Alla ricerca di un Cert di gravità permanente

38

UE – Bruxelles. La Commissione Europea sollecita: «Tutti gli Stati membri dovranno allestire, entro il 2013, i loro Cert (Computer Emergency Responce Team) nazionali, finalizzati al miglioramento dello stato di sicurezza di internet».

L’ Unione Europea, nel 2009, aveva presentato un programma dal titolo Proteggere le infrastrutture critiche informatizzate, come conseguenza di un violento attacco cibernetico lanciato un anno e mezzo addietro dall’Estonia. La Commissione aveva quindi deciso di istituire una rete comunitaria di sicurezza informatica , temprando una “governance europea”, a patto che gli Stati membri avessero creato ed ufficializzato entro il 2010 il proprio team di esperti, come risposta alle emergenze informatiche. Molti Paesi erano già provvisti di squadre specializzate, altri hanno immediatamente provveduto, lasciando una lista semivuota di Paesi inadempienti, tra i quali spiccano: Italia, Cipro e Malta; secondo l’Enisa, l’Agenzia Europea per la sicurezza delle reti e dell’informazione, i tre stanno mettendo a punto le ultime formalità prima di ufficializzare i propri team. 

L’Italia resterebbe quindi l’unico ed ultimo Paese Ue a non essere dotato di Cert nazionale, nonostante la Commissione, nel corso di questi anni, abbia più e più volte sollecitato lo Stato.

Gli obiettivi e le funzioni dei Cert sono molteplici: fornire consigli tecnici, coordinare le reazioni agli incidenti di sicurezza, cercare di scoprire le attività dell’intruso, analizzare le vulnerabilità di un prodotto, diffondendo tutte le informazioni all’intera comunità e pubblicando documenti tecnici. La Commissione punta infatti a creare e sviluppare un vero e proprio sodalizio tra le diverse squadre nazionali e il Cert-Eu, il team internazionale incaricato di presiedere ad una maggiore armonizzazione tra i diversi modus operandi dei singoli Paesi, rendendo meno frammentaria e confusa la situazione.

Attualmente, in Italia operano il Cert-Spc (come protezione per la Pubblica Amministrazione) ed il Cert-Difesa : due organi differenti che non garantiscono tuttavia efficienza e sicurezza, a causa della loro “limitata” visione. 

«È fondamentale istituire una struttura di coordinamento nazionale degli attuali Cert, integrata con un Cert internazionale che diriga e controlli, in maniera tempestiva, la gestione dell’incidente, incrementando, di conseguenza, la sicurezza del sistema Paese» afferma, durante un’intervista, Gianluigi Castelli (Chief Information Officer di Eni). «Questo è tanto più importante per una multinazionale come Eni, che necessità di uno spettro di sorveglianza non solo locale, ma anche globale» prosegue Castelli «Eni è infatti una delle aziende più a rischio da attacchi virtuali».

L’impresa energetica considera la protezione degli asset informatici fondamentale per il proprio business e gli investimenti negli anni sono in costante aumento, certificando il 5% della spesa informatica complessiva. Eni, infatti, adotta le principali misure di sicurezza di rete previste dai più autorevoli standard di riferimento, implementando soluzioni leader di mercato. 

La cultura della sicurezza informatica, tuttavia, tarda a svilupparsi nel nostro Paese.

Il Cert italiano non è ancora operativo e difficilmente il governo riuscirà a rispettare la data di scadenza fissata alla fine del 2012 e stabilita dalla Commissione europea. Intrusioni ed attacchi informatici devono essere contrastati e bloccati in maniera tempestiva e rapida, il ritardo italiano potrebbe infatti arrecare danni a tutto il sistema di sicurezza di rete europeo. 

Molti servizi, dai trasporti alla finanza, dipendono sempre più dal corretto funzionamento di strumenti di informazione e comunicazione tecnologica, è bene quindi garantirne un utilizzo sicuro ed efficiente.

Un impulso maggiore alla nascita del Cert nazionale potrebbe giungere dall’Agenzia Digitale, nuovo ente per l’innovazione italiana, a cui è stato affidato il compito di guidare la Pubblica Amministrazione verso l’informatizzazione ed il digitale. 

«Ho intenzione di fare dell’Agenzia per l’Italia digitale uno strumento di sviluppo industriale per il Paese, spingendo sulla realizzazione di nuove reti» spiega Agostino Ragosa, direttore dell’Agenzia italiana e prosegue: «Per sviluppare un nuovo modello industriale, l’Agenzia ha bisogno dell’aiuto e del sostegno delle grandi multinazionali dell’It  e di tutte quelle aziende italiane in grado di creare centri di competenza volti a sostenere le pubbliche amministrazioni nell’utilizzare in maniera dinamica ed efficiente le tecnologie».

L’Agenzia, inoltre, collaborerà con il governo per presentare, ogni anno entro il 30 giugno, una relazione sullo stato di avanzamento e sviluppo complessivo del Paese.

Sebbene non disponga ancora di una strategia nazionale di Cyber Security, l’Italia inizia ad organizzare e ad armonizzare quel pozzo di esperienze e competenze, sviluppatosi per iniziativa e a spese dei privati.

Il Cert nazionale verrà localizzato presso il Ministero per lo Sviluppo economico. Sono già stati individuati i servizi da erogare, sedi e risorse umane, studiati i modelli organizzativi e la logistica. Pubblico e privati collaboreranno, stipulando convenzioni, accordi di mutuo supporto e protocolli d’intesa.

Il Cert diventerà il centro di eccellenza per la sicurezza informatica  in Italia, selezionerà i migliori esperti, approfittando anche delle competenze più avanzate nel panorama europeo. Custodirà e fornirà informazioni in tempo reale per prevenire minacce che potrebbero danneggiare i cittadini,le imprese e le infrastrutture, fornendo inoltre supporto tecnico per gestire le più svariate emergenze. Rappresenterà l’Italia nelle cooperazioni con gli altri Cert dell’Unione Europea e con le autorità nazionali ed internazionali del settore informatico, dando vita a procedure complesse e standardizzate di coordinamento.

Nel frattempo, l’Unione Euopea sta sviluppando un’agenda digitale e uno degli obiettivi maggiori è la cybersecurity. A dirigere le operazioni il Cert-EU, l’organo è diventato permanente da settembre ed è diretto da Freddy Dezeure. Il Cert internazionale sta migliorando ed estendendo i proprio servizi, reclutando altro personale specializzato e sviluppando partnership con aziende, organizzazioni specializzate e altri Cert, scambiando con questi informazioni utili e risorse stabili e solide. Ad oggi, il Cert- EU può vantare relazioni con la maggior parte degli altri team europei, con il Cert NATO e con il Cert degli Stati Uniti, utilizzando e migliorando alcune delle loro pratiche.

Rapidità e tempestività saranno gli elementi principali per risolvere in tempo reale e prevenire nel futuro  possibili incidenti. È prevista, inoltre, una proposta di legge che fisserà un alto livello di sicurezza per la rete e tutte le informazioni; gli Stati membri dovranno quindi cooperare tra loro per assicurare il buon funzionamento del mercato interno. Alcuni erogatori di servizi (banche, trasporti, salute, energia e pubblica amministrazione) avranno l’obbligo di riferire su possibili incidenti ed adottare un protocollo standardizzato di gestione del rischio.

Lo scambio di informazioni tra pubblici e privati è ancora minimo.

Bisogna creare una visione d’insieme: ad oggi, nello spazio virtuale ogni organizzazione è responsabile della propria sicurezza, i Governi e la Difesa non sono in grado di proteggere le reti delle imprese private, rendendo l’attività di prevenzione e protezione da attacchi carente e l’organizzazione stessa vulnerabile. Inoltre, le spese ed i costi, derivati da possibili attacchi o intrusioni, che l’azienda deve sostenere  autonomamente sono elevati. È indispensabile, quindi, creare e sviluppare Partnership Pubblico Private (Ppp): questi rapporti di collaborazione migliorerebbero la capacità di difesa e risposta alle minacce, permettendo agli utenti del cyber space di condividere dati in maniera sicura e stabile.

Gli Stati membri dell’Unione Europea sono invitati ad aderire, entro il 2013, ad una Rete Europea di scambio delle informazioni, meglio conosciuta come Eisas  (European Information Sharing and Alerting System). Tuttavia, da quasi tre anni, è attiva e funzionante  l’European Electronic Crime Task Force: il progetto, che vede impegnate realtà private e pubbliche, è nato grazie alla collaborazione tra Poste Italiane, l’US Secret Service e la Polizia Postale.

Una nuova politica europea, riguardante la cybersecurity, sta quindi prendendo forma e colore:questa strategia avrà il compito e l’onere di implementare la resistenza della rete e dei sistemi di informazione , rendendo più funzionali e sicuri i servizi Ict, ma soprattutto stimolando la competitività dell’industria europea dell’Ict (ulteriore spinta alla modernizzazione e digitalizzazione dei singoli Paesi).