Photo by Franck Veschi on Unsplash

Cybersecurity, Veiluva (Csi Piemonte): “Caro Governo, investiamo in tecnologie e formazione”

di Enzo Veiluva, responsabile sicurezza ICT, CSI Piemonte – Cantiere Sicurezza digitale

 

Il triennio 2016-2018 sarà probabilmente ricordato negli annali della sicurezza digitale come gli anni della presa di coscienza del cyberischio e della necessità di dare uno scossone al tema della sicurezza e della privacy. Importanti azioni di standardizzazione e di uniformità sono state introdotte infatti dal Parlamento Europeo con il Regolamento sulla Protezione dei Dati Personali (il famigerato GDPR 2016/679) e la Direttiva NIS sulla sicurezza di reti e sistemi informativi. Anche il nostro Paese in questi anni ha cercato di mettere in atto strumenti e politiche per sensibilizzare i cittadini, le aziende e le Pubbliche Amministrazioni su questi temi, anche perché nelle statistiche europee purtroppo l’Italia è uno dei Paesi più colpiti dai malware e dai cryptoloker e anche il rischio cyberterrorismo non deve essere trascurato.

La Direttiva del 1 agosto 2015 enunciata dal Presidente Matteo Renzi era chiarissima:

proseguire con determinazione nell’attuazione degli indirizzi strategici ed operativi identificati, ponendo in essere tutte le linee di azione necessarie sotto il profilo tecnico, organizzativo, procedurale e della collaborazione internazionale, che consentano di assicurare ai nostri cittadini uno spazio cibernetico in cui possano essere esercitate, in una cornice di sicurezza, diritti fondamentali e scambio di conoscenze, intraprese attività economiche ed intessute relazioni sociali, cogliendo così tutte le opportunità offerte dalle nuove tecnologie dell’informazione e della comunicazione.

Da queste frasi hanno preso poi il via ad una serie di operazioni di ampia e complessa rianalisi della situazione sicurezza digitale presente nel nostro Paese, che hanno portato alla predisposizione di due revisioni del Piano nazionale per la protezione cibernetica e la sicurezza informatica,  la diffusione di un Framework nazionale di Cyber security, l’attuazione di misure di sicurezza per la Pubblica Amministrazione e le linee guida di sviluppo del software  da parte di AGID, la decisione di centralizzazione di un CERT unico nazionale, l’avvento di SPID, etc .

Insomma qualcosa in questi anni si è mosso sul tema cybersecurity in Italia. Giudicare se quanto fatto abbia contribuito a incidere a fondo il problema o sia rimasto a livello di superficie o ancora se l’approccio poteva essere diverso non è facile definirlo. Un po’ come quando gioca la nazionale di calcio, dalla nostra poltrona di casa, diventiamo tutti esperti allenatori e non capiamo perché il mister che sta in campo non metta in atto strategie di gioco che per noi “esperti “sono una pura banalità. Non voglio addentrarmi in discorsi di parte, a mio parere vale il detto “nel bene o nel male purché se ne parli”. E sul tema della sicurezza informatica è cosi, bisogna continuare a parlarne per far comprendere i rischi e pericoli seri a cui si può andare incontro, per cominciare a comprendere veramente a tutti i livelli decisionali le azioni concrete da mettere in atto. Le direttive devono iniziare a trovare applicazione pratica nei programmi scolastici sin dalle scuole dell’obbligo, la cultura della sicurezza va insinuata a partire dai nostri giovani che, soprattutto nell’utilizzo dei social network, non comprendono l’importanza della tutela della sicurezza e della privacy. I top manager delle aziende devono sentirsi sempre più coinvolti e partecipi sul tema della sicurezza. Occorre promuovere in modo massiccio tra i dipendenti e gli operatori delle Pubbliche Amministrazioni l’uso responsabile delle tecnologie: abbiamo imparato a non lasciare il PIN del bancomat accanto alla carta di credito, ma qualcuno usa ancora il post-it con le credenziali di accesso sul proprio desktop.

Ma chi forma i formatori? Conosciamo bene la situazione di mancanza di competenze specializzate sui temi della sicurezza informatica e in questi casi l’unica soluzione possibile è quella di unire le forze e cercare di rafforzare il connubio pubblico-privato, già più volte dichiarato. Vanno comunque indentificati dei piani di investimento che possano favorire l’adeguamento tecnologico necessario, perché ad esempio l’obsolescenza tecnologica è il primo grande nemico della sicurezza e la gestione della sicurezza purtroppo non è gratuita. Riuscire a difendersi davvero dal cybercrime, sempre più preparato e con ampie disponibilità economiche, è possibile solo con l’adozione di misure tecniche ed organizzative specifiche. Occorrono investimenti in tecnologia e sviluppo delle competenze. Ma tutto ciò non può derivare solo da azioni del governo centrale. A mio parere le Pubbliche Amministrazioni Locali, le Regioni e i grandi Comuni ad esempio, devono entrare in gioco pesantemente. È necessaria un’azione capillare sul territorio dove gli enti più grandi si affianchino a quelli minori per sviluppare azioni congiunte che coinvolgano i cittadini, le scuole, associazioni i media e le aziende preparate su questi temi, ancora di più di quanto oggi si sta facendo. La strada da percorrere è ancora lunga, ma adesso possiamo dire che almeno dei punti di riferimento sono stati dati, le norme a livello nazionale ed europeo ci sono: bisogna iniziare ad applicarle seriamente, cercando di farle comprendere, cercando di vederne i vantaggi e le opportunità e non solo gli aspetti sanzionatori. Forse con un po’ troppa enfasi e senso di patriottismo, ma il detto “l’Italia è fatta, ora bisogna fare gli Italiani” potrebbe essere di buon auspicio per una speranza di crescita della cybersecurity nel nostro Paese.

 

Foto di Franck Veschi