Il direttore generale dell’ACN spiega come si potrebbe realizzare la resilienza delle filiere di tecnologie in base al tipo di dati trattati: se strategici, critici o ordinari.
Questo momento storico di cyberwarfare, caratterizzato anche da cyber attacchi state-sponsored, ossia effettuati o appoggiati da Stati nei confronti dei Paesi Nato considerati ostili, sta portando sempre di più al cosiddetto decoupling, ossia al partizionamento di alcune filiere di approvvigionamento tecnologico in diversi settori strategici per gli Stati del Patto atlantico, alleati anche nel cyberspazio.
Come queste filiere potrebbero però essere improvvisamente interrotte o “strozzate”, per motivi politici e per interessi geopolitici, è stato spiegato da Roberto Baldoni in questo editoriale pubblicato sull’International Journal of Critical Infrastructure Protection, diretto da Roberto Setola.
Ecco come si potrebbe realizzare la resilienza delle filiere di tecnologie strategiche, secondo il direttore dell’Agenzia per la cybersicurezza nazionale, che spiega l’esigenza di avere “tecnologie trusted” quando terze parti di software sono realizzate in Paesi “nemici”.
Baldoni: “Governi ostili potrebbero manipolare i componenti del software inserendo backdoor o software bomb”
“Se quei governi”, scrive Baldoni, “non sono pienamente affidabili – quando non apertamente ostili – potrebbero manipolare i componenti del software inserendo backdoor o software bomb durante le fasi di produzione o manutenzione da sfruttare in seguito dagli aggressori”.
Così, il dg dell’Agenzia cyber nazionale disegna il possibile nuovo scenario della supply chain delle tecnologie da declinarsi, secondo Baldoni, in base alla qualificazione dei dati, se strategici, critici o ordinari.
“Il trattamento dei dati strategici dovrebbe avvenire in server sul territorio nazionale e con tecnologie domestiche”
“Se l’impatto è sulla sicurezza nazionale, ad esempio i dati generati in comunicazioni governative o i dati visivi inerenti ambiti altamente sensibili per la sicurezza dello Stato, questi dati cosiddetti ‘strategici’”, ha scritto Baldoni, “dovrebbero essere trattati in un ambiente digitale costituito, nel caso ideale, da server e sistemi di archiviazione realizzati con tecnologie domestiche, dislocati nel territorio nazionale e soggetti a norme nazionali”.
“Usare tecnologie di filiere in Paesi trusted per trattare i dati critici”
“Se i dati sono sensibili”, ha continuato il capo dell’ACN, “ma non tali da mettere a repentaglio la sicurezza nazionale, il trattamento di questi dati ‘critici’ dovrebbe avvenire almeno attraverso l’utilizzo di tecnologie fornite da filiere resilienti di Paesi trusted”.
“Per gestire i dati ordinari necessaria la certificazione delle tecnologie”
“Infine”, ha aggiunto Baldoni, “nel caso di dati ‘ordinari’ non sensibili, basterebbe impiegare qualsiasi soluzione tecnologica, a condizione che sia certificata dal punto di vista industriale e della cybersicurezza”.
A proposito delle certificazioni accreditate, si cerca di avere un mercato italiano e europeo con servizi e sistemi con livelli di cybersicurezza più elevati.
Dunque, qual è l’obiettivo di realizzare la resilienza delle filiere di tecnologie strategiche per l’Italia e per gli altri Paesi Nato?
“Lo scopo”, ha spiegato Roberto Baldoni, “è di aumentare la nostra autonomia strategica nel digitale diminuendo il rischio in futuro di rimanere condizionati da lock-in, da monopoli tecnologici o da attacchi cyber devastanti da parte di attori statuali”.