skip to Main Content

L’Italia blinda la sua cyber security con tre azioni studiate dal CISR

L’Italia Blinda La Sua Cyber Security Con Tre Azioni Studiate Dal CISR

Il vice direttore del DIS per la cyber security, Roberto Baldoni: L’Italia si deve abituare agli attacchi cibernetici, come lo sta facendo qualsiasi altro paese. Dobbiamo mettere su un sistema normativo, contrattualistico e operativo, che ci permetta di minimizzare questo numero di incidenti e di reagire

“Ci dobbiamo abituare ad attacchi, come lo sta facendo qualsiasi altro paese”. Lo ha spiegato il vice direttore del Dipartimento delle Informazioni per la Sicurezza (DIS) per la cyber security, Roberto Baldoni, commentando ufficialmente per la prima volta una recente aggressione cibernetica. Questa è avvenuta contro un operatore di Posta Elettronica Certificata (CPEC) e ha compromesso 98.000 email di persone appartenenti a enti legati al Comitato Interministeriale per la Sicurezza della Repubblica (CISR). “Non siamo né più avanti né più indietro – ha spiegato -. Dobbiamo fare in modo di mettere su un sistema normativo, contrattualistico e operativo, che ci permetta di minimizzare questo numero di incidenti. E quando questo numero di incidenti capiterà, dobbiamo mettere in allerta il sistema, come abbiamo fatto, per rispondere nel più breve tempo possibile”.

Il presidente del Consiglio, nella riunione del Comitato Interministeriale per la Sicurezza della Repubblica (CISR) a giugno, ha dato vita a un gruppo di lavoro ad hoc per studiare un piano rivolto ad aumentare la resilienza dell’Italia ai cyber attacchi. Il CISR tecnico del 19 novembre ha approvato le 3 azioni

“Nella riunione del CISR di giugno il presidente del Consiglio aveva dato vita a un gruppo di lavoro ad hoc per studiare un piano rivolto ad aumentare la resilienza dell’Italia ai cyber attacchi – ha proseguito Baldoni -. Abbiamo un DPCM che ci viene da febbraio 2017, il quale ha organizzato l’architettura. Ma abbiamo bisogno ancora di rendere il sistema più forte. Non è un problema tecnologico, lo sono molto di più quello normativo e contrattuale. Contratti che la Pubblica Amministrazione stipula con aziende che forniscono dei servizi. Il gruppo di lavoro ha sviluppato un piano – ha aggiunto il vice direttore del DIS per la cyber security – e a ottobre ha definito tre azioni, che scaturiscono. Il CISR tecnico del 19 novembre le ha approvate”. Si tratta di tre azioni, che permetteranno al nostro paese di migliorare sia la sicurezza cibernetica sia la resilienza in caso di cyber attacchi.

Le tre azioni per migliorare la cyber security e la resilienza dell’Italia: a livello normativo, contrattuale e operativo. Gli operatori che erogano servizi essenziali per il paese devono aumentare i loro livelli di sicurezza cibernetica

Le tre azioni del piano per l’Italia sono a livello normativo, contrattuale e operativo. Sul primo versante si lavorerà “per la definizione di un perimetro di sicurezza cibernetica nazionale, volto a tutelare la Pubblica Amministrazione, partendo da quella centrale, e in prospettiva gli operatori economici di servizi essenziali da attacchi hacker – ha sottolineato Baldoni -. Ciò attraverso l’adozione di specifiche misure di cyber security. Finora abbiamo vissuto in un mondo in cui o non c’era una parte di sicurezza ben definita  oppure entravamo in quello della sicurezza classificata. Ma questa è forte, porta un impatto economico molto rilevante a quelli che sono gli operatori. Non abbiamo bisogno per tutti di una sicurezza classificata – ha specificato il vice direttore del DIS -. Abbiamo però bisogno per una serie di operatori e pubbliche amministrazioni che erogano servizi essenziali per il funzionamento del Paese di una serie di misure. Che possano alzare i loro livelli di sicurezza. Altrimenti salteremo da un caso a un altro in modo sempre più frequente”.

Baldoni: Sui contratti con alcuni enti della Pubblica Amministrazione, legati alla sicurezza informatica, serve un criterio affinché non si stipulino più sulla base del minimo ribasso

Sul secondo fronte, quello contrattuale, si studiano “misure da inserire nei contratti di procurement di beni e servizi ICT da parte della stazione appaltante. Ciò in funzione del livello di impatto sulla sicurezza nazionale della Pubblica Amministrazione o del bene acquisito – ha proseguito Baldoni -. Dobbiamo far sì che nella sicurezza cibernetica, così importante all’interno di un mondo che si avvia a un discorso di conflitto ibrido (di cui la cyber è uno degli elementi fondamentali insieme a disinformazione e alla parte di acquisizione economica) ci sia un criterio per poter fare in modo che i contratti verso alcune pubbliche amministrazioni avvengano non più sulla base del minimo ribasso”.

Va attivato al più presto un Centro di Valutazione e Certificazione Nazionale italiano (CVCN) che qualifichi e certifichi beni e servizi da utilizzare nelle organizzazioni che offrono servizi essenziali

“Abbiamo bisogno, come definito dal DPCM del 2017, – ha ricordato il vice direttore del DIS parlando dell’azione a livello operativo – di attivare al più presto un Centro di Valutazione e Certificazione Nazionale (CVCN) italiano, che consentirà di qualificare e certificare beni e servizi da utilizzare nelle organizzazioni che offrono servizi essenziali”.

Il vice direttore del DIS: Il mondo è diventato complesso e a breve avremo l’impatto di IoT, AI e blockchain. Dobbiamo saperci difendere, ognuno al proprio livello

“Il mondo è diventato complesso. Stiamo ragionando a livello di trasformazione digitale, che va sempre più in accelerazione – ha concluso Baldoni -. Avremo a breve l’impatto molto forte dell’IoT, dell’AI e delle tecnologie distribuite come la blockchain. Dobbiamo attrezzarci. Nessuno di noi è fuori da questa partita. Siamo il centro della sicurezza nazionale, ma tutti coloro che usano smartphone, computer, ecc…devono sentirsi parte di questo gioco. Anche la protezione della privacy delle informazioni è di fatto la propria cyber security personale. Dobbiamo cercare di fare un salto da un punto di vista educativo, per poter aumentare anche noi i nostri livelli di sicurezza. Dobbiamo saperci difendere, ognuno al proprio livello”.

Il grave cyber attacco che nei giorni scorsi ha colpito la Pubblica Amministrazione in Italia e che ha velocizzato il lavoro del CISR tecnico per approvare le tre azioni

Back To Top