Il paragone della nostra cybersecurity con Francia e Germania, nostri principali partner nel continente, è quantomeno impietoso. Infatti, entrambe possono contare da diversi anni su di una robusta struttura atta alla difesa dei relativi Paesi dalle minacce nel cyberspazio.
Il cyberspazio, e le relative tematiche di cybersecurity e cyberstrategy, sono un elemento chiave nel mondo odierno, sia per il settore privato quanto per il pubblico. Nell’ultimo decennio ha acquisito sempre più importanza, soprattutto a causa del crescente numero di attacchi informatici condotti da gruppi o enti spesso affiliati a governi di stati considerati avversi al blocco Occidentale, su tutti Russia e Cina.
In varie occasioni questi attacchi informatici hanno portato a pesanti conseguenze, basti pensare che nell’ultimo decennio sono avvenuti in media circa 106 attacchi ogni mese, con un picco concentrato negli ultimi 4 anni (nello specifico, circa 14.010 attacchi gravi sono avvenuti tra gennaio 2011 e dicembre 2021, più della metà dal 2018 ad oggi).
In Italia, si è assistito a un vertiginoso aumento di cyber attacchi verso aziende o enti, passando da 30 a 70 nel medesimo arco temporale, questo a fronte di aumento in tutto il mondo che va dai circa 1552 attacchi nel 2018 ai 2049 del 2021.
Per fronteggiare le incursioni nel cyberspazio italiano, il Governo – con decreto-legge del 14 giugno 2021 – ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN), con il preciso compito di tutelare i nostri interessi nazionali nel mondo cibernetico.
Il compito principale dell’Agenzia è anzitutto implementare la strategia nazionale in tema di cyber security e perseguire il conseguimento dell’autonomia di questa, in sinergia con il sistema produttivo nazionale, anche tramite la collaborazione con gli ambienti universitari e della ricerca. Parallelamente, la ricerca di un’integrazione con i partner europei, e nello specifico una condivisione di strategie relative al cyberspazio, è fondamentale. All’atto pratico, è previsto un totale di 81 misure, delle quali 70 attuate in collaborazione con enti privati. Questi rivestono un ruolo particolarmente importante sia perché sono direttamente interessati dall’odierna rivoluzione digitale alla base di questo periodo storico, sia perché il settore privato è sempre più frequentemente colpito da cyberattacchi.
Della totalità degli attacchi subiti, il 35% delle attività hanno colpito due settori nevralgici quali la Pubblica Amministrazione e la Sanità, il 12% il settore manifatturiero, seguito da quello finanziario. Non sono state risparmiate neanche le società ICT, provider di servizi digitali e gli e-commerce. Si evince che il settore pubblico sia sempre il bersaglio principale, con però una tendenza a toccare anche altre aree strategiche. Da non trascurare è anche la severità degli attacchi, con questa che è aumentata considerevolmente negli ultimi anni. Nello specifico, durante il 2021 gli attacchi critici, a livello mondiale, sono stati circa il 32% del totale, mentre quelli di livello alto si sono attestati a circa il 47%. Infine, quelli di medio rilievo rappresentano il 19%. Il nostro Paese ha subito 143 attacchi, dei quali il 51% ad un’alta severità e il 21 % di livello critico. Relativamente alle tecniche di attacco, i malware sono lo strumento più utilizzato (circa il 41% degli attacchi), seguiti, al 21%, da eventi di data breach. Infine, gli attacchi che sfruttano le varie vulnerabilità nei sistemi, assieme a quelli di phishing, si attestano rispettivamente al 16 e 10%.
In quest’ottica, e in questo panorama, si identifica la creazione e il lavoro dell’ACN, che ha il diretto compito non solo di tutelare il nostro cyberspazio, ma anche di attuare la normativa base per la costruzione e il controllo di un “perimetro nazionale di cybersecurity”. Ciò è di cruciale rilevanza anche, e soprattutto, perché vede l’Italia attuare azioni e piani in tempi rapidi ed efficaci in tematiche assolutamente nuove e in repentina evoluzione.
Il confronto con la Francia
Nonostante ciò, il paragone con Francia e Germania, nostri principali partner nel continente, è quantomeno impietoso. Infatti, entrambe possono contare da diversi anni su di una robusta struttura atta alla difesa dei relativi Paesi dalle minacce nel cyberspazio.
In Francia la creazione di un’agenzia destinata alla sicurezza cibernetica venne imbastita con la presentazione del Libro Bianco sulla difesa e la sicurezza nazionale del 2008, durante la presidenza di Nicolas Sarkozy. Alla base di questa scelta vi era l’identificazione dei rischi per le infrastrutture considerate critiche e la necessità di dotarsi di una capacità di rilevazione e contrasto. Da questi assunti nacque l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), un‘autorità pubblica specificamente dedicata a questi compiti e posta sotto diretto controllo governativo, avendo anche l’obbligo di riportare al Segretario Generale per la Difesa e Sicurezza Nazionale.
L’Agenzia è strutturata in cinque divisioni più un’unità di anticipazione (CAC), e svolge un’ampia varietà di attività sia normative che operative, dall’emissione di regolamenti e verifica della loro applicazione al monitoraggio dei meccanismi di allerta e risposta rapida. Inoltre, provvede al rilascio dei certificati di sicurezza per prodotti e fornitori di servizi ICT.
Dal 2013 ha assunto ancor più rilevanza, avendo visto aumentare i suoi poteri e prerogative specialmente in relazione agli operatori considerati di vitale importanza, ovvero quelli cui, nel caso dovessero essere messi fuori uso totalmente o temporaneamente, vedrebbero il potenziale economico o militare, così come la sicurezza e la resilienza dello stato, messi sotto minaccia. Infine, di notevole importanza è l’implementazione del CSIRT nazionale da parte dell’ANSSI, volto a monitorare e difendere i sistemi francesi da attacchi informatici, nonché a fornire contemporaneamente servizi di training e awareness.
Cybersecurity: il confronto con la Germania
Relativamente alla Germania, nel 1991 è stato fondato il BSI (Bundesamt für Sicherheit in der Informationstechnik), l’Ufficio Federale per la Sicurezza Informatica, come autorità dedicata alla sicurezza informatica degli apparati federali. A differenza del modello francese, il ruolo dell’istituto ha assunto dei connotati più operativi, in special modo nella protezione di reti e strutture nazionali tedesche, affidando al Consiglio per la Cybersecurity (Cyber-Sicherheitsrat) il compito di delineare il piano strategico del governo. Il BSI ha poi visto un ampliamento delle sue possibilità a seguito dell’implementazione della direttiva NIS con il “BSI Act” del 2009. Grazie a queste modifiche, è stato incaricato della prevenzione di minacce alla sicurezza dei sistemi IT, del test di sistemi e componenti informatici, del rilascio di certificati di sicurezza, nonché dello sviluppo dei relativi standard.
Ulteriore potenziamento è avvenuto nel 2015, con l’adozione dell’“IT Security Act” assieme a una regolamentazione focalizzata sulle infrastrutture critiche. Infine, con l’“IT Security Act 2.0” dello scorso maggio, al BSI viene estesa la possibilità di applicare la legge a ulteriori destinatari, aumentando contemporaneamente gli obblighi verso di loro. Così facendo l’ufficio ha assunto un ruolo di autorità certificatrice anche ai sensi del Cybersecurity Act dell’UE. Allo stesso tempo, il BSI è stato dotato di poteri proattivi per individuare rischi e vulnerabilità, andando a valutare elementi come la sicurezza dei sistemi informatici di infrastrutture, servizi digitali e aziende di pubblico interesse, anche attraverso la simulazione di attacchi.
Benché i nostri centri stiano rapidamente evolvendo e sviluppandosi, il fatto che siano nati così in ritardo rispetto a quelli istituiti dai nostri partner francesi e tedeschi, denota un’assoluta necessità di continuare a investire in ambiti che stanno assumendo un ruolo sempre più cruciale nello scacchiere internazionale.
Il tutto, naturalmente, anche nell’ottica di un sistema europeo più integrato e coeso.