15 luglio 2015
E’ ormai diffusamente noto che il tumultuoso sviluppo della cibernetica ha improntato di sé tutto il sistema di funzionamento della vita sociale dei popoli. Il fenomeno è diffusissimo nell’ambito degli Stati più avanzati ma, nel contempo si va imponendo anche nei paesi in via di sviluppo. Si è venuto in tal modo a creare una nuova dimensione in aggiunta a quelle della terra del mare del cielo e dello spazio.
Tale formidabile novità ha rappresentato e rappresenta un grande vantaggio per la guida e lo sviluppo di tutte le attività che riguardano la vita della società dalle strutture deputate a dirigere ogni tipo di rifornimento (acqua, luce, gas, energia) a quelle responsabili del regolare funzionamento dei trasporti, alle telecomunicazioni al funzionamento dei sistemi sanitari, in breve, tutto ciò che costituisce l’ambiente di vita degli esseri viventi è regolato da sistemi cibernetici che costituiscono i gangli di funzionamento di tutta le attività.
Un vantaggio enorme quindi che ha reso più facile più semplice più rapido lo sviluppo delle attività sociali al punto che il mondo di oggi appare completamente diverso da quello di non più di un mezzo secolo addietro. Purtroppo tale enorme vantaggio è accompagnato da un alta vulnerabilità, che caratterizza i sistemi strutturali cibernetici.
Se vivessimo in un mondo dal quale fossero esclusi le cattive intenzioni e i cattivi comportamenti, la vulnerabilità dei sistemi non costituirebbe in alcun modo una precarietà. Nella realtà odierna invece, tale vulnerabilità può essere agevolmente sfruttata da malintenzionati originati dalla criminalità dalla competizione scorretta, da attività di spionaggio, da tutta una serie di iniziative di malware sino a giungere ad attacchi intenzionalmente condotti da entità statali, determinando una vera e propria nuova forma di guerra: la Cyber war.
Infatti nel nuovo spazio che si è venuto a creare, lo spazio cibernetico, chiunque sia malintenzionato dal singolo hacker, a strutture presenti nel mercato del malware ad organizzazioni create nell’ambito di singoli Stati, può condurre nei confronti dei sistemi cibernetici di un ipotetico avversario, una serie di attacchi di carattere istantaneo, la cui origine è difficilmente individuabile e i cui risultati possono determinare bloccaggio di funzionamenti sottrazione di dati segreti, con gravissimi danni procurati a chi è stato colpito.
I responsabili dei Governi dei singoli Stati, debbono individuare il modo di proteggere le strutture della propria nazione, sia nel pubblico che nel privato, adottando una strategia e dei procedimenti d’azione adeguati a questo nuovo tipo di minaccia, al fine di tutelare la sicurezza della società e il suo pacifico sviluppo.
In Italia, l’argomento è stato affrontato dai diversi Governi che si sono succeduti negli ultimi 20 anni per propria iniziativa ed anche a seguito di disposizioni emanate in ambito NATO e Unione Europea. Le diverse iniziative assunte nel tempo, sono spesso state caratterizzate da una certa dose di mancanza di coordinamento, che ha determinato confusione ridondanze difficoltà di interpretazione e definizione di compiti e prerogative nell’ambito degli organi della Pubblica amministrazione.
Finalmente, nel dicembre del 2013, su preciso mandato ricevuto dal Senato della Repubblica, che ha inviato al Governo una mozione con la quale lo invitava a definire con chiarezza il sistema nazionale di protezione cibernetica e di contrasto e difesa nei confronti delle minacce esterne, è stato emanato un DPCM che costituisce oggi un riferimento sicuro per la implementazione di una organizzazione nazionale di contrasto alla minaccia cibernetica e di tutela delle reti pubbliche e private di funzionamento delle diverse attività in ambito nazionale.
Il DPCM, assegna la responsabilità primaria del contrasto al Capo del Governo, sostenuto da un Consiglio interministeriale. La diramazione delle direttive del Presidente del Consiglio, gli elementi organizzativi derivanti e il controllo del funzionamento di tutto il sistema, sono affidati nell’ambito della Presidenza del Consiglio al Dipartimento di intelligence per la sicurezza e al nucleo di sicurezza cibernetica costituito nell’ambito dell’ufficio del Consigliere Militare.
La vera e propria attività di difesa e contrasto nei confronti dei possibili attacchi, è affidata ad una rete di CERT (computer emergency response teams), in particolare il CERT Nazionale costituisce il luogo dei punti di presa di conoscenza e di contrasto dei diversi attacchi di notevole livello di pericolosità portati nei confronti di tutto il Sistema Nazionale. Il CERT Nazionale si avvale della collaborazione del CERT della Pubblica Amministrazione e dei CERT dei Sistemi Privati.
Il CERT della Pubblica Amministrazione, è a sua volta il luogo dei punti di tutti gli attacchi del Sistema Pubblico Nazionale. I CERT dei diversi Ministeri e via via di tutte le strutture Pubbliche discendenti, dovranno costituire la rete di difesa della Pubblica Amministrazione.
Per la difesa delle aree critiche private, il discorso si fa più difficile. Una partecipazione ad un sistema integrato del privato in una organizzazione generale di protezione statale, deve superare legittime reticenze dovute al desiderio di riservatezza e di sicurezza che i diversi protagonisti delle attività private intendono mantenere nei confronti della propria situazione interna del proprio no aut della propria capacità di carattere difensivo.
Il fenomeno non è solo di carattere nazionale è invece comune a tutti gli stati del mondo, al punto che anche in quelli più avanzati, la partecipazione del privato ad una rete nazionale integrata di protezione contro gli attacchi cibernetici, rimane su base volontaria.
In conclusione, mentre il DPCM del Dicembre 2013, costituisce finalmente un punto di riferimento per l’edificazione di un sistema di protezione cibernetica nazionale, rimangono da risolvere molti problemi dovuti in special modo:
-all’esistenza di prerogative e competenze affidate ai vari Enti, con Decreti emanati nel tempo che contrastano con alcune disposizioni dello stesso DPCM, rendono difficile la realizzazione lineare delle sue disposizioni.
-La difficoltà di inserimento in un sistema integrato nazionale nelle strutture di difesa, delle zone critiche nel privato.
-la difficoltà di inserimento del sistema difensivo della miriade di piccole e medie imprese che costituiscono il tessuto industriale fondamentale del sistema Italia e infine la disposizione contenuta nella parte finale del DPCM laddove si afferma “Dal presente Decreto non derivano nuovi oneri a carico del bilancio dello Stato”.
Tale ultima affermazione è incomprensibile e inattuabile. E’ irresponsabile ritenere che sia possibile realizzare un sistema adeguato di protezione della minaccia più pericolosa che si profila all’orizzonte non prevedendo per la realizzazione di un adeguato sistema di difesa nemmeno un euro.
Le risorse debbono invece essere adeguate, e di entità notevole considerata la pericolosità della minaccia. Al fine di non determinare conseguenze negative nell’equilibrio del Sistema Finanziario Nazionale, tali risorse vanno reperite grazie alla riduzione di alcune spese destinate sino ad oggi alla difesa e al contrasto di minacce che nel tempo si sono notevolmente attenuate e non costituiscono più come invece fa la minaccia cibernetica, un pericolo consistente e immediato per la società Nazionale.
Sen. Luigi Ramponi