A voler leggere un po’ in controluce il DL 14 giugno 2021, n. 82 che la istituisce, uno spirito polemico potrebbe dire che all’articolo 7, “Funzioni dell’Agenzia per la cybersicurezza nazionale” gli action verb brillano per la loro sporadicità. L’Agenzia “coordina“, “accredita“, “delega“, “supporta“, “promuove“, “stipula accordi”. Ma cosa fa? Ecco gli obiettivi
Nonostante le apparenze, la domanda è tutt’altro che retorica. L’Agenzia per la cybersicurezza nazionale è stata istituita pochi giorni dopo la dichiarazione del ministro Vittorio Colao al Festival dell’Economia di Trento secondo la quale “il 93-95% dei server della PA non sono in condizioni di sicurezza”. Per cominciare, credo che da un ministro della Repubblica ci si potrebbe aspettare una maggiore attenzione ai dati numerici: 93% o 95? E soprattutto, quei server della PA non sono funghi velenosi scoperti per caso nei boschi, ma infrastruttura di cui qualcuno dovrebbe rispondere. Invece, silenzio su tutta la linea.
L’Agenzia per la cybersicurezza nazionale, si cosa si occuperà, esattamente?
Poi, pochi giorni dopo, lo stesso ministro annuncia la neonata Agenzia per la Cybersicurezza. Con la y, perché fa fico e non impegna. Per il profano, un’agenzia per la cibersicurezza si dovrebbe occupare… di cibersicurezza, ma l’agenzia, esattamente, di cosa si occuperà? A giudicare dalla presentazione che ne viene proposta, dovrebbe trattarsi di una specie di unità operativa speciale, una forza di monitoraggio e pronto intervento di controhacker al servizio della giustizia e della sicurezza, in continuo contrasto con gli hacker cattivi che vogliono prendere in ostaggio le nostre infrastrutture digitali o comunque attentare alla nostra sicurezza nazionale.
In quest’ottica ricadono anche i pur doverosi contatti con i servizi di informazione e l’assorbimento dello CSIRT, il Computer Security Incident Response Team già del DIS (Dipartimento informazioni per la Sicurezza) della Presidenza del Consiglio dei Ministri. C’è da sperare che questo assorbimento sia effettivo, cioè includa le persone che dello CSIRT fanno parte da anni. Sarebbe un disastro senza precedenti se, con la scusa della nuova agenzia, l’enorme capitale di competenze dello CSIRT venisse semplicemente riassegnato ad altro incarico. Certamente non sarà così, ma nel nostro Paese non sarebbe niente di nuovo.
Quindi, di nuovo, di cosa si occuperà l’Agenzia? A voler leggere un po’ in controluce il DL 14 giugno 2021, n. 82 che la istituisce, uno spirito polemico potrebbe dire che all’articolo 7, “Funzioni dell’Agenzia per la cybersicurezza nazionale” gli action verb brillano per la loro sporadicità. L’Agenzia “coordina“, “accredita“, “delega“, “supporta“, “promuove“, “stipula accordi”. Ma cosa fa? Le principali azioni positive dell’agenzia sembrano:
- predisporre la strategia nazionale di cybesicurezza.
- accreditare “le strutture specializzate del Ministero della difesa e dell’Interno” perché possano valutare la conformità per il rilascio del certificato europeo di sicurezza cibernetica.
- sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici.
- svolgere attività di ispezione e verifica del perimetro di sicurezza cibernetica.
Di nuovo, tutto punta a una forza di reazione, e imponente, perché la dotazione iniziale di 300 persone, con una crescita prevista fino a 700, ne fa un attore non marginale.
“La cibersicurezza, come ci insegna il decano Bruce Schneier, è un processo, non un atto”
Ma, c’è un ma. L’idea della forza di vigilanza e pronto intervento risponde in pieno all’immagine hollywoodiana da cui il settore della cibersicurezza non riesce ad affrancarsi; tuttavia la cibersicurezza, come ci insegna il decano Bruce Schneier, è un processo, non un atto. E i processi sono cose articolate che tendono a essere poco glamour. I Rambo della rete catturano la fantasia, ma tutta la parte meno glamour della cibersicurezza resta fuori: tutti i noiosi controlli a monte, tutte le checklist, tutte le noiosissime quotidiane procedure operative che fanno in modo che 9 volte su 10 il Rambo non serva.
Chi si occuperà di diffondere la cultura della cibersicurezza?
Se l’Agenzia si limiterà ad un ruolo puramente reattivo, chi si occuperà di ripescare quel 93-95% di server della pubblica amministrazione dal loro attuale stato di non sicurezza? Chi farà in modo che i dirigenti responsabili vengano sostituiti o, almeno adeguatamente formati? Chi, soprattutto, farà in modo che le cose cambino e che si diffonda la cultura della cibersicurezza, quella che segue l’acquisto del tool di moda, la tediosa pratica quotidiana, i mille e mille controlli che devono essere ripetuti ogni volta perché un sistema rimanga sicuro?
Ci sono in gioco due forze contrapposte: da un lato, l’industria della cibersicurezza: strumenti ed esperti sostenuti dal paradigma hollywoodiano e da ingenti interessi economici; dall’altro, la cultura della cibersicurezza, sostenuta da assolutamente niente se non dalla propria inevitabile necessità, riscoperta puntualmente post facto dopo ogni incidente.
Espunto un paragrafo fondamentale, secondo il quale l’Agenzia avrebbe dovuto redigere linee-guida
Purtroppo, un paragrafo fondamentale, secondo il quale l’Agenzia avrebbe dovuto redigere linee-guida, è stato espunto in bozza. Perché questo è cruciale? Facciamo un’analogia: cosa rende sicura la guida? Vediamo, in ordine di importanza:
- regole condivise (il Codice della Strada)
- il fatto che alla guida ci siano persone certificate (la patente)
- la manutenzione delle strade e degli autoveicoli, entrambe obbligatorie per legge
- la segnaletica orizzontale e verticale
- i limiti di velocità
- airbag e carrozzerie ad assorbimento energetico
- la Polizia Stradale.
E’ importante notare che, data tutte queste cose, le strade sono sicure anche in assenza di pattuglie, mentre il contrario non vale.
A me sembra che il legislatore possa essersi lasciato abbagliare dalla narrazione hollywoodiana, tutta high-tech e azione, trascurando il ruolo fondamentale della routine e della cultura operativa.
Senza azioni positive di promozione della cultura della cibersicurezza, né 300 né 700 persone all’Agenzia potranno tenere in sicurezza l’ambito perimetro strategico nazionale, meno che meno diffondere la sicurezza nel nostro tessuto industriale considerato non strategico (ma ugualmente vitale per l’economia).
I prossimi mesi ci diranno se i nostri timori sono fondati.
L’autore: Walter Vannini – Auditor e consulente GDPR, e podcaster dataKnightmare – L’algoritimico è politico