La risposta alle sfide della cybersecurity nazionale è nei progetti e nelle azioni concrete da avviare in un contesto collaborativo pubblico-privato.
E’ stata presentata oggi la nuova edizione del libro bianco della cybersecurity, in occasione dell’apertura ufficiale di ITASEC 2018.
Il volume curato dai tre professori Roberto Baldoni, della Sapienza Università di Roma, (attualmente nuovo vicedirettore generale del Dipartimento delle Informazioni per la Sicurezza con delega alla cyber security n.d.r.) Rocco De Nicola, dell’IMT School for Advanced Studies di Lucca e Paolo Prinetto, del Politecnico di Torino è stato realizzato dal Laboratorio nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica), con il supporto del “sistema di informazione per la sicurezza della repubblica” e con la collaborazione del Comitato nazionale per la ricerca in cybersecurity.
La nuova edizione del libro bianco
Il libro nasce in continuità alla prima edizione pubblicata nel 2015 in cui il focus era rappresentato dalle sfide della sicurezza informatica in relazione ai rischi derivanti dagli attacchi cyber e dalle raccomandazioni di tipo organizzativo fornite in chiusura. La nuova edizione, la 2.0 è invece incentrata sui progetti e sulle azioni che la comunità accademica nazionale ritiene fondamentali per la concretizzazione degli interventi di livello nazionale.
Per comprendere meglio le motivazioni, l’approccio e le indicazioni del volume che rappresenta la summa della ricerca italiana in materia di Cybersecurity e del contributo che l’accademia può fornire su questo ambito, abbiamo intervistato il Rocco De Nicola, Professore di informatica presso l’IMT School for Advanced Studies di Lucca.
Cosa vi ha guidato nello sviluppo di questa seconda edizione del libro bianco rispetto alla prima?
L’idea era di focalizzarsi su progetti concreti, perché se nel primo volume il risalto principale era stato dato ai rischi, ora ci sembrava importante indicare cosa fare concretamente. Per farlo abbiamo coinvolto circa 120 fra ricercatori e professori dei principali ambiti della ricerca italiana su questa tematica, un numero 3 volte superiore ai 40 esperti della prima edizione. Dopo uno stato dell’arte molto contenuto, ci siamo concentrati ad enunciare gli obiettivi da raggiungere: centri di competenza, tecnologie e azioni abilitanti, ma anche azioni e tecnologie rivolte alla protezione calandole anche sugli assi portanti della società civile.
È ovviamente necessario implementare il DPCM Gentiloni (DPCM 17 febbraio 2017) ma abbiamo indicato delle linee concrete di indirizzo. Sono iniziative in cui crediamo. Per fare un esempio tangibile, durante la stesura del libro è stato firmato un accordo di collaborazione tra l’IMT di Lucca, il CNR e le tre principali università Toscane (Siena, Firenza e Pisa n.d.r.) per costituire un centro di competenza Toscano sulla cyber per l’industria e la PA, con un coordinamento regionale. Il centro dovrebbe svolgere servizi alle imprese e alle pubbliche amministrazioni del territorio. Se inizialmente sono previsti dei finanziamenti per avviarlo successivamente il modello dovrebbe evolvere verso un autosostentamento derivante dai progetti svolti per i privati e per la PA locale. In centri come questo l’orientamento è al servizio anche se ci sarà una parte ancora dedicata alla ricerca. Naturalmente l’interazione con le imprese e le pubbliche amministrazioni darà anche l’occasione di perfezionare e sviluppare ex novo approcci e metodologie per risolvere i problemi riscontrati sul campo.
Il tema sembra molto vasto. Come avete selezionato gli argomenti da trattare?
Partendo dalle competenze della ricerca italiana, abbiamo cercato di essere massivamente inclusivi, non volevamo dimenticare tematiche e ambiti specifici, tanto che siamo arrivati a 250 pagine totali rispetto al primo volume che era di circa 100 pagine. Addirittura durante la stesura ci siamo resi conto che alcune cose mancavano o le avevamo sottovalutate e anzi se ci fosse venuto in mente altro lo avremmo aggiunto. Nessun rischio poteva essere dimenticato. Quindi no, non abbiamo selezionato, se sarà necessario scremare sicuramente lo faranno altri, in altre sedi.
Ogni tecnologia presente e futura può essere toccata da tematiche di security. Sembra una mission impossibile riuscire a proteggere tutto ma invece di scoraggiarsi cosa fare?
E’ necessario capire le specificità e progettare sistemi nuovi pensando alla sicurezza. La “Security by design” non deve più essere uno slogan, ma deve essere un elemento di progettazione. Ora si deve proteggere.
In futuro i linguaggi di programmazione potranno includere primitive (costrutti nativi n.d.r.) di security, ma già oggi alcune vulnerabilità dei sistemi concorrenti potrebbero essere eliminate con appropriati test di integrazione in favore della verifica di interoperabilità. Anche il codice dovrebbe essere esaminato staticamente e dinamicamente dal punto di vista della sicurezza e probabilmente sarà necessario insegnare un modo diverso di programmare anche in funzione della sicurezza informatica.
Leggi anche Roberto Baldoni (CINI): “Sulla cybersecurity serve coordinamento e organizzazione”
Le raccomandazioni sulla applicabilità delle misure suggerite di che tipo sono?
Le raccomandazioni sono rivolte al mondo politico dei decisori, quindi sono necessariamente di tipo generale e con indicazioni di principio, però sono raccomandazioni pratiche. Ad esempio abbiamo indicato come sia necessario un piano straordinario per l’università, per nuovi professori e ricercatori di sicurezza informatica che oggi sono pochi. Consigliamo chiaramente anche di costituire centri di ricerca, o di introdurre una filiera produttiva controllata dalla progettazione al collaudo per gli appari e componenti Hardware destinati a infrastrutture di tipo più “delicato” e che invece oggi sono principalmente importati da altri Paesi. Per questi elementi importati sarebbe opportuna una progettazione che li mantenga isolati in modo che non possano nuocere.
Queste misure sembrano a medio termine, ma nel frattempo cosa possiamo fare per aumentare la resilienza nazionale nel breve periodo?
E’ necessario aumentare l’awareness della sicurezza, partire con la formazione ad ogni livello della popolazione anche con campagne pubblicitarie. Per le aziende è necessaria una formazione del personale che potrebbe accedere a dei master, che formano rapidamente i partecipanti. Insomma la soluzione alla cybersecurity non è strettamente tecnologica ma è principalmente legata alle persone e alla loro educazione e formazione alla sicurezza.
Nel confronto con l’Estero come ci assestiamo?
Purtroppo, non benissimo. Il confronto con gli altri paesi ci vede carenti in risorse destinate a questo comparto. Basta guardare la Germania che sta creando un centro con 500 ricercatori solo di cybersecurity, o anche l’Inghilterra che dal 2011 ha avviato un programma di formazione in cybersecurity scegliendo alcune università come centri di eccellenza ed ha avviato molte iniziative per unire ricerca e realtà produttive. Anche la Francia non è da meno anche se il suo approccio è anche per motivi storici, maggiormente centrato sul cittadino a sui diritti. Ognuna di queste ha stanziamenti annuali per non meno di 10 milioni di Euro e non ho ancora citato gli USA dove il MITRE ha ricevuto da solo dal Governo, finanziamenti che sono equivalenti al finanziamento di tutta la ricerca italiana di un anno: circa 90 milioni di dollari.
Cosa succede dopo il libro bianco?
Ci aspettiamo che venga fatta qualcosa a livello nazionale ma il nostro intento è consegnarlo a tutti: istituzioni pubbliche e private. Le aziende potrebbero utilizzarlo per contattare i vari referenti ed avviare progetti e collaborazioni. Il libro bianco è di tutta la comunicata’ scientifica nazionale. Non avremmo potuto essere dei curatori del testo, se non ci fosse stata la sostanza fornita dai contributi di tutti i ricercatori italiani.