Arriva puntuale la relazione annuale dell’Agenzia per la cybersicurezza nazionale (Acn) in materia di prevenzione cyber, in un contesto di minacce informatiche crescenti. Una relazione, presentata al parlamento nei giorni scorsi, che dettaglia in 121 pagine le attività svolte nel 2023 dall’Agenzia guidata da Bruno Frattasi sul fronte degli attacchi informatici e sulle tecnologie adottate il servizio della sicurezza nazionale, grazie anche al mantenimento di un quadro normativo aggiornato.
In sette sezioni la relazione illustra come l’Agenzia ha operato attraverso la protezione degli asset critici nazionali, adottando un approccio orientato a prevenzione, gestione e mitigazione del rischio, per anticipare e rispondere a minacce sistemiche, oltre che per garantire l’utilizzo di reti e sistemi sicuri funzionali all’operatività delle infrastrutture cruciali del paese. “L’Agenzia sta contribuendo a gestire la minaccia cyber a tutela degli interessi nazionali nello spazio cibernetico, mettendo in atto un coordinamento istituzionale capace di anticipare e rispondere a minacce sistemiche. Sta inoltre coltivando ogni possibile sinergia con gli operatori privati, con le amministrazioni pubbliche e con il mondo dell’università, della ricerca e dell’innovazione, così da promuovere, a tutti i livelli, un innalzamento della postura di cybersicurezza che contribuisca a ridurre le vulnerabilità e prevenire eventuali rischi”, puntualizza Frattasi.
Per quanto riguarda la prevenzione e la gestione di eventi e incidenti cyber (primo capitolo) il Computer Security Incident Response Team Italia dell’Agenzia – che analizza gli eventi cibernetici più rilevanti e mette a fuoco le attività connesse alle tensioni geopolitiche – ha fatto una lavoro che ha riguardato 1.411 eventi cyber, di cui 303 sono stati classificati come incidenti confermati, per una media di circa 25 al mese (su un totale di oltre 20mila segnalazioni).
L’acutizzarsi delle tensioni geopolitiche (guerre Russia-Ucraina e Israele-Palestina con mutamento degli equilibri in Medio Oriente) ha visto l’ascesa di un fenomeno cyber prima poco significativo: il cyber attivismo. Si tratta principalmente di eventi di tipo DDoS a danno di siti Web di pubbliche amministrazioni e imprese con un significativo aumento nel 2023 (319 eventi DDoS, +625% rispetto al 2022).
Crescono le minacce da phishing, malware e ransomware: “Tali eventi cyber possono essere associati a una o più tipologie di minacce: ad esempio, un evento di phishing spesso è finalizzato anche alla diffusione di un malware, che può essere a sua volta un evento di tipo ransomware”, precisa il report. Per quanto riguarda i settori di attività dei soggetti target, prevalgono le telecomunicazioni e la pubblica amministrazione, sia a livello locale che centrale.
Minacce che mettono sotto attacco la resilienza delle infrastrutture digitali (a cui è dedicato il secondo capitolo) legata anche alla messa in sicurezza del perimetro di sicurezza nazionale (Psnc) e all’attuazione della Direttiva Nis2. Tutti ambiti in cui l’Agenzia – essendo organismo per la certificazione della sicurezza nazionale – ha operato per “la costruzione di un ecosistema digitale sicuro”, aderente agli standard riconosciuti a livello europeo, tra cui il Cybersecurity Act a beneficio del mercato unico dell’UE.
Tra i temi trattati anche quello della migrazione sicura al cloud, regolamentata attraverso decreti e un documento unitario per razionalizzare i vari passaggi, oltre al lavoro per la definizione europea della certificazione cloud (Eucs), “processo che presenta profili di particolare complessità e delicatezza, anche in considerazione del fatto che lo schema dovrà contemperare le esigenze di mercato con le istanze di autonomia e di non dipendenza da tecnologie extra-UE – riporta l’analisi -. In questo ambito, peraltro, si colloca il simultaneo impegno dell’Acn di assicurare che lo schema di certificazione europeo e il sistema di qualificazione nazionale dei fornitori di servizi cloud e di infrastrutture digitali siano coerenti”.
Tra i temi trattati anche quello della migrazione sicura al cloud, regolamentata attraverso decreti e un documento unitario per razionalizzare i vari passaggi, oltre al lavoro per la definizione europea della certificazione cloud (Eucs), “processo che presenta profili di particolare complessità e delicatezza, anche in considerazione del fatto che lo schema dovrà contemperare le esigenze di mercato con le istanze di autonomia e di non dipendenza da tecnologie extra-UE – riporta l’analisi -. In questo ambito, peraltro, si colloca il simultaneo impegno dell’Acn di assicurare che lo schema di certificazione europeo e il sistema di qualificazione nazionale dei fornitori di servizi cloud e di infrastrutture digitali siano coerenti”.
Il terzo capitolo riguarda gli investimenti Pnrr per la cybersicurezza: dal potenziamento della protezione cyber della PA ai finanziamenti finalizzati tenendo conto dell’investimento del Pnrr in materia di Cybersecurity (Missione 1) per 623 milioni di euro. Le iniziative coordinate dall’Agenzia hanno permesso di raggiungere tutti gli obiettivi previsti per il 2022, tra i quali la creazione e lo sviluppo di un insieme di servizi cyber nazionali, ovvero un gruppo organico di iniziative che mirano a mettere a disposizione strumenti per la gestione del rischio cibernetico a livello nazionale, anche mediante sinergie tra PA e settore privato.
Fra le azioni e gli investimenti realizzati dall’Agenzia nel corso del 2023 si segnalano, in particolare, la costituzione del Csirt italiano e della rete di Csirt regionali, la creazione di un HyperSoc (una infrastruttura Hpc con strumenti di AI e ML) e la realizzazione della rete di Isac a livello italiano e settoriale.
Ma la gestione cyber passa anche dalla cooperazione internazionale (quarto capitolo) avviata attraverso attività bilaterali e multilaterali in raccordo con il ministero degli Affari Esteri e della Cooperazione Internazionale. Con la Cisa (Agenzia cyber degli Stati Uniti) si è ragionato anche sul nesso fra intelligenza artificiale e cybersicurezza, che ha portato l’Acn ad aderire al documento sulle Linee Guida per uno Sviluppo Sicuro dell’Intelligenza Artificiale, adottato da agenzie di 18 Paesi e che sarà oggetto del Gruppo di Lavoro G7 sulla cybersicurezza del 16 maggio prossimo.
Durante il 2023, l’Acn ha lavorato al Regolamento per la Cybersicurezza dei diversi organismi UE entrato in vigore a gennaio 2024, al Cyber Resilience Act (Cra) sui requisiti di cybersicurezza dei prodotti con componenti digitali, al Cyber Solidarity Act (CSoA) che introduce misure per rafforzare la solidarietà e le capacità dell’UE di individuazione, preparazione e risposta alle minacce e agli incidenti di cybersicurezza, al Cybersecurity Act con riguardo ai servizi di sicurezza gestiti.
Gruppi di lavoro sul tema anche con l’Onu per la definizione della quinta edizione del Global Cyber Security Index, identificando le aree di possibile miglioramento per i singoli paesi in diversi ambiti (misure legali, tecniche, organizzative, sviluppo delle capacità e cooperazione). Anche con la Nato, l’Agenzia ha continuato a seguire l’evoluzione delle politiche in materia di cyberdefence contribuendo alla sviluppo della Virtual Cyber Incident Support Capability, strumento di assistenza reciproca a sostegno degli sforzi nazionali di mitigazione degli effetti di significative attività cyber malevole.
Gruppi di lavoro sul tema anche con l’Onu per la definizione della quinta edizione del Global Cyber Security Index, identificando le aree di possibile miglioramento per i singoli paesi in diversi ambiti (misure legali, tecniche, organizzative, sviluppo delle capacità e cooperazione). Anche con la Nato, l’Agenzia ha continuato a seguire l’evoluzione delle politiche in materia di cyberdefence contribuendo alla sviluppo della Virtual Cyber Incident Support Capability, strumento di assistenza reciproca a sostegno degli sforzi nazionali di mitigazione degli effetti di significative attività cyber malevole.
Rimane strategico l’impegno portato avanti in tema di ricerca, innovazione, formazione (quinto capitolo) con la creazione di una rete di Cyber Innovation Network, per lo sviluppo di imprenditorialità innovativa. Le candidature ricevute per la selezione hanno permesso di avere una fotografia dell’ecosistema italiano dell’innovazione in tema cybersecurity, in modo che Acn potrà selezionare tra le startup italiane costituite da non oltre 60 mesi le più idonee per ricevere un finanziamento. “Ciò permetterà di identificare startup che lavorino sulle tecnologie emergenti con elevato potenziale di innovazione e scalabilità nell’ambito della cybersicurezza, valorizzando in maniera prioritaria tecnologie quali scienza dei dati, intelligenza artificiale, robotica, Internet of thing, blockchain, computazione quantistica e crittografia” precisa il rapporto.
Rientra in questo punto l’Agenda di Ricerca e Innovazione per la Cybersicurezza 2023-2026, pubblicata lo scorso giugno in accordo con il Ministero Mur, per promuovere la ricerca sulla cybersicurezza incluse università, amministrazioni pubbliche, imprese, consorzi pubblici e privati. Impegno su 60 argomenti prioritari, con un orizzonte temporale al 2026 (sicurezza dei dati e privacy, gestione minacce cibernetiche, sicurezza dei software e delle piattaforme, sicurezza delle infrastrutture digitali, aspetti sociali e risvolti umani, aspetti di governance e organizzativi) oltre che 19 tecnologie emergenti, tra cui l’intelligenza artificiale, il calcolo quantistico e i sistemi di controllo industriale. “Lo sviluppo di un ecosistema della cybersicurezza all’avanguardia può basarsi, infatti, solamente su un costante scambio con tutti questi attori, che favorisca l’emergere di soluzioni tecnologiche innovative, a sostegno dell’autonomia tecnologica nazionale ed europea. Particolare attenzione va poi dedicata alla formazione, non solo per incoraggiare la crescita di lavoratori qualificati, ma anche per allargare la conoscenza dalla scuola primaria fino ai percorsi professionalizzanti per chi è già impiegato. Oltre agli specialisti, è però indispensabile approfondire la consapevolezza cyber di base di tutti i cittadini, così da garantire la pervasività della resilienza attraverso una maggiore attenzione al tema e pratiche di igiene digitale più diffuse” precisa Frattasi.
L’aspetto del monitoraggio e del coordinamento di tutte le attività rimane centrale per l’attuazione della Strategia Nazionale di Cybersicurezza 2022-2026 (sesto capitolo) con particolare riferimento alla evoluzione della minaccia e alla gestione di possibili scenari di crisi cibernetiche. Un tema che richiede consapevolezza e formazione di forza lavoro anche all’interno dell’agenzia. Gli accordi presi con le università e con gli Its coinvolgono per ora poche centinaia di studenti, sono di grande importanza per far fronte alla carenza di specialisti nelle discipline informatiche e, in particolare, nella cybersicurezza. “Al fine di sostenere i percorsi Its in materia di cybersicurezza e cloud computing, l’Agenzia ha approvato la creazione di borse di studio per la frequenza degli Istituti, che saranno assegnate a partire dall’anno scolastico 2024/2025”.
Un percorso di crescita che Acn deve fare anche per la propria struttura (settimo capitolo dedicato all’organizzazione e al funzionamento di Acn stessa) con il reclutamento di personale qualificato. Il processo di strutturazione dell’Agenzia porterà a un organico di 300 persone a valle di concorsi pubblici, per contratti a tempo indeterminato, inquadramenti straordinari di personale messo a disposizione da parte della PA, assunzioni a tempo determinato mediante procedure selettive pubbliche, aperte e comparative. “L’Agenzia per la cybersicurezza nazionale sta avanzando nel suo percorso verso la piena operatività, dotandosi di competenze, strumenti e procedure per assolvere al meglio alle sue funzioni istituzionali” conclude Frattasi.
Il prossimo 16 maggio spetterà al Gruppo di Lavoro sulla cybersicurezza del G7 riflettere sul legame tra sviluppo sicuro dell’intelligenza artificiale e cybersicurezza. Anche questo un tema che richiede preparazione e nuove competenze.
© RIPRODUZIONE RISERVATA
