“Nei sistemi di telecomunicazione moderni gli aggiornamenti dei software sono molto frequenti e lo saranno sempre di più. Eventuali test di sicurezza effettuati sua sui software che sugli hardware dopo lo sviluppo dei prodotti e prima di essere rilasciati nelle reti commerciali, oltre a non tener conto di questi continui aggiornamenti, sarebbero condizionati dalle innumerevoli configurazioni di rete che ne variano il comportamento reale”. Lo ha evidenziato Antonio Sfameli, responsabile Government & Industry Relations di Ericsson per l’Italia e l’East Europe, in audizione nelle commissioni Affari costituzionali e Trasporti della Camera sul decreto perimetro cibernetico.
Secondo Sfameli per assicurare la sicurezza delle reti 5G “non ci si può quindi affidare solo alla certificazione del software o dell’hardware perché questa creerebbe una falsa mitigazione del rischio, mentre sarebbe più opportuno adottare criteri di conformità alla sicurezza in ogni fase di sviluppo attraverso il security by design, ovvero la sicurezza inserita in ogni fase di realizzazione”.
In merito alla mitigazione e alla gestione degli incidenti e alla loro prevenzione, il manager si è detto favorevole al riferumento a standard e procedure globali. Inoltre andrebbero “aggiunte opportune misure di assessment volte a determinare i tempi di reazione del personale di supporto alla sicurezza. Attraverso test ricorrenti – ha proseguto il rappresentante di Ericsson – andrebbe valutata la propensione alla reattività di persone e sistemi nel riportare gli apparati e i servizi a uno stato verificato”.
Intanto Telia Norway ha scelto Ericsson come unico fornitore di 5G Ran per la sua rete nazionale di prossima generazione in Norvegia.
I prodotti e le soluzioni hardware e software di Ericsson Radio System, che includono anche il 5G New Radio (5G NR), saranno implementati nella rete norvegese. Ericsson modernizzerà anche l’intera rete radio di Telia Norway come parte della transizione verso il 5G, utilizzando anche il software -unico nel suo genere- Ericsson Spectrum Sharing, che consentirà a Telia di condividere il suo spettro tra l’uso del 4G e il 5G.
Cosa prevede il decreto sul perimetro cibernetico
Il decreto recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica è stato licenizato dal Cdm del 18 settembre Sarà la Presidenza del Consiglio e non più l’Agenzia per l’Italia digitale (come nella prima versione che era un ddl) ad occuparsi di svolgere le attività di ispezione e verifica del rispetto dell’adozione delle norme a tutela della sicurezza da parte dei soggetti pubblici, mentre resta al Mise la responsabilità per i soggetti privati.
Il decreto, “considerata la straordinaria necessità ed urgenza” – si legge nel documento – sostituisce il precedente disegno di legge. E fra le maggiori novità c’è il passaggio delle competenze di verifica e controllo alla Presidenza del Consiglio dei ministri, nel ddl affidate all’Agid. Se è vero che non si fa esplicito riferimento al neo-costituito Dipartimento per la Trasformazione digitale, la cui squadra è tutta da fare, è evidente che funzioni convergeranno nella nuova struttura. La Presidenza del Consiglio potrà però avvalersi, è scritto nero su bianco nel nuovo provvedimento, dell’Agenzia per l’Italia digitale. Nessun cambiamento numerico in merito alle assunzioni: 57 le risorse assumibili a tempo indeterminato in seno al Mise, mentre le 10 previste per Agid passano alla Presidenza del Consiglio.
Il Centro di valutazione e certificazione nazionale (Cvcn) istituito presso il Mise può entro 30 giorni imporre condizioni e test di hardware e software.
È fissata a quattro mesi la deadline per individuare le amministrazioni pubbliche, gli enti e gli operatori pubblici e privati che devono entrare a far parte del cosiddetto perimetro cibernetico, a garanzia della sicurezza di reti e servizi considerati “strategici”. Aggiornamento annuale dell’elenco delle reti, dei sistemi informativi e dei servizi informatici. Dieci mesi di tempo per definire le procedure secondo cui i soggetti che fanno capo al perimetro notificano gli incidenti che hanno impatto su reti, sistemi e servizi.
