Intervista Alessandro Manfredini, presidente dell’Associazione Italiana Professionisti Security Aziendale: “Ecco le nostre 4 proposte per supportare l’ACN nel processo di definizione della tassonomia dei nuovi incidenti oggetto del nuovo obbligo di notifica “aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza”, che sono al di fuori del Perimetro cyber. “Abbiamo proposto anche delle specifiche modalità di notifica diverse da quelle attualmente previste per i beni ICT”.
Cybersecurity Italia. Nel discorso per chiedere la fiducia al Parlamento, il presidente del Consiglio dei Ministri, Giorgia Meloni, ha posto al centro dell’attività del Governo anche la cyber security, che deve andare di pari passo “con la transizione digitale, la sovranità tecnologica e il cloud nazionale”. Come commenta quest’approccio dell’esecutivo?
Alessandro Manfredini. Ho trovato molto interessante questo riferimento che rafforza anche le dichiarazioni del ministro Aldolfo Urso in materia di difesa della sovranità tecnologica. Con queste premesse, frutto di una grande consapevolezza sulla tematica, ci sono tutti i migliori presupposti per indirizzare concretamente degli interventi rivolti a far aumentare la capacità di spesa per investire nel campo della ricerca per sviluppare soluzioni di sicurezza nel comparto industriale nazionale. Temo che il gap per la gestione del cloud sia difficile da colmare in tempi rapidi, anche a livello europeo, mentre possa essere gestibile nel campo dei microprocessori, semiconduttori e sicuramente nel campo della realizzazione di software di security.
Il nostro Paese ha tutte le potenzialità per rafforzare la propria leadership e confermarsi sicuro punto di riferimento in Europa. Sarà difficile altrimenti attuare banalmente alcune prescrizioni normative, come ad esempio alcune misure di sicurezza, in ambito di Perimetro di Sicurezza Nazionale Cibernetica che prevedono la gestione di talune soluzioni circoscritte in ambito nazionale ed al massimo europeo, ma sicuramente non consentite oltre oceano.
Cybersecurity Italia. Sono previsti nuovi obblighi per i soggetti all’interno del Perimetro di sicurezza nazionale cibernetica (Psnc) con l’obiettivo di rafforzare la cyber-resilienza del Paese. Dovranno notificare entro 72 ore anche gli attacchi informatici “aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza”, che sono al di fuori del Psnc, e con i quali non erogano servizi essenziali al Paese. L’obiettivo è avere una fotografia generale degli attacchi informatici ai danni dei soggetti nel perimetro cyber, anche se l’incidente ha impatto su un device o rete non utilizzati per erogare un servizio strategico per l’Italia. AIPSA quale contributo vuole dare in merito?
Alessandro Manfredini. Abbiamo preparato una nota tecnica che è stata inviata al Direttore generale dell’Agenzia per la Cybersicurezza Nazionale (ACN) pochi giorni dopo l’entrata in vigore del provvedimento, proprio per contribuire, come immagino abbiano fatto anche altri, a supportare l’Agenzia nel processo di definizione (determinazioni tecniche del Direttore generale dell’ACN) della tassonomia degli incidenti che dovranno essere oggetto del nuovo obbligo di notifica, e delle specifiche modalità di notifica diverse da quelle attualmente previste per i beni ICT. Le nostre proposte, che riguardano anche la rimodulazione della sanzione amministrativa prevista per il mancato adempimento dell’obbligo di notifica legato a questa nuova fattispecie, coerentemente con il differente “valore” dell’obbligo normativo, sono orientate, dal punto di vista tecnico a questi aspetti:
- utilizzare la tassonomia già prevista nell’Allegato A del DPCM 81/2021, ciò al fine di evitare un’ulteriore metodologia di qualificazione degli incidenti, che andrebbe ad aggravare ancora di più le già numerose incombenze delle Aziende inserite nel “Perimetro”; escludendo dalla suddetta tassonomia quantomeno le macrocategorie dei “guasti” e dei “disservizi”; ciò al fine di evitare una proliferazione di notifiche, che niente avrebbero a che fare con lo spirito della nuova previsione normativa e che rischierebbero soltanto di generare un eccessivo “rumore di sottofondo”, facendo disperdere così l’attenzione verso le reali minacce alle reti, ai sistemi informativi e ai servizi informatici dei soggetti in Perimetro;
- limitare all’interno della suddetta tassonomia e quindi porre il conseguente obbligo di notifica solo per quegli incidenti riconducibili a specifiche attività malevole ad alto impatto, come, ad esempio, attacchi ransomware, distributed denial of service (DDoS) o quelli che abbiano generato sottrazione di informazioni pregiate ai fini della sicurezza nazional; ciò al fine di focalizzare l’attenzione esclusivamente su quegli incidenti la cui condivisione possa portare un reale beneficio per la sicurezza nazionale del nostro Paese;
- fare decorrere le 72 ore previste per la notifica dal momento in cui i soggetti inclusi nel Perimetro siano venuti a conoscenza, a seguito delle evidenze ottenute, di un incidente riconducibile a una delle tipologie individuate nella tassonomia, coerentemente con quanto già avviene per le notifiche degli incidenti sui Beni ICT e sui Beni Contigui; ciò al fine di permette ai soggetti in Perimetro di comunicare incidenti che – con cognizione di causa e a seguito di evidenze ottenute – possano portare un reale valore informativo allo CSIRT Italia. Necessità, questa, che risulta peraltro in linea con quanto già previsto dal legislatore per la notifica degli incidenti sui Beni ICT e sui Beni Contigui.
- accordare ai soggetti inclusi nel Perimetro un periodo di transizione di sei mesi, così come già avvenuto per la notifica degli incidenti che colpiscono i Beni ICT e i Beni Contigui, all’interno del quale la comunicazione di eventuali incidenti entro 72 ore sia fortemente raccomandata ma non obbligatoria; ciò al fine di permettere ai soggetti in Perimetro di adeguare i propri processi aziendali e le automazioni attualmente in uso a supporto della gestione degli incidenti di sicurezza.
Cybersecurity Italia. Come giudica la ripartizione delle competenze tra ministero della Difesa, quale responsabile del pilastro della Cyber Defence, e l’Agenzia per la Cybersicurezza Nazionale per fronteggiare gli attacchi cyber nei confronti delle infrastrutture critiche del Paese?
Alessandro Manfredini. Ritengo che rispecchi la tradizionale coerenza che vede in capo a questo Ministero, appunto, la difesa della Patria ed in questo momento anche e non solo nelle dimensioni di terra, acqua e aria, ma anche nello spazio cibernetico. La nostra Costituzione ci ricorda che la difesa della Patria è un sacro dovere del cittadino e dunque mi aspetto ancor di più una attività corale e collaborativa a livello istituzionale (tra Difesa, Intelligence -DIS- e ACN) proprio ispirata da questa ratio prevista dalla nostra carta costituzionale. In tale quadro e tenendo conto anche della natura ibrida delle minacce, ritengo che il ruolo della ACN possa essere assolutamente fondamentale per fronteggiare gli attacchi cyber in primis verso le infrastrutture strategiche nazionali e prospetticamente verso tutti i soggetti della filiera (medie e piccole imprese) che contribuiscono, in questo ecosistema, a garantire i servizi essenziali di pubblica utilità e per la tenuta economica del sistema Paese.
Cybersecurity Italia. Come commenta l’introduzione del cyber index per le PMI in attesa di quello nazionale? Perché è importante?
Alessandro Manfredini. Mi sembra una concreta iniziativa per consentire alle Piccole e Medie Imprese di avere uno strumento utile per avere la propria misura dell’esposizione alle minacce cibernetiche. Il prossimo passo a mio avviso potrebbe essere quello di definire un indice di rischio che non abbia solo impatti sul sistema assicurativo, ma sull’operatività quotidiana e che consenta in modo olistico alle imprese inserite nella supply chain dei grandi gestori – ad esempio – delle infrastrutture critiche, di potersi misurare rispetto a tutte le minacce ibride a cui sono soggetti. Questi strumenti devono essere utilizzabili in modo semplice ed efficace per aiutare le aziende ad indirizzare gli investimenti e le progettualità rivolte al miglioramento della loro postura di security, in modo da garantirsi un posizionamento più qualificato sul mercato.
Cybersecurity Italia. Dal punto di vista di AIPSA come è possibile favorire le partnership tra pubblico e privato, come previsto, fortemente, dalla strategia nazionale di cybersicurezza, per rafforzare la cyber resilienza dell’Italia?
Alessandro Manfredini. Ritengo che la sfida alle minacce cibernetiche ci abbia fatto maturare la consapevolezza che questa partita si gioca con la collaborazione da parte di tutti e che ognuno di noi è un soggetto protagonista fondamentale per le sfide che ci aspettano. Iniziative come la creazione di gruppi di lavoro interdisciplinari e interfunzionali (Stato, associazioni, imprese e università) sono la dimostrazione concreta di questo partenariato. Sarebbe opportuno trovare sempre occasioni di confronto prima di prendere alcune decisioni che hanno un forte impatto su certi business di rilevanza nazionale. Dal punto di vista tecnico la costituzione dell’HyperSOC e degli ISAC di settore, sono e saranno una dimostrazione concreta del modello “collaborativo” che deve essere adottato per fronteggiare queste minacce, così come sta già succedendo in modo molto costruttivo con lo CSIRT Italia, che ha già dimostrato apertura anche nei confronti di tutte le Aziende anche non necessariamente impattate dalle ultime compliance.
Da sempre la Sicurezza è esclusività degli organi di Stato e noi privati concorriamo solo in via assolutamente residuale e sussidiaria, pensiamo ad esempio al mondo della sicurezza privata dei beni aziendali garantita attraverso i servizi di vigilanza normati dal Testo Unico di Leggi di Pubblica Sicurezza e dal DM 269/2010 e s.m.i. La sicurezza informatica deve essere garantita innanzitutto da comportamenti consapevoli adottati da tutti i cittadini, dai lavoratori e dalle imprese e dunque deve essere animata anche da risposte corali e coordinate con gli organi dello Stato. Ecco perché ritengo che un partenariato pubblico-privato sia fondamentale, purché sia paritetico, nel rispetto dei rispettivi obiettivi e finalità. Dovremo far crescere le nostre relazioni animate da un profondo senso di fiducia reciproca, in cui la compliance e le sanzioni amministrative, non sono il driver del “fare”, poiché garantire la sicurezza e la resilienza delle nostre organizzazioni significa mettere a terra iniziative concrete che hanno forti impatti con le attività di business delle nostre aziende e dunque per definizione sempre gestite con elevata professionalità e serietà. Da ciò dovrebbe discendere la fiducia nei confronti dei privati che operano sul mercato in questo modo. Nei confronti delle istituzioni e in particolare dell’ACN ci aspettiamo contributi qualificati, da parte dei centri di elevata competenza che sono stati creati come lo CSIRT ed il CVNC, che ci aiutino ad indirizzare le nostre attività all’interno delle aziende con quell’autorevolezza e consapevolezza che tutti vogliamo contribuire alla crescita economica del nostro Paese.