Roberto Baldoni (CINI): “Sulla cybersecurity serve coordinamento e organizzazione”

La roadmap tracciata dalle normative, regolamenti, piani nazionali e quadri triennali è chiara, ma ora sarebbe necessario velocizzare il passaggio ai fatti rendendo esecutive le diverse misure suggerite, indicate e tracciate. Nel frattempo chi non si ferma mai è l’accademia che, nel suo ruolo cruciale di portatrice di cultura e metodologia, sta affiancando le istituzioni e le entità industriali verso una collaborazione mirata alla prontezza operativa.

Ne parliamo con il professor Roberto Baldoni, direttore CIS Sapienza Università di Roma e direttore del Laboratorio Nazionale di Cybersecurity (CINI) che ha partecipato oggi al convegno promosso dalla Onorevole Rosa Villecco Calipari dedicato all’”ecosistema cibernetico al servizio della sicurezza nazionale“, ha recentemente seguito i lavori di Confindustria digitale e della giornata dal titolo “L’evoluzione della sicurezza nell’ecosistema 4.0” organizzata dal Centro di Ricerca Sapienza di Cyber Intelligence e Information Security (CIS) e dal Laboratorio Nazionale di Cyber Security insieme al Sole 24 ore-Nòva. Nelle ultime due occasioni il focus è stata l’impresa per le ricadute della sicurezza informatica sul sistema imprenditoriale, ma mentre in Confindustria gli stakeholder sono solo imprenditori, nell’ateneo romano erano presenti partecipanti di estrazione variegata. Nel convegno odierno invece la discussione ha spaziato su tutti gli ambiti, partendo da quelli istituzionali, fino ad arrivare al necessario coinvolgimeno delle imprese.

Intervista

 Che messaggio ha portato in questi contesti apparentemente diversi fra loro, qual è l’esigenza comune e cosa si deve impostare in modo strutturato ?

L’esigenza comune è organizzazione e coordinamento. La cybersecurity non è come l’Intelligenza Artificiale che rappresenta un tema accattivante per l’immaginario collettivo; nella sicurezza informatica c’è molta compliance ed è necessaria l’aggregazione e l’impostazione fra diverse entità. A volte si rischia di sembrare noiosi ed ecco perché in queste occasioni ho voluto dare messaggi concreti finalizzati a realizzare il coordinamento con una serie di azioni comuni. Al tavolo di Confindustria digitale ed oggi, ho parlato dell’iniziativa di ITASEC 2-17 la conferenza nazionale sulla cybersecurity che quest’anno si terrà dal 6 al 9 Febbraio al Politecnico di Milano, preceduta dalla presentazione del Libro Bianco Cyber che esce in seconda edizione (la prima edizione disponibile sul sito del CINI ha superato i 20.000 download n.d.r.). Il terzo elemento di condivisione ha riguardato il cyberchallenge che, giunto alla terza edizione, rappresenta il primo programma italiano di addestramento introduttivo alla cybersecurity per giovani di talento delle scuole superiori e studenti universitari. In questa occasione salgono ad otto le università coinvolte, (fra le piu’ importanti d’Italia) e quest’anno la classe sara’ composta da 160 ragazzi che affronteranno la gara nazionale dopo tre mesi di studio, per poi andare a all’ENISA ECSC (European CyberSecurity Challenge) 2018 prevista a Londra. I ragazzi che hanno partecipato lo scorso anno, sono gli stessi che hanno permesso all’Italia di arrivare terzi alla competizione ENISA ECSC 2017 svolta a Malaga. Le aziende che supportano il programma hanno il primo diritto di contattare questi giovani talenti durante i talent day ed eventualmente assumerli, ma parliamo di ragazzi giovani che potrebbero voler terminare il corso di studi universitari.

In ambito Confindustria la risposta è stata buona come anche in ambito governativo, per l’allineamento su queste iniziative che si collocano fra gennaio e marzo.

Anche nella giornata organizzata con il al Sole 24 ore-Nòva, ho voluto evidenziare organizzazione e coordinamento spiegando però anche la minaccia che si accompagna alla trasformazione digitale; infatti, grazie al programma nazionale di industria 4.0, l’ambito digitale decollerà progressivamente in modo pervasivo per ogni ambito e grado, ma è importante capire che la sicurezza informatica deve collocarsi al cuore di questa trasformazione per evitare che interi comparti produttivi dove oggi siamo leader, possano essere vulnerabili alla prima campagna di malware o a eventuali campagne targettizzate on-purpose. Non solo lo sviluppo ma anche l’azione di sicurezza e difesa deve essere sistemica. Non lo dico per essere catastrofista ma realista rispetto ai rischi e comunque posso dire che dopo tanto lavoro di divulgazione, oggi è visibile una sensibilità maggiore ed il raggiungimento di una consapevolezza più piena.

Come può l’accademia supportare la PMI ed azienda italiana in relazione a eventuali strumenti alle imprese mediante Unindustria, oppure mediante ricorso al cloud, oppure servizi a livello di struttura pubblica?

L’accademia fornisce metodologie e ricerca. Per ognuno dei casi menzionati è molto importante la parte metodologica e ricordo il framework nazionale per la cybersecurity che è stato pensato proprio per le PMI ma penso anche ai controlli essenziali per la cybersecurity presentati a marzo 2017. Auspico la creazione di tanti centri di competenza per il supporto alle PMI, alcuni sul territorio locale altri più evoluti come punti di eccellenza a livello centralizzato. Il ruolo dell’università è quello di rendere le metodologie come servizi attraverso la verticalizzazione sui diversi settori. Già ad oggi nel sito del framework si trova la sottopagina delle contestualizzazioni per trovare alcuni strumenti e tool di ambito specifico.

Che tipo di “compiti a casa” si è portato dalle diverse giornate in termini di roadmap?

È necessario soprattutto lavorare per l’analisi della minaccia a livello nazionale. Non basta un laboratorio “che fa rete”, ma occorre una rete nazionale di laboratori di ricerca e di centri di competenza che unisca le forze.