza informatica per Network Security, Application Security e la Governance delle relative strategie.
Riuscite già a collaborare con altri grandi o piccoli attori del settore, in Italia e all’estero, per scambiarvi informazioni utili?
C’è un costante scambio di informazioni tra Eni e gli altri operatori del settore in modo da diffondere le notizie ufficiali e mettere in atto le misure preventive. Significative le esperienze con la Polizia di Stato e nello specifico con il Cnaipic, e con l’Oil & Gas Benchmark Group, organizzazione privata tra aziende internazionali del settore.
Il governo è chiamato a rendere operativo il Cert nazionale entro la fine dell’anno. Come le pare che ci si stia muovendo su questo piano?
Non abbiamo ancora evidenze dello stato di avanzamento dello start up del Cert Nazionale, né delle considerazioni emerse dal confronto con le principali organizzazioni del settore pubblico e privato.
A.S.
