Parafrasando a tratti la celebre prefazione del libro di Levi “Cristo si è fermato a Eboli” possiamo dire che “Come in un viaggio al principio del tempo, la Cybersecurity nazionale ha fatto il punto a ITASEC21 raccontando la scoperta e riscoperta di una diversa civiltà digitale”: quella degli stakeholder nazionali, dei progetti scientifici e dei vendor tecnologici, delle Startup che, tutti insieme, hanno sviscerato lo stato dell’arte in materia di Cybersecurity. “Questo articolo non è tuttavia un diario; scritto dopo l’esperienza diretta da cui trae origine, quando le impressioni reali non hanno più bisogno della prosastica urgenza del documento”, come giornalista e professionista della materia, ritengono essenziale approfondire quanto avvenuto nella conferenza e quanto manca per chiudere il gap di sicurezza a livello nazionale.
Numeri ed highlight della Conferenza Nazionale
La conferenza italiana di sicurezza informatica ITASEC, che si è svolta per la prima volta quest’anno interamente online a causa delle restrizioni sanitarie, divisa in 52 sessioni e 4 distinte track, ha potuto contare su 1800 partecipanti. I quattro palchi, workshop, stakeholder space, scientific & technical sessions, vendor sessions hanno rispettivamente organizzato 9, 17, 14 e 12 panel, con una presenza media di 80 persone ciascuno.
Fra i keynote speakers Roberto Baldoni, Vicedirettore Generale del Dipartimento delle informazioni per la sicurezza (Dis), ha offerto una panoramica delle misure tecniche e legislative adottate in questi anni per rafforzare la tenuta del “Sistema Paese”. Roberto Viola, già Chairman dello European Radio Spectrum Policy Group (RSPG) e Segretario generale di AGCOM, ha presentato una panoramica degli sforzi compiuti a livello europeo nel sostenere la crescita del settore, con particolare riguardo al ruolo politico e regolatorio che è indispensabile per accrescere la resilienza delle infrastrutture comunitarie. Il Procuratore Aggiunto della Direzione Nazionale Antimafia e Antiterrorismo, Giovanni Russo, ha presentato gli strumenti tecnologici che abilitano quotidianamente il contrasto al terrorismo e alle attività illecite mediante strumenti di analisi e tracciamento. Luciano Floridi, professore di Sociologia della comunicazione all’Università di Bologna, ha trattato il problema della valutazione e della gestione del rischio nella “hyper history”, analizzando aspetti pratici connessi alla conversione dei rischi in costi e sul ruolo del comparto assicurativo in questo scenario. Nunzia Ciardi, Dirigente Superiore della Polizia di Stato e Direttrice del Servizio Polizia Postale e delle Comunicazioni, ha reso una panoramica del modo in cui la pandemia di Covid-19 ha influito sui pericoli cibernetici in Italia, descrivendone l’evoluzione nell’ultimo anno. Lujo Bauer, docente di Scienze informatiche e Computer engineering della Carnegie Mellon University (Pittsburgh, Pennsylvania), è intervenuto sull’impatto degli attacchi agli algoritmi di Machine Learning e sulle dinamiche che modificheranno nei prossimi anni il modo in cui intendiamo la protezione digitale e le stesse modalità di attacco.
Il tema della Cultura e della preparazione degli individui alle minacce di Cybersecurity è stato sottolineato nel panel dedicato alla CyberReadiness.IT, il progetto del Laboratorio Nazionale di Cybersecurity, che mira a fornire metodologie e strumenti utili a misurare l’impatto del fattore umano nella valutazione dei rischi informatici di un’organizzazione.
Spazio anche alle startup nazionali durante il panel dell’Innovation Hub (IH) del CINI che ha organizzato un incontro sul tema della commercializzazione della ricerca e sulle iniziative di supporto, promozione e accesso al finanziamento per le start up, spin off e PMI interessate ad accreditarsi nell’ecosistema Cybersecurity nazionale ed europeo.
Presentato il TeamItaly, la squadra nazionale italiana di hacker etici, classificata seconda alla European Cybersecurity challenge delineando i progressi fatti, nonostante la pandemia, nel perfezionare le tecniche di attacco e difesa degli atleti del Team fra cui ricordiamo il capitano, Andrea Biondo, e l’allenatore Mario Polino.
Inclusività e abbattimento delle barriere di genere nel settore, sono state il tema del working group CyberEquality, che ha presentato un panel sull’argomento. Dajana Cassioli, Professoressa e docente di Ingegneria delle telecomunicazioni all’Università dell’Aquila, con gli altri partecipanti ha promosso una riflessione sulla parità delle condizioni di accesso alle materie STEM e sulle ragioni che maggiormente scoraggiano le donne a intraprendere una strada professionale nel settore dell’informatica e della sicurezza.
Importane anche la sessione formativa per i giornalisti che ha permesso di analizzare i metodi di comunicazione dei data breach e il modo più corretto di affrontarli, sia dal punto di vista del cronista, sia da quello dell’ufficio stampa delle aziende che eventualmente siano cadute vittima di un attacco informatico, fornendo anche elementi utili per migliorare la protezione delle fonti e delle telecomunicazioni.
Paolo Prinetto, direttore del Laboratorio Nazionale di Cybersecurity del CINI ha commentato positivamente il risultato: “Un successo che ci ripaga di ogni sforzo e che dimostra quanto il tema della sicurezza informatica sia sempre più centrale e rilevante per tecnici, accademici, aziende e anche solo persone interessate alla materia, dalle quali abbiamo ricevuto ringraziamenti e feedback positivi”
Ma cosa manca quindi per “stare al Sicuro”?
Molte aziende del Bel Paese non hanno ancora una corretta postura di sicurezza. I dati dell’osservatorio Cybersecurity & Data Protection del Politecnico di Milano evidenziano come tra le PMI, solo il 22% abbia previsto investimenti in sicurezza per il 2021, il 20% delle piccole e medie imprese li aveva previsti, ma ha dovuto ridurre il budget in seguito all’emergenza, infine, un terzo non ha risorse finanziarie da dedicare alla sicurezza e oltre un quarto non è interessato all’argomento. Eppure, sempre secondo lo Studio il 40% delle grandi organizzazioni e il 49% delle PMI ha confermato un incremento degli attacchi informatici subiti, ma mentre le grandi aziende prevedono di arrivare a spendere cumulativamente una cifra fino a 1,37M di euro (un valore di circa 4-5 volte inferiore rispetto a quello dei Paesi più maturi sul fronte della Cybersecurity), le Piccole spendono poco o nulla e restano quindi esposte.
Il principale problema resta quindi quello economico/finanziario. Aiuti economici e fondi a supporto per le imprese e la loro “messa in sicurezza” sembrano più che mai urgenti. In questo senso il nuovo bando Cyber 4.0 del MISE, che finanzia progetti di ricerca industriale e sviluppo sperimentale con obiettivi prioritari in ambito cyber security, rappresenta una iniziativa per stimolare la collaborazione pubblico privata; rappresenta anche un atteso cambio di passo, di rinnovamento culturale e di approccio alla Cybersecurity, considerata come un costo aggiuntivo ancora da molti piccoli imprenditori, in funzione di un rischio di essere potenziali target di attacco, percepito ancora poco o quasi per nulla.
Nell’ultima legge di Bilancio 2021 è stata autorizzata la spesa di 370 milioni di euro per l’anno 2021 relativa al rifinanziamento della “nuova Sabatini”, di cui all’articolo 2, comma 8, del D.L. n. 69/2013, che in sostanza supporta le PMI “all’acquisto, o all’acquisizione in leasing, di beni materiali (macchinari, impianti, beni strumentali d’impresa, attrezzature nuovi di fabbrica e hardware) o immateriali (software e tecnologie digitali) a uso produttivo”. Fra i benefici elencati anche investimenti in Cybersecurity oltre a quelli per “…big data, cloudcomputing, banda ultralarga, robotica avanzata e meccatronica, realtà aumentata, manifattura 4D, Radio frequencyidentification (RFID) e sistemi di tracciamento e pesatura dei rifiuti” (pag 20-21 Dossier sulla Legge di Bilancio).
Ora il tema per le aziende italiane sarà quello di capire il programma “transizione 4.0” per accedere alle forme di sostegno e prioritizzare cosa acquisire in ambito Cybersecurity. (Per approfondimenti sulle voci finanziate a supporto delle impresa si veda anche la guida del MEF sulla Legge di bilancio 2021).
Un altro tema spinoso è quello dello skill gap (o skill shortage) delle competenze di Cybersecurity, che a livello nazionale è ancora troppo esteso. Cybersecurity Ventures ha previsto 3,5 milioni di posizioni di sicurezza informatica non coperte entro il 2021. Con la crisi pandemica e la crisi economica conseguente è certamente necessaria un’accelerazione per colmare il gap, favorendo e stimolando anche le figure femminili verso le discipline STEM e le professionalità della Cybersecurity.
Programmi come la CyberChallenge.IT e la OLiCyber, le prime olimpiadi nazionali per giovani hacker, elogiate durante ITASEC21, possono contribuire a formare i cyberdefender del futuro, ma ancora oggi, questi programmi nazionali non sono finanziati dal Governo, e si reggono sulle sponsorizzazioni di aziende interamente private e dalla buona volontà dei tanti professori universitari coinvolti, come ha ricordato il professor Paolo Prinetto Direttore del Laboratorio Cini Nazionale. Solo per ricordare i numeri, i due programmi nel 2021 sono stati partecipati rispettivamente da 4mila i giovani tra i 16 e i 23 anni di cui selezionati oltre 700 per la formazione da Hacker etici della Cyberchallenge, mentre per le OliCyber sono stati oltre mille i candidati, di cui 250 i giovani hacker selezionati. Forse con un contributo appropriato, la portata di questi programmi potrebbe dare un impulso importante per colmare lo skill gap.
Sul fronte normativo ed in materia di Perimetro di Sicurezza cibernetica (decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133) il gap è costituito dai decreti attuativi ancora in uscita e propedeutici alla piena attuazione delle misure previste, per poi partire da Gennaio 2022 con il set completo. Ricordiamo che il DPCM 1 è relativo alle entità critiche che devono far parte del perimetro di sicurezza, il DPCM 2 riguarda le notifiche degli incidenti di sicurezza, il terzo step avrà la forma di un DPR e regolerà il procurement ICT, mentre il DPCM3 riguarderà l’identificazione delle categorie di prodotti soggetti a screening e il DPCM4 riguarderà l’accreditamento dei laboratori per gli screening tecnici.
Il cammino verso la maturità piena del sistema paese è dunque tracciato a vari livelli, ma in qualche modo come avvenne nel 1861 quando Massimo D’Azeglio pronunciò la storica frase “Fatta l’Italia, bisogna fare gli italiani”, anche sul fronte della Cybersecurity, resta importante “fare degli italiani” un popolo consapevole dei rischi digitali e di sicurezza informatica, accrescendo la loro cultura su questa materia, per renderli consapevoli e culturalmente preparati ad essere i primi difensori della loro stessa sicurezza e di quella delle aziende dove lavorano.
