Il prof. Roberto Baldoni è, con Luca Montanari, curatore dell’Italian Cyber Security Report. Un Framework Nazionale per la Cyber Security, del Research Center of Cyber Intelligence and Information Security dell’Università La Sapienza di Roma (CIS Sapienza), del Laboratorio Nazionale CINI di Cyber Security Consorzio Interuniversitario Nazionale per l’Informatica. Il Framework è stato presentato a Roma il 4 febbraio in Aula Magna della Università La Sapienza.
Le aspettative degli operatori sul tema sono alte, come ha testimoniato la presenza di oltre 600 persone, con responsabili ed esperti nazionali ed internazionali, come Il sottosegretario Marco Minniti, Sottosegretario a capo dell’Autorità delegata per la sicurezza della Repubblica e Adam Sedgewick, NIST senior information technology policy advisor, uno dei promotori del Framework americano.
Prof. Baldoni come definirebbe il Framework, uno strumento di lavoro o un metodo per cooperare tra soggetti pubblici e aziende?
Il Framework è, in primo luogo, una forma innovativa di collaborazione pubblico-privato. Uno di quegli strumenti che rientrano nell’acronimo PPP (Public-Private-Partnership) così caro alla politica europea e così difficile da realizzare in modo efficace. Credo, senza troppa prosopopea, che ci siamo riusciti. Ciò è dovuto sia all’impegno dei soggetti pubblici e privati che si sono confrontati per 9 mesi intorno al tavolo del Framework, sia perché i tempi sono maturi: l’esigenza di affrontare le minacce alla cybersecurity sono diventate concrete e dannose, anche nella percezione di coloro che fino ad oggi si sentivano protetti. Hanno collaborato le maggiori aziende italiane e le maggiori organizzazioni pubbliche che si occupano di cybersecurity, guidate dall’università Abbiamo prodotto un documento importante in 9 mesi di lavoro stringendo un rapporto di collaborazione con la l’Istituto USA per gli Standard e le Tecnologie (NIST). Ci sono stati oltre 500 emendamenti anche molto significativi che abbiamo raccolto durante il periodo di consultazione aperta sul draft del documento, e oggi possiamo dire che il documento è una vera base per costruire la cybersecurity nel nostro paese. Gli accademici, che pure hanno mille difetti, hanno però una consolidata abitudine a ragionare, a muoversi, a lavorare su scala ed in una rete internazionale. Sono abituati a collaborare a livello internazionale, e sono abituati a lavorare come nel privato con le deadline: da qui la velocità che abbiamo potuto imporre anche al pubblico. Il Framework è uno strumento, ma per come è stato costruito, può diventare una piattaforma evoluta per la ricerca e i servizi. Allineata con l’architettura nazionale cyber, questa piattaforma si può liberare dai condizionamenti del pubblico.
Vi siete ispirati al lavoro fatto dal NIST americano, un punto di riferimento che ha sempre operato per affermare standard in modo che le industrie fossero più competitive e internazionalizzate?
Il riferimento al mondo industriale e al privato in generale è fondamentale per la realizzazione del Framework e soprattutto per la sua vitalità. Non dimentichiamo che il Framework esiste se si trasforma e si adatta alla realtà, alla tecnologia, agli interessi specifici delle imprese e dei diversi settori. Abbiamo voluto realizzare uno strumento non rivolto solo alle aziende ICT, ma a tutte quelle aziende che hanno da perdere nella guerra cyber: dalla Barilla, alla Ferrero, dalla Luxottica alla Fincantieri alla Bracco, in poche parole ci siamo rivolti all’industria italiana. In questo andiamo anche oltre l’esperienza del NIST. E siamo andati ancora più in là, considerando che il NIST si ferma alle infrastrutture critiche, siamo andati in direzione delle PMI, che sono la struttura portante dell’economia italiana.
L’intendimento è che nel settore farmaceutico il Framework venga adattato ai processi, ai rischi specifici del settore e di quel tipo di aziende e di mercato.
Il Framework è un thesaurus della cybersecurity, o meglio un linguaggio condiviso basato su 98 regole: solo alcune possono esser interessanti alla farmaceutica, ad esempio solo 70. Quelle rilevanti devono essere individuate nell’esperienza specifica del settore che le vuole utilizzare. Il Framework lo metto in mano all’associazione di categoria del tessile , dove solo 60 regole sono rilevanti. E ogni azienda del settore verifica se quelle regole sono una priorità alta, media o bassa. Una azienda le deve applicare al livello di maturità che ritiene il suo. La valutazione è fatta a livello tecnico ma la scelta di implementazione è politica e quindi deve poter esser comprensibile per chi deve deliberare a livello massimo. La diffusione della lingua comune del Framework semplificherà le interazioni tra aziende e settori: chi rimane indietro potrà imitare o anche copiare facilmente le regole del settore che meglio si adattano, generando una accelerazione del sistema paese.
Non è chiaro, nel Framework che proponete per l’Italia, chi sia il responsabile della creazione e dell’affermazione del Framework stesso. Negli USA si è mosso Obama incaricando il NIST, secondo quegli indirizzi chiari e semplici della tradizione americana. In Italia come avverrebbe?
Innanzitutto il Framework, se è uno strumento vivo, si autoalimenta. Un esempio. Poniamo che l’azienda X segua il processo di duty of care ossia di impegno doveroso nell’applicazione delle regole del Framework. In caso di danni derivanti da un attacco alla sua sicurezza, questo suo impegno alleggerisce la sua posizione in caso di di contenzioso giuridico: Quindi il mercato è un driver fondamentale per spingere all’adozione del Framework. Questo mercato crea una domanda di competenze che si sviluppa, sia dentro alle aziende che stanno evolvendo verso sistemi e processi più sicuri, sia nell’offerta dei servizi di sicurezza, e tra questi servizi uno centrale è quello delle assicurazioni. Nel discorso tenuto dal Presidente Obama la scorsa settimana, scopriamo che gli USA investiranno 4 miliardi di $ per insegnare nell’università informatica. Droni, Robot, IOT, big Data stravolgeranno i mestieri e il mercato del lavoro e lo faranno a velocità accelerata. La crescita di questi mercati avviene ponendo esigenze di sicurezza che sono molto elevate. Dobbiamo mobilitare le persone e anche i politici a capire come muoversi e, modestamente, con il Framework stiamo mettendo nelle mani del governo un lavoro di collaborazione privato pubblico, in cui il ruolo dello stato è fondamentale. Speriamo che lo stato ed il governo contribuiscano, come hanno fatto durante i lavori di predisposizione del Framework, a tenerlo vivo. Sarebbe un formidabile acceleratore della parte di Agenda Digitale che, a livello nazionale e non solo, pone l’esigenza sullo sviluppo della cybersecurity.