L’intervento di Roberto Baldoni, direttore generale dell’Agenzia per la Cybersicurezza nazionale, al CyberTech Europe: “Per la prevenzione ci sono 86 interventi già finanziati nel Pnrr per la pubblica amministrazione centrale con l’ACN attuatore”.
Roberto Baldoni alla platea del CyberTech Europe 2022 ha spiegato l’approccio utilizzato dall’Agenzia per la Cybersicurezza Nazionale (ACN) per incrementare la cybersicurezza ed in particolare la resilienza informatica dell’Italia.
Prima di parlare dell’importanza delle tecnologie trusted e di strategia nazionale, il direttore generale dell’ACN ha posto l’attenzione sul basso livello di consapevolezza in Italia sulla cybersecurity, a partire, a sorpresa, dai manager.
“Secondo il Rapporto Censis”, ha ricordato, “oltre il 40% dei dirigenti non ha avuto una formazione specifica sulla cybersecurity”.
Ma non è solo un problema italiano. “Tutti i Paesi”, ha aggiunto, “sono rimasti indietro sulla formazione relativa alla sicurezza informatica, perché è una necessità esplosa a livello esponenziale visto che tutti i settori hanno avuto una trasformazione forte e profonda”.
Baldoni: “L’Agenzia non risolve i problemi di tutti, ma dà una visione ed indicazioni da seguire con la strategia nazionale”
“Bisogna essere veloci”, ha continuato, “è una sfida che non possiamo delegare. Non è possibile pensare che esiste ora un’Agenzia in Italia e risolve i problemi: serve un cambiamento culturale che deve entrare in ognuno di noi come cittadini, manager di azienda, impiegati, direttori delle Pa”.
Ovviamente, l’ACN sarà l’Autorità nazionale protagonista dell’innalzamento del livello di cyber resilienza delle infrastrutture critiche che erogano servizi e dati essenziali per il Paese.
“Mi auguro”, ha dichiarato Baldoni, “l’Agenzia per la cybersicurezza nazionale diventi un punto di riferimento per il Paese, per il settore pubblico e privato, che definisca la strada che dobbiamo percorrere per essere un Paese più consapevole dal punto di vista della resilienza e dello sviluppo di tecnologie”.
“Il nostro faro”, ha aggiunto, “è il presidente del Consiglio e il fatto di aver collocato l’Agenzia sotto la gestione del premier è rilevante e garanzia di una uniformità sulle politiche che saranno portate avanti”.
Baldoni ha spiegato anche i passaggi chiave che hanno portato alla nascita dell’Agenzia cyber italiana, dopo l’annuncio alla nostra testata del sottosegretario Franco Gabrielli. “È giunto il momento di creare un’agenzia ad hoc per gestire in modo olistico la sicurezza cibernetica, che non può essere più affidata al Dis che deve occuparsi di Intelligence”, aveva detto Gabrielli.
Pnrr, i progetti dell’ACN per rafforzare la Cybersicurezza nella PA. Tra questi l’hyper SOC
L’Agenzia per la Cybersicurezza Nazionale (ACN) è stata istituita con l’approvazione del decreto-legge n.82 del 14 giugno 2021, che ha ridefinito la governance nazionale della cybersicurezza eliminando fino a 25 enti deputati alla cyber a livello nazionale e locale, “perché non hanno gli strumenti per farlo”, ha spiegato Baldoni. E questo ha creato oggi il gap nel settore della cyber resilienza nazionale ed in particolare nel settore pubblico.
“Per la prevenzione ci sono 86 interventi già finanziati nel Pnrr per la pubblica amministrazione centrale. Sta partendo la fase di implementazione in questi giorni”, ha detto il direttore generale dell’ACN. “Ottantasei non sono tanti, ne seguiranno altri con altre call che verranno fatte nel 2023 e a luglio si procederà con una call per la Pa locale”, ha continuato Baldoni. “Questo ha a che fare con l’intervento 1.5 del Pnrr dove l’Agenzia è soggetto attuatore”.
“Tra i progetti di Detection e alerting abbiamo l’hyper Soc”, ha rivelato Baldoni, “un Soc nazionale per prevenire attacchi cyber in anticipo e arrivare ad una qualifica dell’incident responce con gli operatori privati per quando avremo tanti attacchi nello stesso momento”.
“L’obiettivo”, ha raccontato Baldoni oggi, “è gestire il rischio cyber a livello sistemico nel Paese. Questa è la sfida che ci troviamo di fronte”.
E mostrando un “albero” in una slide, ha illustrato i 3 “rami” fondamentali dell’Agenzia per contrastare i cyber attacchi:
- La prevenzione
- Detectioning e alerting
- Incident Response
Da questo punto di vista l’Italia non è partita da zero, ha tenuto a precisare Baldoni, ex vicedirettore del DIS. “È stata particolarmente importante l’esperienza nel DIS svolta dal 2018, perché ha iniziato a creare un coordinamento tra le varie organizzazioni cyber e delle sinergie tra Difesa, Farnesina, Mef, Interno ed Intelligence sulla postura da adottare per le risposte agli attacchi cyber. Tutto questo lo abbiamo riportato nell’Agenzia”.
“Dall’altra parte”, ha sottolineato, “abbiamo il rischio tecnologico, che si associa al rischio energetico, perché, il mercato si è sviluppato con poche grandi attori. E questo è un problema, perché se questi soggetti hanno delle problematiche con i governi a cui sono legati”, il riferimento è a Kaspersky Lab con la Federazione Russa,” possono avere dei comportamenti che possono rappresentare un rischio” per la sicurezza nazionale. Per questo motivo il governo ha messo nella black list della Pubblica amministrazione tre aziende di servizi, software ed hardware legate al Cremlino.
“C’è quindi un problema di tecnologie trusted e trusted supply, che deve essere affrontato”, ha evidenziato il numero 1 dell’ACN, “anche se la guerra cesserà, io spero domattina, perché è chiaro che la guerra cyber non finirà anzi aumenterà. Ci dobbiamo preparare anche a quello che sarà il futuro in questa dimensione”.
“Aumenterà”, ha spiegato, “per questioni di spionaggio, di untrusted…ma la gestione delle tecnologie e dei fornitori trusted non può essere l’unica cosa che un Paese, membro dell’Ue può fare”.
“L’Europa e l’Italia negli ultimi 20 anni hanno dormito”, ha detto Baldoni, senza peli sulla lingua, “perché la migliore tecnologia trusted è quella nazionale e quella europea, ed occorre lavorare in questo senso”.
Abbiamo anche un problema di workforce
Ma non basta lo sviluppo tecnologico. Abbiamo anche un problema di workforce. “Se non c’è la capacità umana, la tecnologia serve a poco”, ha ricordato Baldoni.
Il collante di tutte queste sfide è la consapevolezza. E sia il Governo sia il Parlamento l’hanno raggiunta, dopo un disastroso ritardo, ponendo la cybersicurezza in cima all’agenda politica e approvando prima il perimetro di sicurezza nazionale cibernetica, da un’idea dello stesso prof. Baldoni, e poi dando vita all’Agenzia cyber italiana.
Nell’omologo organismo francese, l’ANSSI, lavorano circa 1000 persone, opera dal 2009 e quello tedesco, il BSI, è stato fondato addirittura nel 1991 e conta su 1200 persone.
“L’Agenzia vuole essere l’enzima che vuole mettere insieme le competenze presenti nelle Università, nei centri di Ricerca e nelle aziende pubbliche e private”, ha promesso Baldoni.
L’Agenzia è nata anche per dare una visione comune nel fronteggiare gli attacchi informatici e con l’imminente pubblicazione della strategia nazionale per la cybersicurezza stabilirà una definizione delle azioni per tutti i soggetti coinvolti nella cyber resilienza dell’Italia.
“La strategia sarà editata dal premier nei prossimi giorni”, ha detto Baldoni.
Il decreto ‘Ucraina’, il CVCN verificherà le tecnologie trusted
Il Centro di Valutazione e Certificazione Nazionale (CVCN) aprirà i suoi battenti, sotto la nostra gestione – ora affidata al Ministero dello Sviluppo Economico – il prossimo primo luglio con un’operatività progressiva: “servirà a controllare le tecnologie trusted usate dai soggetti inseriti nel perimetro di sicurezza nazionale cibernetica e dalle Pa, come previsto dal decreto ‘Ucraina’”.
Guidiamo anche il CSIRT Italia (Computer Security Incident Response Team) e gestiremo anche le certificazioni di cybersicurezza, come previsto dalle norme europee, ha ricordato Baldoni.
Infine, ha concluso il direttore generale dell’Agenzia per la Cybersicurezza Nazionale “avremo anche la rete di LAP (Laboratori di Prova), che avranno come perno il CVCN. Saranno strategici perché noi dobbiamo avere in Italia, a livello governativo, la componente tecnica per analizzare le tecnologie che ci arrivano dall’estero”.
Per approfondire:
L’intervento di Roberto Baldoni (ACN) al CyberTechEurope – 11 maggio 2022 Roma
Videointervista a Roberto Baldoni (direttore generale dell’Agenzia per la Cybersicurezza Nazionale)