Minniti: "Nuova architettura cibernetica a protezione delle elezioni"

“Dopo la direttiva Monti del 2013, adesso abbiamo la direttiva Gentiloni sulla cyber-defense. Abbiamo creato uno scudo basato su tre pilastri che compongono la risposta unitaria del sistema paese ai possibili attacchi hacker”. E’ quanto ha dichiarato il Ministro dell’Interno Marco Minniti in un'intervista a La Stampa.

Il Piano nazionale per la protezione cibernetica e la sicurezza informatica

La protezione dei dati da minacce che ne pregiudicano l’autenticità, l’integrità, la riservatezza e la disponibilità è parte integrante del Piano nazionale per la protezione cibernetica e la sicurezza informatica Nazionale. Le informazioni costituiscono un valore intrinseco all’organizzazione, pubblica o privata, e imprescindibile obiettivo di ogni attacco cibernetico. La protezione cibernetica e la sicurezza informatica nazionali, per essere efficacemente perseguite, presuppongono, in prima istanza, un’approfondita conoscenza delle vulnerabilità – non solo del fattore tecnologico ma anche di quello umano – e delle minacce cibernetiche che le sfruttano, al fine rendere le reti e i sistemi, in particolare nel caso delle infrastrutture critiche, più resilienti, assicurando, al contempo, l’efficacia del contrasto. Il patrimonio informativo sensibile ai fini della sicurezza nazionale non è pertinenza esclusiva del settore pubblico, ma è integrato anche da quegli asset detenuti da soggetti privati operanti in settori strategici. Si è quindi reso necessario un approccio di sistema che consentisse un’armonica implementazione di standard minimi di sicurezza comuni, specie per i sistemi critici e strategici del Paese.

Minniti "abbiamo un'infrastruttura protettiva"

Il Ministero dell’Interno riveste un ruolo centrale per la protezione delle infrastrutture critiche informatizzate (in particolare attraverso il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche – CNAIPIC), grazie alle sue specifiche competenze investigative e forensi. Altrettanto rilevanti sono le funzioni di AgID, chiamata a dettare indirizzi, regole tecniche e linee guida in materia di sicurezza informatica e di omogeneità degli standard, ad assicurare la qualità tecnica e la sicurezza dei sistemi informativi pubblici e della loro rete di interconnessione e a monitorare i piani ICT delle amministrazioni pubbliche. Da ultimo, le capacità cibernetiche che l’Amministrazione della Difesa ha sviluppato a protezione delle proprie reti in territorio nazionale e in teatro operativo costituiscono una risorsa utile ai fini del potenziamento della NSC e, per il suo tramite, dell’intero Sistema-Paese.

I tre livelli

La visione del nuovo piano d’azione è volta ad assicurare la messa in sicurezza degli assetti nazionali secondo una progressione dettata da una scala di criticità:

1° livello – sicurezza nazionale dello Stato [Comparto, Intelligence, Difesa, Interno ed amministrazioni CISR];

2° livello – le infrastrutture critiche nazionali [TLC, utilities, settore finanziario, trasporto ed altre amministrazioni pubbliche sensibili [Sanità, etc.]

3° livello – tessuto produttivo nazionale, cittadinanza.

L’approntamento di capacità di prevenzione e reazione ad eventi cibernetici richiede lo sviluppo di Computer Emergency Response Team (CERT) quali soggetti erogatori di servizi di assistenza tecnica, ricerca e sviluppo, formazione e informazione per i rispettivi utenti, pubblici e/o privati. La Direttiva NIS prevede, quantomeno a favore dei gestori di servizi essenziali, la costituzione dei Computer Security Incident Response Team (CSIRT), una nuova tipologia di organismo intesa quale evoluzione dei CERT in grado di assicurare una effettiva capacità di assistenza e supporto attivo alla propria constituency in caso di evento cibernetico. Nel contesto del recepimento delle novità introdotte dalla Direttiva NIS, occorre ridefinire il ruolo rivestito dagli attori presenti nell’attuale architettura nazionale (i vari CERT) e quelli che vi faranno ingresso (oltre a CSIRT, Autorità nazionale/i e punto unico di contatto). Nelle more del recepimento della direttiva NIS, sarà avviato un processo di progressiva unificazione dei CERT pubblici per sancire, nei settori di interesse strategico, la competenza esclusiva di un CERT nazionale unico, ovvero per creare una rete nazionale di CERT individuando un soggetto con poteri di coordinamento. La rapida evoluzione tecnologico-informatica comporta una veloce obsolescenza delle norme che disciplinano materie correlate alle tecnologie dell’informazione e della comunicazione. Pertanto, esse necessitano di periodiche revisioni e aggiornamenti, oltre che di integrazioni, anche per creare un substrato giuridico alle attività condotte ai fini della protezione cibernetica e della sicurezza informatica e per responsabilizzare gli amministratori e gli utenti delle operazioni da questi compiute sui sistemi loro assegnati.

La comunicazione circa un evento cibernetico occorso e le relative conseguenze assume un’importanza strategica, in quanto le singole Amministrazioni interessate ed i soggetti privati gestori di servizi essenziali devono essere in grado di fornire, ove necessario o opportuno, un’informazione completa, corretta, veritiera e trasparente, senza con ciò creare inutili allarmismi che verrebbero ad amplificare l’impatto economico e sociale dell’evento stesso.