Lo scorso 18 maggio il Consiglio dei ministri ha approvato la nuova Strategia nazionale di cybersicurezza 2022-2026 e lo schema di decreto del presidente del Consiglio dei ministri in materia di Perimetro di sicurezza nazionale cibernetica. Due provvedimenti importanti che mirano a rafforzare la cyber-resilienza nella transizione digitale del Paese, a conseguire l’auspicata autonomia strategica e a chiudere il cerchio rispetto alla definizione del perimetro nazionale di sicurezza cibernetica, comprendente enti e aziende pubbliche e private che svolgono funzioni “essenziali”. In attesa della pubblicazione dei documenti completi, vediamo quali dettagli sono stati resi noti.
LA STRATEGIA PER LA CYBERSICUREZZA NAZIONALE
Più volte evocata dall’autorità delegata per la sicurezza della Repubblica Franco Gabrielli e dal direttore dell’Agenzia per la cybersicurezza nazionale Roberto Baldoni, la strategia è stata approvata a margine del Comitato interministeriale per la cybersicurezza (Cic), insieme all’annesso Piano di implementazione. Nel dettaglio, la Strategia è finalizzata a conseguire l’autonomia strategica nella dimensione cyber, ad anticipare la gestione delle minacce e a contrastare le crisi cibernetiche e la disinformazione online. Secondo quanto anticipato dal direttore Baldoni qualche settimana fa, sarà composta da 85 obiettivi da raggiungere entro il 2026, dunque verrà fortemente ancorata al Piano nazionale di ripresa e resilienza (Pnrr).
La sua implementazione e il raggiungimento degli obiettivi in essa contenuti saranno in capo all’Agenzia per la cybersicurezza nazionale. Il target primario è recuperare il ritardo accumulato rispetto agli altri grandi Paesi europei in termini di protezione delle infrastrutture critiche dalle possibili minacce informatiche. In questo quadro, lo scorso 12 maggio è stata pubblicata da parte del Computer security incident response team (Csirt) anche l’analisi delle vulnerabilità che dovrebbero essere risolte con urgenza e in via prioritaria da parte degli operatori più esposti (inclusi i gestori di infrastrutture critiche). Nel dettaglio, su un totale di oltre 170.000 CVE (Common Vulnerabilities and Exposures) note a partire dal 1999, sono state evidenziate 71 vulnerabilità su cui bisogna al più presto lavorare.
IL QUARTO DECRETO SUL PERIMETRO CYBER
L’approvazione dell’ultimo decreto del presidente del Consiglio dei ministri sul perimetro di sicurezza cibernetica è avvenuta anche considerando l’urgente necessità che gli operatori di servizi “essenziali” si mettano al riparo dai rischi informatici. Secondo quanto reso noto dall’agenzia, il provvedimento è finalizzato a stabilire i criteri per l’accreditamento dei laboratori di prova di cui può avvalersi il Centro di valutazione e certificazione nazionale (che passa dal ministero dello Sviluppo economico alla nuova autorità) per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità già note. Allo stesso modo, i lavoratori verificheranno i collegamenti, i contenuti, le modalità e i termini delle comunicazioni tra il centro e i laboratori, e quelli tra il centro e i Centri di valutazione (Cv) del ministero dell’Interno e del ministero della Difesa.
A tal proposito, si osserva come già dalla pubblicazione delle offerte di lavoro (i profili ricercati dall’agenzia), la specializzazione nei Common Criteria delle professionalità da assumere faceva intendere quale fosse la direzione intrapresa per la conduzione dei test di sicurezza. Nell’immediato futuro occorrerà capire come la stessa agenzia riuscirà a trovare la quadra tra la necessità di garantire la sicurezza e le esigenze degli operatori di mercato, giacché lo schema classico di approvazione delle certificazioni con i Common Criteria può richiedere fino a 18 mesi.
LA QUESTIONE DELLE COMPETENZE
Proprio le competenze nell’ambito informatico e della cybersecurity costituiscono il nodo principale e in parte il tallone d’Achille su cui occorrerà lavorare maggiormente. Secondo il direttore Roberto Baldoni, “siamo 30 anni indietro rispetto alla Germania e 15 rispetto alla Francia […] abbiamo i giovani su cui contare, cerchiamo di recuperare con altissima velocità […] Per le persone che vengono dall’estero significa avere uno sgravio Irpef del 70%”.
Se da un lato, l’ultimo rapporto Asstel mostrava come le competenze in cybersecurity fossero le più ricercate in ambito Ict, dall’altro, i dati sulla “produzione” di tali competenze da parte delle nostre università non lasciano grandissimi margini di ottimismo. Nel 2020 si stimavano solo 5.100 nuovi laureati all’anno nelle discipline Ict, con significativi squilibri tra domanda e offerta. Tutto ciò in un contesto dove tali competenze già scarseggiano: nel 2020 gli specialisti Ict italiani erano appena il 3,6% del totale degli occupati, a fronte di un corrispondente 4,3% medio nell’Unione europea.
Da una ricognizione condotta da I-Com sugli insegnamenti in cybersecurity offerti dalle università italiane emerge come in Italia ci siano oltre 70 corsi di formazione universitaria inerenti la cybersicurezza e la sicurezza informatica in senso lato. Tuttavia, la maggior parte dell’offerta formativa su questi temi si compone di insegnamenti singoli all’interno di corsi di laurea più generici, mentre sono estremamente carenti le lauree specifiche (le lauree triennali su tali materie, in particolare, sono pressoché inesistenti). Al contrario, si osserva favorevolmente come siano stati attivati numerosi master, per lo più sostenuti da partnership con aziende private, a indicare un forte interessamento su tali temi sia da parte degli studenti, per i quali sembra esserci consapevolezza del valore aggiunto derivante dall’acquisizione di tali conoscenze specifiche, sia da parte del mondo del lavoro.
COME COLMARE IL RITARDO NELL’IMMEDIATO?
L’Agenzia per la Cybersicurezza ha avviato due progetti – intelligenza artificiale e incident response – che comprendono l’impiego di nuove risorse, rispettivamente 300 nel 2023 e 800 nel 2028. Queste nuove leve contribuiranno a rafforzare l’azione di analisi, prevenzione e risposta agli attacchi cyber del Paese. A corredo, la strategia prevede l’intensificazione dell’utilizzo di nuove tecnologie di intelligenza artificiale per l’analisi e la prevenzione di minacce e vulnerabilità. Sostanzialmente si tratta di utilizzare queste nuove tecnologie per prevedere le possibili minacce e innalzare il livello di analisi e condivisione degli incidenti già avvenuti, in modo da giocare d’anticipo sui possibili attacchi.