Dove sei: Home > Blog > Cyber security e sicurezza nazionale: una questione geopolitica
Approfondimenti | 13-04-2022
Gli eventi internazionali che hanno interessato gli ultimi mesi hanno offerto a tutti noi una percezione più accurata dell'importanza della cyber security in ambito di sicurezza nazionale, mostrando come l'accesso a determinate informazioni possa incidere sulla politica estera e determinare un'alterazione degli assetti di potere tra potenze rivali. Possedere dati riservati, potenzialmente sensibili per la gestione di un paese straniero, può costituire una risorsa preziosa in sede di trattative e accordi commerciali, ma al contempo genera un rischio immenso per chi quella fuga di notizie la subisce: lasciare che un'entità statale con interessi potenzialmente in contrasto con i propri conosca i fattori che determinano le strategie governative in merito a questioni sensibili rischia di mettere in pericolo la capacità contrattuale di una potenza, rendendola più vulnerabile alle speculazioni esterne.
Il conflitto tra Russia e Ucraina sta offrendo alcuni spunti di riflessione molto significativi in merito alle declinazioni belliche degli attacchi cibernetici e alla possibile incidenza della cyber war all'interno dei conflitti: solo pochi giorni fa l'azienda Microsoft ha reso noto il suo intervento per ostacolare l'azione di Strontium, un gruppo hacker che sembrerebbe avere legami con l'intelligence Russa, accusato di aver tentato di sottrarre alcune informazioni ad organi di stampa e istituzioni Ucraine col fine di supportare le truppe impegnate sul campo. Anche sul fronte cyber la controffensiva ucraina non può certo dirsi da meno: organizzandosi tramite dei gruppi Telegram dedicati, i membri dell'IT Army ucraino lavorano a dei cyber attack finalizzati a mandare offline tutte quelle piattaforme la cui compromissione potrebbe infliggere danni al nemico, come ad esempio quelle dei sistemi bancari, delle telco o dei trasporti.
Stabilita l'assoluta necessità di riuscire a garantire un elevato grado di information security, assolvere a questo compito risulta tanto più complesso considerando che la fornitura di servizi di questo tipo spesso è demandata ad organizzazioni private che, pur essendo vincolate da accordi piuttosto stringenti, restano soggette ad interessi specifici e logiche aziendali. Anche le tecnologie impiegate costituiscono un punto cruciale all'interno della questione: perché possano essere ritenute sicure, queste non devono essere soltanto impeccabili sul piano tecnico, ma anche inoffensive sul piano geopolitico; l'eventualità che dietro alla fornitura di un sistema informatico non si celi l'interesse di carpire dati utili non può essere mai esclusa a priori.
La consapevolezza del rischio di fughe di dati che potrebbero compromettere la sicurezza nazionale ha spinto molte potenze a rivedere il proprio approccio nei confronti della cyber security, invitando a ripensare la concezione commerciale che aveva prevalso nel settore. Questo cambio di prospettiva si è tradotto in molti casi nell'investimento di risorse finalizzate a costruire una sovranità tecnologica che permettesse ai vari paesi di avere maggiore indipendenza ed esporsi a rischi minori.
Anche l'Europa sembra essersi mossa in questo senso, attuando una serie di misure volte a garantire la sicurezza informatica dei paesi membri. La progressiva diffusione dell'internet delle cose e il legame sempre più stretto che lega il mondo digitale al funzionamento di alcuni settori critici per la gestione quotidiana della vita pubblica, come ad esempio il tecnologico, il settore sanitario o quello delle infrastrutture dedicate al trasporto di uomini e merci, ha spinto l'Unione Europea ad elaborare nuove strategie in maniera di cyber sicurezza, con lo scopo di limitare l'impatto che eventuali minacce informatiche potrebbero avere sulla vita del paese.
Un tentativo di attuazione di tale strategia può essere individuato già nel Regolamento UE per la cybersicurezza entrato in vigore nel giugno 2019, seguito da una serie di altri provvedimenti che si sono socceduti nel corso di questi anni. L'adozione del regolamento ha consentito di introdurre un nuovo tipo di certificazione, comune a tutti gli stati dell'UE, capace di garantire standard di sicurezza elevati ed omogenei; ed ha ampliato gli obbiettivi dell'Agenzia europea per la sicurezza delle reti e dell'informazione, adesso Agenzia dell'UE per la cyber-sicurezza, attribuendole mandato permanente.
Gli anni successivi al 2019 hanno visto crescere l'interesse nei confronti dell'argomento, stimolando altri interventi legislativi: nel dicembre 2020 la Commissione Europea ha proposto di revisionare la Direttiva sulla sicurezza delle reti e dei sistemi informativi (approvata nel 2016 come primo intervento volto a stabilire gli obblighi degli operatori dei settori essenziali in materia di sicurezza informatica e quelli dei fornitori dei servizi digitali), adattandola alle nuove esigenze dettate dall'evoluzione del mondo IT.
La Direttiva NIS riveduta, anche detta NIS2, è stata oggetto di profonde riflessioni che hanno condotto alla definizione di un orientamento generale condiviso soltanto alla fine del 2021. Secondo quanto affermato all'interno del Comunicato stampa del Consiglio dell'UE del 3 Dicembre 2021, il provvedimento dovrebbe stabilire alcuni parametri di riferimento che permettano a tutti gli stati membri di allinearsi in merito a tematiche chiave, come la gestione dei rischi e gli obblighi di segnalazione. Stabilendo norme minime condivise e regolando le modalità di cooperazione tra le istituzioni di ciascuno stato membro, la direttiva mira a sostenere la gestione coordinata di eventuali minacce informatiche: tale disegno risulta evidente anche dalla creazione della rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe, istituita con questa esplicita funzione.
Le conclusioni raggiunte pochi mesi fa dovranno presto essere discusse dal Parlamento Europeo prima di poter essere approvate in via definitiva. Qualora il testo non subisse modifiche sostanziali, una volta approvato, i vari stati avrebbero due anni di tempo per allinearsi con le disposizioni previste all'interno del testo.
Anche in Italia gli ultimi anni hanno visto aumentare la sensibilità della classe politica nei confronti della sicurezza dei dati, spingendo il governo ad intraprendere alcune misure legislative utili a rafforzare l'autosufficienza tecnologica del paese.
Tra le voci del PNRR la sicurezza nazionale sembra costituire un tema centrale, a cui verranno destinati ben 620 milioni di euro. Gli interventi che la somma dovrebbe andare a coprire riguardano tanto la parte infrastrutturale quanto la formazione del capitale umano da impiegare nella cyber difesa delle strutture sensibili: una delle più grandi difficoltà che il paese si trova ad affrontare, infatti, è data dalla consistente emigrazione di persone altamente qualificate, impiegate all'estero a condizioni migliori.
La duplice vocazione degli interventi si traduce in una serie di proposte d'azione, come l'impiego di logiche cloud first per la gestione della Pubblica Amministrazione dichiarato nella Strategia Cloud Italia, finalizzato ad aumentare il livello qualitativo del servizio pubblico ma anche a garantire un livello di protezione maggiore ai dati personali dei cittadini. Secondo quanto previsto dal Piano nazionale di ripresa e resilienza, la cifra destinata a questo obbiettivo dovrebbe aggirarsi attorno ai dieci miliardi di euro, da impiegare nello sviluppo di un cloud nazionale, nella diffusione del 5G e nella acquisizione di sistemi di rete ultraveloci.
Le altre voci citate all'interno della Strategia Cloud Italia riguardano invece la difesa di altre infrastrutture critiche la cui compromissione potrebbe mettere a rischio la tenuta economica del paese, prevedendo l'interoperabilità delle banche dati, a cui saranno dedicati quasi sei miliardi e mezzo, e lo sviluppo di nuove tecnologie satellitari per poco più di un miliardo.
Un'altra interessante novità riguarda lo sviluppo e la gestione dello spazio digitale destinato ad ospitare i dati della PA: la gara d'appalto infatti non sarà una gara qualunque, ma verrà gestita dalla Difesa e Servizi SPA, una società che, pur agendo come un soggetto di diritto privato, vede come socio unico il Ministero della Difesa. Le aziende che riusciranno ad ottenere l'incarico dovranno costituirsi in una new company, lavorando sinergicamente per garantire il più alto livello di cyber security maggiore.
Definito dal Decreto legge n.105 del 21/09/2019, il perimetro di sicurezza nazionale cibernetica si propone di garantire elevati standard di sicurezza cibernetica a tutti quei servizi considerati essenziali per la crescita economica del paese, identificati in:
Secondo quanto espresso all'interno del decreto, gli attori pubblici e privati operanti all'interno di questi settori dovranno, conformandosi alle disposizioni che i Ministeri competenti sono chiamati a stabilire, implementare il livello di cyber security della propria organizzazione per poter efficacemente fronteggiare eventuali attacchi cyber.
Le disposizioni ministeriali inerenti al potenziamento delle risorse informatiche dei servizi strategici dovranno essere elaborate individuando le prestazioni specifiche che, dipendendo direttamente dall'utilizzo della rete o di sistemi informatici che, se compromessi, potrebbero mettere a rischio la sicurezza nazionale, valutando il numero di soggetti che eventualmente risentirebbero delle conseguenze dell'accaduto e possibili ricadute economiche. In fase di analisi sarà necessario prendere in considerazione anche i rischi derivati dalla possibile perdita dei dati, dalla loro temporanea indisponibilità o dalla lesione della loro riservatezza, e predisporre modalità operative che garantiscano la mitigazione dei danni e un ripristino rapido e sicuro delle funzioni.
I provvedimenti contenuti all'interno del DL n.105/2019 hanno recentemente subito alcune integrazioni con il DPCM del 30 luglio 2020, che ha disposto alcuni importanti obblighi per i soggetti inclusi all'interno del perimetro. Secondo quanto stabilito, i prestatori dei servizi considerati essenziali dovranno redigere e aggiornare annualmente una lista di tutti i beni ITC a loro disposizione, individuando quali di questi risultano indispensabili al loro operare e valutando l'impatto che la loro compromissione potrebbe avere in termini di data security. Sarà loro cura, inoltre, anche valutare i rischi dell'interconnettività con altre reti o infrastrutture fisiche esterne, mirando a preservare la riservatezza delle informazioni in loro possesso.
Images by freepik.com
Diventa anche tu nostro cliente! Studiamo le tue esigenze e costruiamo il software adatto a te.
