Blog

Cybersecurity made in Italy

Posted by:

Cybersecurity made in Italy

Mentre a livello internazionale si discute della caduta dei perimetri della cyber security (limiti oltre i quali non ci si deve preoccupare), si sta prendendo coscienza dell’impossibilità di confidare su confini “sicuri”, semplicemente perché non esisteranno più. Il perimetro cyber sarà l’asticella capace di aiutare a compiere un salto di qualità al mercato dei prodotti e servizi, imponendo un profilo normativo basato su elevati standard di sicurezza, soprattutto se rivolto ai servizi essenziali ed al “procurement” della “P.A”. Sarà un perimetro dinamico e graduale, per tener conto dell’evoluzione del mercato e delle nuove minacce che maturano nel contesto internazionale.

In Italia è stata approvata la Legge sul perimetro nazionale della cybersecurity, dopo un grande lavoro di cucitura tra i diversi governi, ministri e destini dell’AGID, con la collaborazione decisiva del Dipartimento delle informazioni per la sicurezza (DIS). Per l’attuazione, i tempi previsti sono di poco inferiori ad un anno; ma un conto sono le previsioni di legge ed un altro le capacità di attuazione da parte delle amministrazioni, per di più distratte o peggio ancora “strattonate”, da un governo che si muove con un orizzonte politico precario.

Nel frattempo il contesto cambia: l’internet delle cose e la diffusione di servizi e infrastrutture 5G determineranno la fine di questi perimetri di sicurezza, portandoci in una dimensione della rete con illimitati punti di accesso e, quindi con superfici di attacco, come si dice, molto più estese delle attuali.

In estrema sintesi  proponiamo alcuni aspetti riassuntivi della legge 133/2019:

1 – vengono individuati enti pubblici e privati che gestiscono reti di importanza strategica;
da questi enti vengono segnalati i problemi di sicurezza delle reti e delle apparecchiature relative;
2 – l’Autorità (Presidenza del Consiglio e Ministero dello Sviluppo Economico) stabilisce principi e linee guida di intervento che riguardano gli acquisti, l’organizzazione e le responsabilità interne;
3 – il Centro Nazionale di valutazione e Certificazione (CNCV), istituito presso il Ministero dello Sviluppo economico, valuta le segnalazioni sugli acquisti “critici”, indirizza le procedure d’acquisizione di tali beni e servizi, individua i laboratori in grado di effettuare test e certificazioni, si raccorda con i Centri autonomi della Difesa e degli Interni.

La produzione dei decreti attuativi dei punti 1, 2 e 3 ricade sostanzialmente sulla Presidenza del Consiglio e quindi sul DIS, che dovrà approntarli. E’ probabile che questa sequenza venga rispettata, nonostante le limitazioni delle risorse.

Ma per fare bene ciò che la legge prevede, occorrono disponibilità finanziarie addizionali e soprattutto nuove risorse umane, con esperienza internazionale. Sarebbe auspicabile, nella fase di implementazione che sarà sviluppata nei prossimi mesi, dare incentivi concreti (risorse finanziarie e risorse umane) da mettere a disposizione delle amministrazioni incluse nel perimetro cyber e incentivi agli investimenti delle imprese private, che a loro volta entreranno a farne parte.

La sicurezza, infatti, è un investimento, non un lusso. Fa risparmiare risorse, non le fa perdere, non le fa bruciare o evaporare. Gli investimenti si fanno a fronte dei risparmi futuri e, come tali, si finanziano anche da parte dell’amministrazione pubblica. L’orizzonte non può che essere collocato in un futuro di anni, non di poche settimane.

Tra i settori più critici dell’intera filiera della sicurezza cyber, c’è quello della sanità, anche perché ci sono 20 sistemi informativi diversi, uno per Regione (e in realtà sono centinaia, poiché la maggioranza delle Regioni non ha unificato i sistemi delle diverse ASL o ATS).

Un elemento strategico (e critico) della massima importanza della legge

133/2019, è costituito dall’operatività del terzo punto sopra richiamato, che costituisce la macchina operativa più rilevante prevista dalla nuova norma e che ricade ampiamente sul CVCN, istituito presso il MISE.

Questo ministero ha patito le alternanze politiche che hanno caratterizzato gli ultimi anni.  Il Centro (previsto dal DPCM del 17 febbraio 2017) è stato istituito presso l’ISCTI, Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione, del Mise. Si svilupperà con la necessaria gradualità, sulla base delle risorse umane e finanziarie disponibili, avvalendosi, soprattutto nella fase iniziale, di collaborazioni con Università e Centri di Ricerca, nell’ottica di porre solide basi ad una iniziativa così strategica.

Tale quadro dovrà tenere anche conto delle disposizioni sulla realizzazione del “framework” di certificazione europea, contenute del cosiddetto “Cyber Act”, di prossima adozione nell’Unione Europea. Il Regolamento 881/2019 su ENISA e la certificazione si pone l’obiettivo di creare “un quadro per l’introduzione di sistemi europei di certificazione della sicurezza cyber, al fine di garantire un livello adeguato di sicurezza dei prodotti, servizi e processi ICT nell’Unione, oltre che allo scopo di evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della sicurezza cyber nell’Unione”.

Ogni paese dell’Unione Europea che si illudesse di poter risolvere il tema della protezione delle risorse critiche, con un approccio autarchico e con una definizione statica del perimetro nazionale, in un contesto in cui gli attacchi alla sicurezza vengono pianificati e perseguiti su scala globale, diverrebbe la preda prediletta degli squali del web.

BIBLIOWEB:

LEGGE 18 novembre 2019, n. 133 – Conversione in legge, con modificazioni, del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica (GU Serie Generale n.272 del 20-11-2019) https://www.gazzettaufficiale.it/eli/id/2019/11/20/19G00140/sg
Bollettino: Azioni utili per contrastare l’esecuzione e la diffusione di malware (in PDF allegato) https://www.cert-pa.it/wp-content/uploads/2019/11/CERT-PA-B006-191119.pdf
https://www.cert-pa.it/category/bollettini/
https://www.cert-pa.it/pillole-informative/
https://www.cert-pa.it/wp-content/uploads/2018/10/Phishing-Cert-PA.pdf
https://www.cert-pa.it/wp-content/uploads/2018/10/criptovalute-finale.pdf
https://www.cert-pa.it/wp-content/uploads/2019/06/Data-Breach.pdf
L’oro dei Big Data http://newmicro.altervista.org/?p=6557
Cibersecurity & Blockchain in Sanità http://newmicro.altervista.org/?p=4646
Buone carte per cambiare la PA (finalmente) http://newmicro.altervista.org/?p=5768
Health Literacy http://newmicro.altervista.org/?p=5677
Il DPO, L’uomo della Privacy http://newmicro.altervista.org/?p=5287
DataCracy http://newmicro.altervista.org/?p=4778
GDPR Now http://newmicro.altervista.org/?p=4728
Sicurezza dei dati Sanitari http://newmicro.altervista.org/?p=5934
Medical Smart Toys http://newmicro.altervista.org/?p=4594
@ Citizen, @ Health http://newmicro.altervista.org/?p=4479
L’e-Health è la nuova frontiera della sanità http://newmicro.altervista.org/?p=4372

 Rischi Connessi all’Informatica – F. Cassinari – Ospedale Maggiore di Lodi, 2019 (Ptx-FlipBook)

 

 Un Click per Leggere

 Azioni utili per contrastare l’esecuzione e la diffusione di malware – CERT-PA e Linee guida per la configurazione per adeguare la sicurezza del software di base – AgID, 2019 (PDF)

 

 Un Click per Leggere

 


Articoli correlati:

0
Giovanni Casiraghi

About the Author

Email: [email protected]
Go To Top
AVVERTENZA: Questo sito web utilizza i Cookies al fine di offrire un servizio migliore agli Utenti Maggiori informazioni