Italia
Entro la fine dell’anno l’Italia avrà il suo Piano nazionale per la sicurezza cibernetica. Lo ha annunciato ieri il sottosegretario con delega all’intelligence Marco Minniti durante la presentazione del “Rapporto 2013 sulla cyber security in Italia: Critical Infrastructure and other sensitive sectors readiness” realizzato dal Cyber and Information Security Center (Cis) dell’Università La Sapienza in collaborazione con la Presidenza del Consiglio (DIS) e presentato ieri nell’aula magna dell’ateneo romano. In passato, ha detto Minniti, “c’è stata una generale sottovalutazione del tema, ma bisogna capire che un attacco cibernetico può mettere in ginocchio un Paese e c’è bisogno di costruire una difesa adeguata”. Sottovalutazione e scarsa consapevolezza che riguarda in particolare il settore della Pubblica Amministrazione, che secondo il rapporto è impreparata a rispondere a eventuali minacce che viaggiano online.
Oggi come oggi non esistono stime ufficiali sui costi del cybercrime in Italia, però secondo stime che arrivano dal settore privato, nel 2011 il costo delle frodi informatiche ai danni dei consumatori è stato pari a 2,45 miliardi di euro nel 2011, a fronte di un danno complessivo pari a 85 miliardi di euro a livello globale. Il costo per le aziende italiane derivante dal furto di dati sensibili è stimato invece in 78 euro per ogni singolo file compromesso, con la conseguente perdita di business e reputation per le aziende vittime di attacchi . Un problema, quello della cybersecurity, che riguarda poi l’intero settore pubblico del nostro paese, alquanto fragile e inconsapevole dei rischi connessi alle minacce informatiche.
Nel 2012 Italia si è piazzata al nono posto nel mondo per la diffusione di malware (programmi che causano danni ai sistema su cui vengono eseguiti) e prima in Europa (quarta nel mondo) per il numero di computer infettati. Il rapporto evidenzia anche una mancanza di consapevolezza della minaccia che viaggia sulla rete.
Il sottosegretario ha ammesso il ritardo dell’Italia. “Il tema di una difesa in questo campo – ha ricordato – è diventato da tempo una priorità in altri Paesi, mentre noi ci siamo mossi solo di recente e – ha messo in guardia – se l’evoluzione della risposta è burocratica è come combattere con le mani legate dietro la schiena. La cybersecurity sarà il campo sul quale si misurerà il sistema Paese nei prossimi 30 anni e quella cibernetica è una minaccia straordinaria e incombente”. Nel 2012, ha proseguito, “c’è stato un aumento del 42% dei cyberattacchi nel mondo, che sono stati 556 milioni. Ci può essere la classica azione di spionaggio per carpire segreti, ma anche quelli che puntano al far collassare un sistema Paese”.
Di fronte a questo scenario il Governo si prepara a mettere in campo il primo ‘Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali’. Un adempimento previsto dalla direttiva sulla sicurezza cibernetica emanata con decreto lo scorso 24 gennaio che istituisce a Palazzo Chigi il Nucleo per la sicurezza cibernetica. In caso di crisi è prevista l’attivazione di un tavolo interministeriale presieduto dal consigliere militare del premier. Al Dis il decreto affida la formulazione delle indicazioni necessarie ad individuare le cyberminacce, a riconoscere le vulnerabilità e ad adottare le migliori pratiche.
Il Piano contiene l’indicazione dei profili e delle tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle rete di interesse nazionale, la definizione dei ruoli e dei compiti dei diversi soggetti, pubblici e provati, l’individuazione degli strumenti e delle procedure con cui perseguire l’accrescimento della capacità del Paese di prevenzione e risposta rispetto a cyber-attacchi. Certo, ha riconosciuto Minniti, c’è anche bisogno di risorse. Ed ha citato il bilancio 2012 della National security agency (Nsa) americana: “10 miliardi di dollari, quanto una Finanziaria in Italia”.
Infine, Minniti invita le aziende a denunciare gli attacchi subiti, per quanto si tratti di un’implicita ammissione di fragilità.
Carlo Purassanta (Microsoft): ‘Ci sono regole del gioco in Rete che vanno diffuse in Italia’
“Il fatto che in platea ci siano 300 persone significa che il tema del cybercrime è un tema molto sentito in Italia – dice Carlo Purassanta, amministratore delegato di Microsoft Italia – Il processo di digitalizzazione porta un aumento compreso fra uno e due punti di PIL per ogni 10% di persone in più che abbracciano il digitale. Si tratta di un’enorme opportunità di crescita per il paese, ma oggi c’è il paradosso che il problema della privacy e della sicurezza rischiano di inibire questo processo di digitalizzazione, che per svilupparsi ha bisogno di livelli massimi di fiducia. Il merito dello studio realizzato dall’Università La Sapienza con il DIS sta proprio nel parlare di questi temi e farli conoscere alla più vasta platea possibile. E’ necessario usare la pedagogia, perché oggi molte persone che utilizzano internet non sanno cosa vuol dire usare un servizio online. Ci sono delle regole del gioco in Rete che bisogna conoscere per non correre rischi. Gli italiani devono imparare queste regole e tenersi aggiornati. Per questo, il nostro sogno sarebbe quello di collaborare con il Governo per portare in televisione la pubblicità progresso, per parlare di Internet e delle regole del gioco digitale”.
Lo stesso discorso, legato alla conoscenza e alla necessità di avere una profonda consapevolezza delle regole di Internet “riguarda le imprese – aggiunge Purassanta –Le aziende devono capire come la tecnologia può cambiare l’azienda, ma senza dimenticare i rischi legati alla sicurezza. Inoltre, serve un rapporto di maggior fiducia e intimità fra clienti e fornitori su quali possono essere i rischi”.
Infine, per quanto riguarda la collaborazione pubblico privato, “ci sono diverse opportunità – ha detto l’ad di Microsoft Italia – Microsoft da diversi anni collabora con la Polizia Postale in Italia e non più tardi della scorsa settimana ha aperto un centro fisico contro il cybercrime a Seattle. Questo centro è disposizione di tutti, dei governi, delle amministrazioni per affrontare i temi della sicurezza”.
Agostino Ragosa (AGID): “Entro fine anno le linee guida su CERT e cybersecurity”
“Nel marzo scorso il Governo ha emesso il decreto sulla Cybersecurity e sul CERT nazionale – ha detto il direttore dell’AGID Agostino Ragosa – si sta lavorando ad un tavolo coordinato con la Presidenza del Consiglio. Il compito dell’AGID è far sì che la PA sia presente nel CERT nazionale dal punto di vsta dei processi e della gestione. Entro fine anno avremo definito un decreto con linee guida e regole tecniche per la PA e potremo dare al sistema pubblico delle regole per l’implementazione degli strumenti necessari al presidio della cybersecurity”.
Antonio Apruzzese (Polizia Postale): “Contro gli attacchi condividere le esperienze”
“Il ministero dell’Interno è l’ente che deve garantire la sicurezza – dice Antonio Apruzzese, direttore della Polizia Postale e delle Comunicazioni del ministero dell’Interno – Le nostre esperienze sono un laboratorio quotidiano per spingere nella direzione delle partnership pubblico-privato e condividere know how in materia di cybersicurezza. Tutti gli attori strategici in Italia, quelli che gestiscono infrastrutture critiche, vengono messi in stato di allerta in caso di allarmi. E’ chiaro che il patrimonio informativo accumulato consente di prevenire altri potenziali attacchi”.
Il vero dato critico, prosegue Apruzzese, è “la cooperazione a livello internazionale – dice – dobbiamo fornire ausilio a piani europei molto delicati. In questo senso, siamo i maggiori sostenitori del CERT nazionale. I problemi di sicurezza possono essere di carattere tecnico o doloso. In Europa c’è confusione sulla gestione dei problemi di sicurezza: un esempio, se si rompe un tubo dell’acqua si chiama l’idraulico non la Polizia. Lo stesso deve valere per la Rete Internet”.
Roberto Sambuco (MISE): “Spingere in Europa, serve una Nato del digitale”
“Affrontare il tema della cybersecurity a livello nazionale non è sufficiente, perché l’Italia è un paese troppo piccolo – dice Roberto Sambuco, Capo del Dipartimento per le Comunicazioni dello Sviluppo Economico – In questo ambito serve una risposta in sede europea, nonostante le divisioni che ci sono, altrimenti resteremo molto deboli. Abbiamo bisogno di un sistema integrato di cybersecurity a livello di UE. I nostri nemici hanno armi potentissime, Negli Usa la NSA può disporre di un budget annuale di 10 miliardi di dollari. Le nostre possibilità in confronto sono ridotte, ci stiamo lavorando ma le nostre risorse sono insufficienti a garantire la difesa nazionale. Bisogna creare in Europa una sorta di NATO del digitale”.