“Da qui a 10 anni la correlazione tra prosperità economica di una nazione ed il fatto che questa nazione possegga capacità cyber avanzate sarà molto stretta” è questa l’apertura dell’Italian Cyber Security Report 2014 curato dal prof. Roberto Baldoni e da Luca Montanari per conto del Research Center of Cyber Intelligence and Information Security “Sapienza” Università di Roma (Cis) presentato all’Aula magna della Sapienza il 14 gennaio 2015, davanti ad un pubblico ampio e interessato.
Giustamente interessato. Il Rapporto è ben strutturato e chiaro: insiste sulla necessità di creare un ecosistema favorevole allo sviluppo delle competenze e della capacità imprenditoriali, quelle delle Pmi in primo luogo. Ep er la prima volta sviluppa, in collaborazione con l’Agenzia per l’Italia Digitale (Agid), l’indagine quadro sulla situazione nella Pubblica amministrazione italiana: un contributo positivo, di conoscenza, anche a livello europeo. Consapevolezza della minaccia e capacità difensiva della Pubblica Amministrazione, è il sottotitolo del Rapporto, il cui contributo di conoscenza si basa su un questionario inviato insieme ad AGID alle diverse amministrazioni pubbliche e su tre casi studio importanti: Corte dei Conti, Inps, Friuli Venezia Giulia.
Il questionario (circa 60 domande) si concentra sulla misurazione di tre dimensioni: organizzazione, difesa e consapevolezza, destinate a fornire gli indicatori-chiave su cui si basa sia l’analisi dei fattori di successo e di criticità, sia il ricettario dei suggerimenti, con il quale si conclude il Rapporto.
Il campione di amministrazioni cui inviare il questionario, individuato da Agid, ha retto, presentando comunque risultati biased, ossia leggermente distorti, rispetto alla realtà, per la nota propensione a rispondere più volentieri da parte di coloro che si sono dati fare, questione antica dei sondaggi volontari sulla PA. Questo effetto di autoselezione si accentua con le informazioni che si possono trarre dai tre case study, che quindi vanno presi per gli aspetti procedurali ed organizzativi che segnalano.
Nel valutare le risorse utilizzate dalle amministrazioni, la conclusione è che quelle tecnologiche, pur insufficienti, siano comunque sottoutilizzate a causa della carenza di figure professionali in grado di utilizzarle al meglio, per fronteggiare le minacce e gli attacchi alla sicurezza digitale.
In apertura dei lavori il prof Luigi Mancini, vicedirettore del Cis, ha sottolineato come il Centro si stia ponendo come animatore di una rete istituzionale e di ricerca di riferimento sulle questioni della cybersecurity, ricordando i progetti internazionali in cui il Centro è presente Tra questi di particolare rilievo Sunfish, acronimo che non ha a che fare con la pesca, ma con l’obiettivo di integrare risorse private e pubbliche, garantendo un elevato livello di sicurezza. Significativo, Sunfish, anche per la presenza, come riferimento per tutto il gruppo dei partner euuropei, del Ministero dell’Economia, cche potrà utilizzare i risultati al fine di assicurare il delicato passaggio alla propria gestione dell’amministrazione del personale del Ministero degli Interni. E Baldoni, Direttore del Centro, ha introdotto il Rapporto con una rapida panoramica di alcune delle criticità recenti (Ramsonware, offensiva che ha di fatto sequestrato i fila di milioni di utenti, con vere forme di pagamento del riscatto per “liberarli”; Denial of service che ha investito la rete della Sony e di Microsoft; Cyber espionage che avrebbe attaccato, forse non da parte di paesi nemici, la Commissione Europea; e ancora Wiping che ha coinvolto Sony ed il suo archivio multimediale; Cyber2Phiysical, che ha spento uno dei forni di Thyssen passando per la rete commerciale; Dox(x)ing che ha trafugato documenti multimediali personali, tra cui foto di personalità importanti, in violazione della privacy. Questi esempi dimostrano una evoluzione di capacità di intervento, che lavora anche sui big data, per creare dossier individuali anche di persone che non sono esposte individualmente sui social network. In questo momento la sanità americana sembra esposta con particolare intensità a tali attacchi, probabilmente per la grande quantità di informazioni personali disponibili, e il relativamente basso costo o sforzo di accedervi forzando i sistemi.
All’interno dei tre casi di studio: Corte dei Conti, INPS e Regione Friuli Venezia Giulia, l’aspetto più sorprendente mi sembra quello di Corte dei Conti, con la scelta di incidere sull’organizzazione. Come si è visto dal Rapporto, la più grave carenza delle pubbliche amministrazioni consiste proprio nella scarsa attenzione al ridisegno dei processi e all’applicazione dei competenze nuove e adeguate ai temi della cybersecurity della crash recovery e della business continuity. Corte dei Conti,con l’adozione delle metodologie ITILv3, che consentono l’individuazione delle best practice, investe l’organizzazione del lavoro e lo schieramento delle competenze all’interno della classiche fasi Transition e Operation della metodologia ITIL. Diviene in questo modo un riferimento anche per le altre amministrazioni, verso le quali fornisce know how.
Nelle conclusioni Baldoni raccomanda una migliore focalizzazione dell’Agenda Digitale sulla cybersecurity: lamenta l’inerzia sulla riduzione del numero dei data center, per quella che considera la necessaria riduzione della “superficie di attacco”. Ricorda che questa riduzione dei centri operativi è anche una riduzione dei centri di spesa e quindi della spesa. Ma ricorda che questi risparmi si ottengono da investimenti, non da tagli preventivi e raccomanda una visione della cybersecurity come opportunità di sviluppo, sia diretta sia di contesto, come si diceva in apertura di questa nota.
Riassumiamo le raccomandazioni finali, in una rappresentazione:
La Direttrice generale dell’Agid, Alessandra Poggiani, oltre a manifestare soddisfazione per questa prima collaborazione sul Rapporto, ha risposto anche sul punto specifico, sul quale Agid era chiamata in causa direttamente, ricordando che la visione è convergente. L’attenzione puntata sulla qualità dei servizi pubblici on line, propria dell’Agenzia, richiede infatti una maggiore semplicità di accesso, sicurezza e affidabilità dei web services e delle app. Proprio ciò che il Rapporto raccomanda con la creazione di un ecosistema in cui la priorità della cybersecurity possa creare nuove opportunità per competenze professionali, occasioni di lavoro e di investimento, attraverso la riduzione dei rischi che corrono reti, infrastrutture e data base, e attraverso una maggiore affidabilità e qualità dei servizi. Forse non c’è contrasto tra le due visioni. Quanto alla convergenza: lo dimostreranno i fatti.
