La cyber security in Italia “si muove” con passo cadenzato e regolare. La prova è tutta contenuta nella Relazione annuale dell’ACN di fine giugno, in cui sono elencate le attività svolte in accordo alla strategia nazionale comprese tutte le misure dedicate a creare un ecosistema industriale e di ricerca dedicato alla cyber security con azione specifiche di supporto economico finanziario sia all’imprenditoria che alla ricerca.
Un intenso programma di azioni sinergiche quello messo in atto dall’ACN, l’Agenzia per la Cybersicurezza Nazionale, in tema di sostegno all’innovazione e rafforzamento tecnologico e industriale del sistema Paese, culminato con la pubblicazione un’Agenda di ricerca e innovazione (R&I).
Ne abbiamo approfondito l’approccio e l’impostazione con Monica Scannapieco, direttore della divisione “Programmi di Ricerca e Awareness” dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Sicurezza come elemento di innovazione: cosa dice l’Agenda di ricerca e innovazione di ACN
Indice degli argomenti
I passi di un ecosistema virtuoso
Creare un ecosistema virtuoso dell’innovazione richiede la messa in moto di una serie di forze a livello nazionale. In tema di cybersicurezza partendo dalla strategia nazionale 2022-2026 dell’ACN le misure di sviluppo consapevole e sicuro delle tecnologie digitali, della ricerca e della competitività industriale (obiettivo 3), passano per la capacità di ricerca e il suo potenziamento, al fine di supportare a loro volta lo sviluppo industriale e tecnologico nativamente sicuro dal punto di vista informatico.
In attuazione a questi obiettivi il piano di implementazione della strategia nazionale e il correlato manuale operativo elencano rispettivamente una serie di misure di dettaglio e i rispettivi indicatori di misurazione.
Dallo scorso anno ad oggi, le misure sono progressivamente perseguite, impostando le condizioni per quelle progettualità che materialmente mettono a terra tutto lo sforzo strategico e tattico.
La disponibilità dei fondi del PNRR rappresenta naturalmente un ulteriore fondamentale tassello. Cruciale, fra tutte le azioni già avviate in tema di digitalizzazione e innovazione tecnologica, la pubblicazione dell’Agenda di Ricerca e Innovazione per la cybersicurezza che rappresenta un impegno congiunto tra l’Agenzia per la Cybersicurezza Nazionale e il Ministero dell’Università e della Ricerca.
Il documento ha lo scopo di far emergere, stimolare e governare gli investimenti in ricerca e innovazione nel delicato settore della cyber security, monitorarli nel tempo e valutarne le ricadute sulla protezione del Paese con l’obiettivo di proteggerlo e rafforzarne l’autonomia strategica.
ACN, cosa c’è nell’Agenda di Ricerca e Innovazione per la Cybersicurezza
Il fine ultimo del documento è creare un ecosistema virtuoso dell’innovazione nei settori pubblico e privato ed è rivolta a tutti gli attori che operano direttamente o beneficiano della ricerca sulla cybersicurezza in Italia, incluse università, amministrazioni pubbliche, imprese e consorzi pubblici e privati.
Per approfondirne alcuni aspetti è utile comprendere a in che modo sia stato concepito l’ecosistema virtuoso dell’innovazione per garantire una impostazione con una visione di lungo respiro ed una attuazione nel breve che sia sostanziale affinché tutto il processo funzioni in modo virtuoso. “Inquadrare il lavoro dell’agenda – spiega Monica Scannapieco – è un primo passo di un processo che si vuole attivare a partire dalla strategia cyber che indica i passi da seguire. L’agenda risponde all’esigenza di evidenziare e rappresentare una conoscenza condivisa su sei aree interdisciplinari di interesse, così che gli investimenti che si attiveranno, siano pertinenti a quella conoscenza e possano quindi materialmente risultare efficaci e misurabili. Concretamente si parte da 6 macro ambiti: ‘Sicurezza dei Dati e Privacy’, ‘Gestione delle Minacce Cibernetiche’, ‘Sicurezza del Software e delle Piattaforme’, ‘Sicurezza delle Infrastrutture Digitali’, ‘Aspetti della società’, ‘Aspetti di Governo’ (nell’accezione di governance n.d.r.) e si declinano dei temi specifici”.
“Con questa alberatura consideriamo le tecnologie emergenti per supportare o vincolare le aree e i temi. La mappatura nel documento è il risultato della sintesi operata guardando a realtà europee di riferimento: European Union Agency for Cybersecurity (ENISA), Joint Research Center (JRC), il Cybersecurity Body Of Knowledge (Cybok) e anche la Fondazione SERICS (Security and Rights in CyberSpace). La classificazione operata aiuta anche dal punto di vista terminologico. La fase successiva alla pubblicazione del documento è dedicata all’attuazione. Si pensa di mappare le competenze sul territorio nazionale, rispetto ai temi, per potenziare l’attuale maturità dei centri di ricerca e università. È necessario, infatti, dare continuità ai centri di eccellenza così come è ulteriormente importante far crescere realtà aggiuntive e allargare quindi il novero dei soggetti che possono dare un impulso alla ricerca. Infine, abbiamo assunto l’impegno di rafforzare l’autonomia tecnologica mantenendone il controllo per assicurare la necessaria trasparenza”.
La progettualità per delineare la strategia
La rete di soggetti di ricerca pubblici e privati che si costituirà attorno all’agenda di ricerca sarà chiamata a cooperare per rafforzare la postura cyber a livello nazionale, ma a livello locale, sarà la capacità di impresa a fare la differenza sia per il recupero tecnologico nel settore della cybersicurezza sia per il raggiungimento dell’autonomia strategica del Paese.
Ma come si coniuga l’agenda con i fondi disponibili fra PNRR e altri possibili da utilizzare, dal CNR e dagli altri soggetti interessati, per i temi indicati al fine di favorire la progettualità? Anche in questo caso siamo interessati alla comprensione del processo che dall’agenda fa scaturire progettualità e coperture in economics.
“L’agenda – risponde il direttore Scannapieco – è un documento strategico, mentre le proposte sono l’elemento centrale che indirizza l’effettiva realizzazione e solo queste saranno finanziate. Se volessimo fare un esempio pratico potremmo guardare a progetti come quello della Fondazione Security and Rights In the CyberSpace (SERICS), ma ci aspettiamo proposte di molti altri progetti secondo l’impostazione data dall’agenda. In particolare, ci aspettiamo che le progettualità sui temi di interesse possano evolvere dallo stadio di Proof of Concecpt (PoC) allo stadio di progetto pilota (Pilot) perché l’obiettivo finale è anche creare servizi evoluti e far crescere le realtà coinvolte nelle competenze di interesse”.
Relazione ACN: per la cyber resilienza dell’Italia servono autonomia strategica e consapevolezza
Accordi e bandi per la crescita dell’ecosistema
Le azioni concrete orientate alla progettualità si sviluppano in diverse direzioni. Oltre alla pubblicazione dell’agenda di ricerca e innovazione, sempre a fine giugno, è stato firmato un accordo di collaborazione tra l’Agenzia per la Cybersicurezza Nazionale, ACN, e la Conferenza dei Rettori delle Università Italiane, CRUI, con diverse finalità correlate: promuovere lo sviluppo di iniziative riguardanti attività didattiche, formative, di ricerca e di promozione della cultura della sicurezza informatica nel paese, sviluppando formazione accademica e professionale in cybersicurezza e la sua diffusione ad ogni livello pubblico e privato, organizzazione di iniziative utili alla promozione e diffusione della cultura della sicurezza informatica, sia in ambito accademico che più in generale nella società, coordinamento e supporto agli Atenei nell’interazione con l’ACN e nella definizione delle migliori pratiche per affrontare la sfida dello skill shortage nella cybersecurity, favorire il necessario scambio di informazioni e di buone pratiche, ma anche un impegno concreto a partecipare congiuntamente a bandi, programmi e progetti di ricerca nazionali e internazionali.
La progettualità, quindi, rappresenta il leitmotiv e il fine ultimo di ogni iniziativa. Lo stesso è accaduto con il bando per la costruzione della Cyber Innovation Network che il direttore Scannapieco chiarisce essere una parte importante degli sforzi dell’agenzia “tesi anche alla costruzione di una rete di soggetti acceleratori e incubatori per dare finanziamenti a startup. Questa rete sarà estesa anche a soggetti di ricerca. Gli uni e gli altri costituiscono interlocutori per promuovere rispettivamente le iniziative di incentivazione e quelle di realizzazione. L’intento è quello di partire da prodotti di ricerca a TRL basso (il Technology Readiness Level esprime il livello di maturità di una tecnologia n.d.r.) ed evolverli ad una maturità tale, da poter essere adottata sul mercato. Per fare questo occorre anche aiutare la crescita delle start up e delle medie imprese per superare la fase di avviamento e consolidarsi nel mercato nazionale e internazionale”.
