9 giugno 2016
Nel mondo del Cyber nazionale, negli anni recenti, due avvenimenti si prospettano come sicuri pilastri di riferimento normativo, destinato a regolare l’assetto dell’organizzazione della sicurezza: prevenzione, monitoraggio, protezione, reazione di contrasto, resilienza per l’intero sistema cibernetico nazionale.
Il primo risale al gennaio duemila tredici, quando fu emanato il Decreto Ministeriale che ha posto le basi per la definizione di una “Strategia nazionale per la sicurezza dello spazio cibernetico” e del “Piano nazionale per la protezione cibernetica e la sicurezza informatica”, a loro volta, puntualmente messi a punto dalla stessa Presidenza del Consiglio. Nel loro complesso, i tre documenti hanno definito l’organizzazione strutturale, le responsabilità e le procedure da adottare per realizzare un sistema nazionale di sicurezza nei confronti della montante minaccia in campo cibernetico.
Nella sostanza, viene fatta risalire al Presidente del Consiglio ed al Comitato interministeriale per la sicurezza, la responsabilità primaria e la condotta della politica di sicurezza cibernetica, da realizzarsi attraverso l’impegno del DIS, del Nucleo di sicurezza cibernetica e dei Cert Nazionale e della Pubblica Amministrazione, secondo procedure convenute. Il sistema, nel suo complesso dovrà garantire il monitoraggio della situazione generale, la individuazione degli attacchi, grazie alla tempestiva segnalazione di coloro che siano stati colpiti, sia in ambito pubblico che privato, gli interventi conseguenti secondo il principio della sussidiarietà. Il sistema deve basarsi su una rete informatica collegante i diversi centri di responsabilità ai vari livelli.
Le strutture di responsabilità politica e tecnica sono da tempo operanti. Per quanto ha tratto con quelle di carattere prevalentemente tecnico: Nucleo di sicurezza cibernetica, CERT nazionale e CERT della P.A., a malgrado dell’impegno generoso e professionale dello sparuto numero di operatori, il loro funzionamento è ancora pesantemente condizionato dalla inaccettabile mancanza di risorse disponibili, essenziali per garantire il buon funzionamento delle strutture e di tutto il nuovo impianto del sistema che, per legge, è stabilito debba realizzarsi.
La ragione di tale incongruenza è da attribuirsi ad una infelice ed irresponsabile norma, inserita nel Decreto del gennaio duemila tredici, che recita: “dal presente decreto non derivano nuovi oneri a carico del Bilancio dello Stato”.
Tale decisione irresponsabile ha tarpato le ali dello sviluppo realizzativo, di quanto normativamente stabilito ed ha mantenuto in uno stato asfittico la struttura delineata.
Le risorse necessarie, in base ad un primo seppur ipotetico, ma attendibile esame, per garantire la disponibilità di personale e di sistemi informatici, si possono quantificare pari ad un miliardo di euro per un paio d’anni, per la completa realizzazione del sistema e di qualche centinaio di milioni per il funzionamento a regime.
Cifre certamente importanti. Tuttavia, esse riguardano un quattordicesimo della spesa annuale del bilancio del Ministero della Difesa, e, il loro ammontare, è indispensabile per garantire alla Nazione italiana un sistema di difesa nei confronti di una delle due principali minacce che, assieme al terrorismo, incidono sulla sicurezza nazionale. Appare allora logica e conseguenziale la necessità di riqualificare la destinazione di una parte delle spese per la difesa, orientandole al contrasto nei confronti delle minacce: Cibernetica e Terroristica e riducendo l’impegno finanziario per il contrasto a quella convenzionale oggi assai meno pericolosa, senza alcun “aggravio di spesa.” Spero che questo mio auspicio e suggerimento che ormai da un paio di anni vado formulando, inascoltato, possa realizzarsi in un vicino futuro.
Oggi, la speranza ha una seria ragione di esistere, dal momento che all’orizzonte è apparso il secondo pilastro cui facevo accenno all’inizio: la notizia della adozione da parte del Consiglio Europeo della Direttiva NIS sulla Cyber Security, la cui entrata in vigore potrà verificarsi entro un paio d’anni dopo il superamento dei previsti passaggi istituzionali.
In stretta sintesi, la Direttiva prevede la istituzione a livello europeo di un Gruppo di Cooperazione, quale riferimento per ogni singolo Stato, per l’attuazione di quanto stabilito dalla Direttiva e di una Rete collegante: la Commissione Europea (in veste di osservatore), il CERT dell’U.E., ENISA e i CSIRT degli Stati membri.
Obbliga gli Stati a:
- Adottare una strategia nazionale;
- Designare una Autorità nazionale;
- Indicare un Punto di contatto per i rapporti internazionali;
- Costituire i CSIRT(Computer security incident response team);
- Collegare i vari Csirt in una rete di sicurezza cibernetica;
- Sostenere la realizzazione di quanto disposto con l’assegnazione di “adeguate risorse”;
- Garantire la immediata segnalazione, tramite la rete di sicurezza cibernetica nazionale, di tutti gli incidenti di rilievo, da parte degli Operatori dei Servizi Essenziali e da parte dei Fornitori di Servizi Digitali, all’Autorità nazionale;
- Definire le sanzioni da applicare nei confronti di chi non ottempera agli obblighi previsti dalla Direttiva.
A queste si aggiungono numerose altre disposizioni riguardanti i compiti di ciascuna struttura, le procedure di funzionamento, le relazioni ed i tipi di informazione da trasmettere e i relativi tempi di attuazione.
Persone esperte del settore hanno espresso la convinzione che, tutto sommato, la struttura di difesa nazionale delineata dal decreto, dalla strategia e dal piano nazionale, risponda in buona parte agli obblighi delineati dalla Direttiva. Concordo, ma desidero richiamare l’attenzione sulla necessità che da oggi in poi, in attesa dell’entrata in funzione della Direttiva, venga condotto uno sforzo ed un impegno seri, per rendere effettivamente operativi gli organi già previsti, si da consentire un loro facile inserimento nel sistema previsto.
Le due vere grandi novità introdotte dalla Direttiva sono: l’obbligo di segnalazione, da parte di tutti gli aventi causa, degli attacchi subiti, con le relative sanzioni previste per chi non obbedisce e l’obbligo per gli Stati di destinare risorse adeguate per la realizzazione della struttura e il suo funzionamento. Queste due disposizioni che integrano quanto già di buono è stato stabilito in sede nazionale, fanno si che la Direttiva possa considerarsi il secondo fondamentale pilastro normativo, per la realizzazione di un sistema serio di sicurezza cibernetica nazionale. Speriamo che la cogenza europea ci costringa a realizzare il sisteme di sicurezza cibernetica previsto. Il 21 ottobre p.v. presso una sala del Senato, un convegno organizzato dal CESTUDIS, esaminerà a fondo le problematiche relative alla Direttiva.
Sen. Luigi Ramponi