È questo il messaggio più politico emerso, per bocca di Paolo Prinetto, professore del Politecnico di Torino e presidente del Laboratorio nazionale di cybersecurity, espressione del Consorzio Interuniversitario Nazionale per l’Informatica (CINI), nel corso della presentazione del libro bianco «Il futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici».
Siamo al Politecnico di Milano per l’Itasec18, la seconda conferenza nazionale sulla sicurezza informatica organizzata proprio dal Laboratorio del CINI con l’obiettivo di riunire professionisti del mondo accademico, industriale e governativo. Come dire: i nostri «stati generali» sulla cybersicurezza.
«Per tecnologie strategiche ė necessario dotarsi di strumenti per la verifica sul software e l’hardware; ed essere in grado di assumerne pieno controllo», ha proseguito Prinetto. In tempi di hacker statali, tecnologie delicate e invasive, timori di interferenze da intelligence straniere, attacchi che colpiscono strutture strategiche nazionali, ma anche guerre commerciali sul fronte tecnologico e non solo tra Usa, Russia e Cina, anche l’Italia cerca di posizionarsi.
O quanto meno di avviare una riflessione sulla capacità anche statale e governativa di utilizzare tecnologie che non rischino di essere opache o fuori dal proprio controllo. Tanto da evocare a un certo punto perfino un cloud nazionale, per ora però apparentemente ancora una prospettiva indistinta e che non convince, come vedremo, tutti gli addetti ai lavori presenti.
Il libro bianco sulla cybersicurezza e un piano straordinario
Non ė l’unico messaggio uscito dal primo giorno di Itasec18. Ci sono infatti alcune raccomandazioni stilate dai 120 ricercatori di 40 diversi istituti e centri che hanno partecipato alla redazione del libro bianco, per rispondere alla sfida della trasformazione digitale in un’ottica di sicurezza. Tra queste l’accento è posto sulla formazione. Preoccupano infatti l’emigrazione di professionalità oltre che la scarsità di insegnanti. «Pochi i docenti in Italia in grado di insegnare cybersicurezza, pochi i percorsi formativi», ha ammonito Prinetto.
Di qui la necessità di attivare nuovi corsi ma soprattutto di un piano straordinario per l’assunzione di ricercatori e professori universitari del settore, per la diffusione di competenze, per il reclutamento di talenti e anche più banalmente per l’attuazione dello stesso «Piano nazionale per la protezione cibernetica e la sicurezza informatica» varato dal governo lo scorso maggio, che prevede la creazione, fra le altre cose, di un Centro nazionale di ricerca e sviluppo in cybersecurity; un centro nazionale di crittografie; fondi per le startup… Insomma, non proprio bruscolini.
Ma gli autori del libro bianco si spingono anche oltre e delineano una visione ancor più ambiziosa, articolata in molteplici centri di ricerca, sia tematici che territoriali, in grado di diffondere conoscenze e supporto alle imprese e alla PA in modo capillare. E ancora, come ha sottolineato Donatella Sciuto, prorettore del Politecnico di Milano, la necessità di creare una cultura della resilienza digitale che non sia solo tecnologica ma che tenga conto del fattore umano, anello debole di ogni catena di sicurezza.
Dove stanno i soldi?
Una visione che però, va detto, richiede sostanziose risorse finanziarie, il convitato di pietra del convegno, dato che fino ad oggi tali risorse ancora scarseggiano. Né è chiaro quante ne arriveranno in futuro. Per ora stiamo ancora ai 150 milioni di euro stanziati dalla Legge di stabilità del 2016 (15 milioni alla Polizia Postale e 135 al Sistema di informazione per la sicurezza ovvero i servizi, di cui però si sa poco e niente).
«Certamente vi sono alcuni Paesi che già stanno investendo molto di più», commenta diplomatico Rocco De Nicola, dell’IMT School for Advanced Studies di Lucca, nonché tra i curatori del volume insieme a Prinetto e a Roberto Baldoni, professore della Sapienza di Roma da poco nominato vicedirettore generale del DIS, (l’organo di coordinamento dei nostri servizi) con delega alla cybersecurity.
Un ruolo di coordinamento per cui in passato era stata ventilata la nomina di Marco Carrai, imprenditore vicino a Matteo Renzi e che è stato infine affidato a un accademico. Baldoni, professore di Sistemi distribuiti e direttore del Centro di ricerca in Cyber intelligence della Sapienza, oltre che tra gli ideatori di Itasec, dovrebbe presiedere il neonato Nucleo di Sicurezza Cibernetica, istituito dal decreto emanato lo scorso febbraio dal governo Gentiloni (il DPCM del 17 febbraio 2017).
Metà imprese italiane danneggiate da attacchi
Oltre alla questione dei fondi l’altro tema spinoso è quello dei dati. Pochi quelli affidabili e provenienti da fonti statali, che non siano cioè di vendor, produttori di software o servizi, i quali tendono ad avere campioni limitati, e anche interessi specifici nel settore. E ciò vale sia per l’Italia sia per il resto del mondo. Tuttavia almeno da noi qualcosa si sta muovendo.
Viene infatti in aiuto un’iniziativa di Banca d’Italia che si è messa a raccogliere dati sugli incidenti informatici a danno di imprese italiane, su un campione ampio e rappresentativo. In particolare, secondo uno studio a firma di Claudia Biancotti, ricercatrice di Bankitalia, ben il 45 per cento delle aziende nazionali sono state colpite da un qualche attacco nel corso di un anno, tra settembre 2015 e settembre 2016. “Colpite da attacco vuol dire che hanno subito qualche tipo di danno”, specifica Biancotti. Bersagliate soprattutto imprese del Centro e del Nordest, oltre che quelle con un alto numero di addetti, dai 200 in su.
In arrivo dati nazionali: le iniziative di Bankitalia e Istat
«In Italia stiamo creando un archivio con metodologie documentate sulla frequenza e sull’impatto economico degli impatti cyber. Saremo i primi in Europa, con la Gran Bretagna. I dati sono liberamente accessibili sul nostro sito», commenta ancora Biancotti a La Stampa.
E a quanto pare, proprio sulla raccolta dati, sta per muoversi anche Istat sul fronte della pubblica amministrazione. Lo annuncia in plenaria il professor Antonio Schizzerotto, dell’università di Trento. «Non abbiamo dati sicuri sui cyberattacchi alla Pa. Ma nella prossima indagine Istat ci sarà una sezione ampia sulla cybersicurezza».
Il parere delle aziende
Oltre alla visione però, di cui si parlava prima, c’è anche la realtà attuale. Ed è quella che emerge brutale quando si parla con le aziende, uno dei vertici del triangolo che compone Itasec18, insieme a governo e accademia. Storie di quotidiano orrore informatico che pervadono ancora parti consistenti sia del mondo imprenditoriale italiano sia di quello della Pa. E anche, più semplicemente, gli ostacoli all’attuazione di alcuni punti chiave ribaditi a più riprese dalla conferenza. Ad esempio, la collaborazione fra pubblico e privato. «Sono anni che se ne parla», osserva in privato uno dei partecipanti ai panel. Una riflessione ribadita anche da Carlo Mauceli, NTO di Microsoft Italia: «Si fa ancora una fatica immensa a creare quelle relazioni tra pubblico e privato di cui tutti parlano», commenta a La Stampa. E avanza anche perplessità su alcuni riferimenti alla creazione di un cloud nazionale. «Farne una questione di sovranità nazionale è anacronistico, dal momento che in Europa esiste la libera circolazione dei dati. Bisogna ragionare in un’ottica europea, non si può certo pensare di isolarsi. Il dato è proprietà delle persone e se sono titolate a muoversi liberamente in Europa, devono di conseguenza poter usufruire liberamente dei propri dati. Controproducente mettere confini».
Le sfide del cybercrimine e non solo
Nel mentre, le attività cybercriminali sono passate da una dimensione più artigianale a una industriale, ricorda Giovanni Vigna, professore all’ University of California Santa Barbara (sul tema della professionalizzazione del cybercrime La Stampa ha scritto vari reportage. Per questo per colpirli «bisogna agire dove fa più male», prosegue Vigna, «ovvero nei meccanismi di cash-out, di incasso dei soldi». Di qui l’importanza di studi che modellino le economie underground per individuarne i punti critici.
Ma gli attacchi informatici negli ultimi anni hanno anche alzato il tiro sul mondo dell’industria. L’Italia sarebbe al quarto posto tra i Paesi più colpiti in questo settore, con il 35,2 per cento di sistemi di sicurezza informatica industriale attaccati, secondo i dati presentati a Itasec da Vladimir Dashchenko, ricercatore di Kaspersky. Attacchi veicolati tramite internet nel 18,8 per cento dei casi, e subito dopo via mail nell’8,8 per cento (più del 5,1 della media europea).
Come non far scappare i talenti
Così, si ritorna al tema dei talenti. Prova a cercarli la Cyberchallenge, «programma di addestramento» per giovani delle scuole superiori e delle università, organizzato tra gli altri dallo stesso CINI, al suo secondo anno, e che nel 2018 conta su 1866 iscritti, annuncia sul palco il coordinatore Camil Demetrescu.
Ma i talenti si trovano anche creando un clima di un certo tipo, mormorano nelle pause della conferenza molti addetti ai lavori, soprattutto i più giovani. Un clima che ad esempio non criminalizzi gli hacker che ricercano vulnerabilità e le rivelano in modo responsabile con il solo intento di rendere più sicuri i sistemi di aziende, organizzazioni, Pa.
Secondo quanto risulta a La Stampa, i nostri Cert, cioè le unità nazionali deputate al monitoraggio e alla risposta agli incidenti informatici, ricevono in continuazione segnalazioni di vulnerabilità. Spesso da anonimi. E in ogni caso da persone che temono di rischiare ripercussioni legali e che si muovono perlopiù per canali informali. «Le indicazioni su come gestire segnalazioni di vulnerabilità sono state codificate da tempo nel settore», spiega a La Stampa Stefano Zanero, professore di sicurezza informatica al Politecnico di Milano e tra gli organizzatori di Itasec. «Bisogna solo applicarle».
Proprio Zanero si era pubblicamente espresso a favore di Evariste Galois, lo pseudonimo usato da un giovane hacker che aveva segnalato al Movimento 5 Stelle, e poi pubblicamente, la presenza di alcune vulnerabilità e criticità del sistema Rousseau e che attualmente è indagato per accesso abusivo a sistema informatico. «Questa vicenda sta lanciando proprio il messaggio opposto a quello che servirebbe», prosegue Zanero. A favore di Galois c’è anche una raccolta firmepromossa da alcuni ricercatori di sicurezza.