In una presentazione riguardante soprattutto la cybersecurity, organizzata dal Dipartimento per la Sicurezza della Repubblica, a Boccea il 18 marzo 2019, si è parlato molto anche di organizzazione dell’intelligence italiana, dei suoi punti di forza e, quindi, anche dei suoi limiti strutturali.

In primo luogo, l’argomento era quello dell’architettura delle reti di sicurezza dei Servizi, il loro potenziale tecnico di controllo e la utilizzabilità da parte di tutti gli operatori del Servizio, che è ancora un problema. Non è invece in questione la “finezza” della Rete e il suo aggiornamento.

Recentemente, Roberto Baldoni, vice-direttore del DIS e responsabile del Nucleo per la Sicurezza Cibernetica del Servizio, ha parlato di una perdita presunta globale, a causa del cybercrime, per il mondo e per il 2020, di circa 30 miliardi di dollari. Sempre per il vice-direttore del DIS, ma anche per l’attuale dirigenza, sarà essenziale selezionare e controllare i servizi essenziali e i loro operatori, oltre ai 465 OSE (Operatori dei Servizi Essenziali) che saranno presto messi in grado, dal DIS, di coprire accettabilmente la sicurezza delle loro reti.

Siamo già in ritardo, e la cyber-efficacia delle nostre Agenzie, a parte i settori coperti dal NSC del DIS, è già carente. Sia in difesa ma, soprattutto, in attacco. E sarà qui che si giocherà la nostra vera cybersecurity. Manca ancora, però, e sto parlando da insider, un sistema che segnali immediatamente l’entrata di minacce nelle reti nazionali, in tutte, e che ponga in allerta i sistemi paralleli di controllo-identificazione.

Troppe tutele fanno male anche alla difesa. E, certamente, pongono il classico problema della scelta, pericolosissima, tra una tutela e l’altra. Che non dovrebbe mai esserci. Né, a parte il NSC del Dipartimento per le Informazioni per la Sicurezza, è chiaro oggi chi abbia il controllo periferico di questi sistemi di controllo e, ancora, a chi si debba fare subito riferimento, in condizioni di pericolo o di carenza o di altro, quando uno o più OSE non siano operativi.

Il Comando Interforze per la Sicurezza Cibernetica, CIOC, ha già raggiunto la Initial Operational Capability, e poi la FOC Full Operational Capability durante quest’anno, ma non è chiaro quale sarà il rapporto con il DIS e la sua NSC, ma soprattutto non è chiaro come sarà disponibile to whom it may concern nelle Agenzie e a che velocità, che è proprio la domanda n.1. Sia il CERT-N, Computer Emergency Response Team Nazionale, presso il MISE, non ha un vero rapporto con il pubblico, a cui è peraltro rivolto, né è ancora chiaro il meccanismo di funzionamento del Punto di Contatto Unico NIS, che opera sempre attraverso il DIS.

Il problema vero, lo ripetiamo, è la rete distribuita tra gli operatori del Servizio e la loro capacità di interagire, in ogni momento, con ogni punto della rete che sia utile. Ogni rigidità, qui, è un pericolo. Gli attacchi cyber, lo ricordiamo e ce lo ha detto proprio Baldoni, sono aumentati del 561% nel 2018.

La questione è quindi caldissima e importantissima, con un sistema produttivo e finanziario, come quello italiano, da sempre molto poroso. Fin qui, comunque, la struttura dei Servizi italiani ha reagito anche utilizzando il Regolamento Europeo sulla Protezione dei Dati Personali e il D. Leg.18 maggio 2018 n.51sul trattamento dei dati personali. Ma qui non si tratta di proteggere i nostri dati sul piano legale, visto che mai, come nel cybercrime, il “diritto nasce vecchio”, ma di far sapere che si può fare più male noi di quanto non lo possano fare altri. Ed è qui che molte delle normative citate sono tutte ex post e di tipo contrattualistico, mentre, oggi, il crimine cyber è sempre più rapido e stealth.

Ci sarà, quindi, sulla base di questo meccanismo legislativo, la notifica di ogni data breach e la protezione de dati personali. Manca, ancora, la normativa interna allo CSIRT Computer Security Incident Team, che è in gran parte ancora da creare in termini operativi. La secretazione della lista degli Operatori dei Servizi Essenziali è ancora in alto mare. E, ancora, il progressivo frazionamento dei Servizi, la non sopita tensione tra AISE e DIS, lo scarso aggiornamento degli operatori delle Agenzie sul tema cyber sono, tutti, elementi che potrebbero mettere in serissimo pericolo questo nuovo assetto del nostro DIS. E creare danni colossali.

Di Ettore Maligni da MappeMondo