Un dibattito fra Trend Micro e numerosi esponenti della PA mette in luce le sfide della cybersecurity in Italia e le possibili soluzioni per creare un sistema Paese resiliente.
Autore: Redazione SecurityOpenLab
La crisi sanitaria degli ultimi due anni, che ha forzato e accelerato la digitalizzazione, e la situazione geopolitica precipitata con l'invasione dell'Ucraina da parte della Russia, hanno inasprito i rischi cyber e portato la sicurezza informatica a diventare una necessità in primo piano sia per le aziende private, sia soprattutto per la Pubblica Amministrazione. È questo l'argomento che è stato al centro del Cyber Talk organizzato da Trend Micro su ruolo dei territori nelle nuove sfide della cybersecurity.
Che la PA negli ultimi due anni sia stata nell'occhio del ciclone non è una novità: a partire dall'attacco devastante contro la Regione Lazio per arrivare a quelli parimenti importanti contro ASL, strutture sanitarie e comuni, il fatto che le strutture critiche pubbliche non riescano a difendersi dagli attacchi cyber è ormai ovvio. Il problema è capire il perché, e come fare sì che questo non accada più in futuro.
Sono intervenuti Gastone Nencini, Country Manager di Trend Micro Italia, Guido Castelli, Assessore al Bilancio e Enti Locali della Regione Marche, Andrea Ciccarelli, Coordinatore Master in Innovazione e Trasformazione digitale della PA presso l'Università di Teramo, Michele Fioroni, Coordinatore Commissione Innovazione tecnologica e Digitalizzazione, Conferenza delle Regioni, Francesco Di Norcia, Ceo di CDiNnovation e Michele Pianetta, Vice Presidente di Anci Piemonte.
Sui motivi che hanno portato la PA alla situazione che è sotto agli occhi di tutti è stato chiarissimo Michele Fioroni: più si digitalizza, più vanno alzate le difese informatiche, cosa che non è accaduta in Italia. La crescita nel livello di digitalizzazione non è stato accompagnato da un innalzamento proporzionale dei sistemi di sicurezza e delle competenze, in particolare nella PA. Paradossalmente, le aziende digitalmente più arretrate sono quelle più sicure.
Altra ammissione importante e indicativa è quella di Andrea Ciccarelli: "le cose accadono a una velocità mai sperimentata prima". In un Paese in cui l'adattamento dei programmi universitari richiede anni, è inevitabile ritrovarsi con un gap enorme di competenze. Oltre tutto, la stessa velocità di adattamento è propria delle strutture stesse, oltre che delle persone: come faceva notare Andrea Zapparoli Manzoni del Comitato Direttivo Clusit in occasione della presentazione del Rapporto Clusit 2022, c’è uno scollamento totale fra la capacità degli attaccanti e le capacità difensive delle vittime, che porta a una rincorsa continua, invece che a soddisfare la necessità di anticipare le mosse degli attaccanti.
Come se non bastasse, c'è anche l'ostacolo della cultura tipica italiana di reagire quando un problema si verifica, anziché prevenire. Questo, come fa notare Gastone Nencini, porta a mettere di continuo le proverbiali "pezze", senza una visione globale complessiva – che è quello di cui c'è davvero bisogno per contrastare la potenza delle organizzazioni criminali.
Nencini rimarca infatti che non bisogna attendere di essere sotto attacco o di ipotizzare un attacco per correre ai ripari. Fare sicurezza vuol dire controllare a 360 gradi l’infrastruttura non solo fisica e tecnologica, ma anche tutti i processi, con l’obiettivo di adottare le contromisure adeguate. Fare sicurezza significa accettare un livello di rischio, e riportarlo su tutta la filiera.
In definitiva, la PA viene attaccata con successo perché non c’è stata una valutazione del rischio: sono stati digitalizzati servizi essenziali con una bassa valutazione del rischio, quindi esponendo maggiormente gli asset agli attacchi cyber. Ma perché vengono attaccate le strutture pubbliche? Anche qui, la risposta è piuttosto semplice: perché l’evoluzione del cybercrime fa fronte all’esigenza lineare degli attaccanti di guadagnare il più possibile. Per ottenerla, attaccano infrastrutture come sanità ed enti pubblici, che in caso di blocco interrompono i servizi essenziali di un comune, di una regione, di un Paese. Per evitare questa situazione sono queste le vittime più propense a pagare un riscatto.
È importante il contributo di Fioroni per comprendere da dove partono gli attacchi, quindi dove si deve intervenire maggiormente. Per quanto visto finora, gli attacchi ai sistemi regionali sono sempre partiti dall’ultimo ufficio periferico della ASL o dal computer portatile del dipendente in smart working. Il problema qui è che la rete pubblica è costituita da molti nodi, ciascuno dei quali ha delle debolezze.
Per eliminare tali debolezze servono competenze, in cui la PA non ha investito. Le principali criticità sul sistema di erogazione dei servizi sono pertanto da ricercare nella carenza di competenze e dalla mancanza di linee guida a cui attenersi nei comportamenti organizzativi degli individui. Inoltre, serve un piano nazionale che preveda investimenti per la riqualificazione delle risorse che hanno scarse competenze e per creare un processo di formazione continua.
La PA però non ha tutte le responsabilità: bisogna anche migliorare la capacità di risposta delle imprese perché molti attacchi possono rappresentare oggetto e bersaglio di attacchi trasversali – quelli comunemente definiti attacchi alle supply chain. Per questo sarà fondamentale fare in modo che il sistema di innovazione legato alla cyber security possa avere applicazioni agevoli sia nel pubblico che nel privato. E tutto deve partire dalle università, che devono allineare il sistema delle competenze alle esigenze delle imprese pubbliche e private.
È a questo proposito che interviene il professore Ciccarelli, che fa una importante ammissione: la laurea non basta più, perché quello che viene insegnato oggi non sarà più valido fra 5 anni. Per questo la competizione si svolgerà sempre di più sulla formazione continua anziché sul percorso di studio. Ciccarelli ammette che i corsi di laurea si rifanno a schermi che hanno 20-25 anni e si interroga: “Le attività e le competenze di base progettate 25 anni fa sono le stesse che servono oggi?”
La soluzione sembrerebbe semplice, tuttavia non lo è perché i corsi di studio sono difficili da modificare, quindi la via d’uscita è sviluppare il più possibile l’attività collaterale post laurea, motivo per il quale a Teramo è stato creato il master sulla digitalizzazione, indirizzato a coloro che sono candidati a gestire le tematiche dell’innovazione a tutti i livelli.
Riguardo alla formazione continua, poi, Ciccarelli apre il discorso a una riflessione più ampia: nella PA i tagli di bilancio fatti negli anni sono un prezzo che oggi stiamo pagando caro, perché il livello di digitalizzazione e competenze digitali dei dipendenti della PA è mediamente basso.
Conferma e approfondisce la questione il Vice Presidente di Anci Piemonte Michele Pianetta: “il problema delle competenze è figlio del taglio lineare in termini di competenze e risorse umane”. Non solo per la mancanza di budget, ma anche per la mancanza di risorse umane: i comuni con meno di 6000 abitanti hanno meno di un dipendente ciascuno, che si occupa di tutto, dal cambio delle lampadine all’anagrafe, all’urbanistica. Non si può pretendere che si occupi anche di sicurezza cyber.
Da qui la proposta, condivisa da Nencini, di fare massa critica aggregando i comuni più piccoli per organizzare gare d’appalto che coinvolgano le province e permettano la sottoscrizione di servizi condivisi, gestiti e controllati da aziende esterne. Un’idea che potrebbe funzionare, ma che richiede la collaborazione di tutti e una forte strategia di comunicazione fra pubblico e privato per accertarsi che le risorse (comprese quelle del PNRR) vengano spese nel modo corretto.
Cosa che al momento non accade, come ricorda Francesco Di Norcia: oltre 4 milioni di PMI (il 94,8%) ha meno di 10 dipendenti, quindi la PMI è nella stessa situazione dei piccoli comuni, ossia non ha spazio per figure specializzate in cybersecurity. Tant’è vero che la stragrande maggioranza delle PMI ha un livello digitale medio basso, a indicare che l’ottenimento di una concreta sicurezza digitale ha davanti a sé un percorso ancora lungo e tortuoso. Dovrebbe essere un facilitatore, ma non lo è ancora, e deve ancora passare dall’essere concepita come prodotto ad essere vista come servizio.
Sul tema della formazione è intervenuto anche Guido Castelli, che rimarca la necessità per il decisore locale di prendere coscienza della propria vulnerabilità, e del fatto che il problema della cyber security non si risolve solo con le tecnologie, ma anche con tanta formazione.
Fioroni sottolinea poi che nel testo del PNRR si dà particolare enfasi all’interoperabilità, ossia alla necessità di mettere in comunicazione e integrare fra loro sistemi differenti. Questo comporta la necessità di compiere scelte a livello di sistema Paese. Per capire la questione è sufficiente soffermarsi a pensare al flusso di dati: vengono catturati tramite sensori sparsi ovunque, basti pensare alle videocamere di sorveglianza di cui le città sono disseminate. Tali dati confluiranno in infrastrutture di elaborazione che, con il supporto dell’AI, prenderanno decisioni a partire da quel patrimonio di informazioni.
Il primo passo verso la sicurezza è quindi comprendere l’origine e valutare l’affidabilità della componentistica e di tutta la catena di approvvigionamento. Il secondo passo fondamentale è sviluppare una cultura dei processi, che oggi è assente sia nel pubblico che nel privato. Pochi sono abituati a scrivere, dettagliare e organizzare il flusso dei processi, ma senza questi passaggi sarà impossibile dematerializzare i processi fisici per convertirli in digitale e proteggerli con un livello di sicurezza adeguato.
Oltre tutto, l’interoperabilità è un presupposto fondante per quel concetto di massa critica di cui si discuteva sopra: più il sistema è grande, più si può investire in sicurezza, più si collezionando e condividono dati utili per proteggersi e per alimentare l’innovazione. Fioroni ricorda infatti che, nel mondo, i dati aperti hanno creato impresa e innovazione, come conferma il modello di Israele. E a questo proposito il passaggio al cloud nazionale sarà strategico, oltre che un’impedibile occasione per una svolta.