Quasi tredicimila attacchi nel 2022. Contro infrastrutture critiche del paese, sistemi finanziari e aziende di settori strategici come comunicazione e difesa. Per l’esattezza 12.947, con un aumento del 138% rispetto al 2022, e con 332 persone indagate (+78%). E ancora: a subire frodi informatiche sono state 156 tra grandi, medie e piccole imprese, per un “bottino” di oltre 20 milioni di euro, e di questi oltre 4 milioni sono stati recuperati dalle forze dell’ordine.
Sono alcuni dei dati del Cnaipic, la struttura specializzata in cybersicurezza della Polizia postale e delle comunicazioni. Mai come nell’anno appena trascorso la sicurezza cibernetica dell’Italia è stata così pesantemente nel mirino di campagne a livello internazionale che le tensioni causate dalla guerra in Ucraina hanno finito per acuire.
Nel 2021, con la Legge 14 giugno 2021 n° 82, l’Agenzia per la Cybersicurezza Nazionale (ACN) è entrata a far parte del Sistema Paese digitale con un particolare ruolo di preminenza. Infatti, sono state trasferite ad essa diverse funzioni precedentemente assegnate ad altri organismi con ruoli attivi in relazione agli obblighi determinati da specifiche normative (tra cui emerge in particolare il PSNC, Perimetro Nazionale Sicurezza Ciberbetica). Inoltre, sono stati predisposti alcuni regolamenti attuativi dell’Agenzia che definiscono regole in merito a organizzazione, funzionamento, personale e contabilità. Nunzia Ciardi, è vice direttore generale dell’ACN. Dal gennaio 2017 al novembre 2021 ha guidato proprio la Polizia Postale e delle Comunicazioni. L’abbiamo intervistata.
Polizia postale: tante truffe e attacchi, è stato un anno pericoloso per gli utenti internet
Indice degli argomenti
L’impianto normativo dell’Agenzia per la Cybersicurezza Nazionale
L’impianto normativo che coinvolge l’Agenzia è quindi decisamente articolato. In questo senso, ad oggi, ritiene che l’Agenzia sia riuscita a recepire al suo interno le numerose prerogative definite oppure è necessario ancora del tempo per fare in modo che l’assetto organizzativo possa raggiungere una piena operatività?
“L’assetto organizzativo dell’agenzia è in continua evoluzione, ricordo che siamo nati da poco più di un anno, ma la sua ossatura è ben definita. Stiamo ancora reclutando personale e dotandoci degli apparati strumentali necessari ma le nostre divisioni sono già tutte operative”.
“Ovviamente abbiamo seguito delle priorità, con la divisione Operations, quella dello CSIRT, che, come sapete, è già intervenuta a supporto di soggetti istituzionali per rimediare a diversi attacchi cibernetici – alle Ferrovie, all’ex Ministero per la transizione digitale, agli ospedali – mentre i servizi di Certificazione e Valutazione sono stati avviati più di recente e quella delle ispezioni si è da poco insediata. Ci vorrà ancora un po’ di tempo, ma contiamo di essere presto completamente operativi. Il personale dell’Agenzia adesso conta 145 unità, saremo 160 a fine mese ed entro il 2023 saremo 300 per arrivare a 800 unità nel 2027”.
L’Italia dà un miliardo di euro alla cybersecurity: nuovi fondi nella Legge di Bilancio 2023
L’impatto sulle imprese delle attività dell’Agenzia
Le istituzioni hanno il compito di elevare i livelli di resilienza del paese in merito alla cyber security, pur considerando che ogni singolo deve avere consapevolezza e responsabilità nell’interfacciarsi con la rete, e farlo nel modo più sicuro possibile.
Per elevare il livello di attenzione del Paese con riferimento alle imprese, abbiamo visto come l’Agenzia abbia definito un protocollo d’intesa triennale con Generali e Confindustria in ottobre di quest’anno, L’obiettivo è chiaramente promuovere, valorizzare e diffondere tra le Pmi una maggiore consapevolezza dei rischi cyber e del loro impatto sul business.
Il protocollo inoltre prevede la creazione del “Cyber Index Pmi”, un vero e proprio rapporto che fotografa lo stato di consapevolezza in materia di cyber security all’interno delle organizzazioni aziendali di piccole e medie dimensioni che sarà sviluppato con il contributo dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, partner scientifico dell’iniziativa. Il “Cyber Index Pmi” sarà anche primo tassello del futuro “Cyber Index italiano”, previsto dalla Strategia Nazionale di Cybersicurezza, che andrà ad alimentare il “Cyber Index europeo”.
Il protocollo d’intesa è quindi un’iniziativa che permette di identificare una parte della strategia di azione dell’Agenzia per cercare di elevare i livelli di resilienza cyber nelle imprese italiane (soprattutto PMI). Sono già in programma ulteriori attività di questa portata (se può anticiparci qualcosa)? Come considera l’attuale livello di consapevolezza cyber delle imprese italiane, in particolare le PMI, considerando che le grandi imprese dispongono spesso di una struttura cyber avviata?
“Le Pmi non hanno sempre un indice di consapevolezza elevato nonostante il tema della cyber security stia piano piano emergendo nel dibattito pubblico, e spesso a causa di fatti criminali. Viceversa, le grandi imprese hanno un discreto livello di consapevolezza che non sempre si manifesta nella sua interezza. Ma il problema è proprio questo: le PMI rappresentano il tessuto connettivo del paese e la compromissione dei loro asset digitali può facilmente riverberarsi sulle grandi aziende di cui sono fornitori. È il famoso tema della supply chain e dell’importanza di proteggerla. Quindi non basta avere soltanto le grandi aziende protette, devono esserlo anche le piccole, e affinché lo diventino devono capire la posta in gioco. A quel punto sarà più facile capire che spendere in sicurezza non è solo un costo ma un investimento”.
La formazione alla cyber security è un investimento che ritorna
Il nuovo ruolo dell’Agenzia per le certificazioni cyber
In Italia, sono state da poco attuate, con il D.lgs. n. 123/2022 entrato in vigore lo scorso 4 settembre, le norme di adeguamento della normativa nazionale alle disposizioni del Regolamento 2019/881 (Cybersecurity Act) relative al quadro di certificazione della cybersicurezza.
Questa certificazione, adottata su base volontaria, svolge un ruolo cruciale. Il quadro così definito permetterà quindi di accrescere la fiducia e la sicurezza nei prodotti e nei servizi digitali, attraverso regole, requisiti tecnici, standard e procedure comuni in tutta l’area UE. Il decreto, infatti, oltre a designare l’ACN come autorità nazionale di riferimento in materia, individua nella stessa Agenzia il ruolo di regolatrice della certificazione della cybersicurezza, con compiti di vigilanza sui certificati e sulle dichiarazioni di conformità.
Che può dirci a riguardo? Come si pone l’ACN e quali sono i suoi sforzi rispetto a questa nuova competenza e rispetto ai certificati cyber in generale?
“La certificazione fa parte del “core business” della nostra missione istituzionale e la sua importanza è tale che abbiamo siglato con Accredia una Convenzione che dà il via alla collaborazione per gestire gli accreditamenti degli organismi di valutazione della conformità (organismi di certificazione, di ispezione e laboratori di prova) che operano per garantire la cybersicurezza verso soggetti pubblici e privati. La convenzione dà attuazione alle disposizioni del Cybersecurity ACT europeo in materia di accreditamento della rete di laboratori nazionale di certificazione”.
“Noi crediamo fortemente che la certificazione accreditata sia uno degli strumenti più importanti a disposizione di imprese e istituzioni per garantire un’adeguata sicurezza informatica di prodotti e servizi digitali. Più aumentano gli enti dotati di certificazione accreditata per la sicurezza delle informazioni più diminuisce il rischio di esposizione agli attacchi informatici. Aggiungo che l’Europa sta predisponendo i primi schemi di certificazione di servizi cloud e delle tecnologie 5G e l’Italia si deve far trovare pronta a questo appuntamento”.
Guerre e instabilità mondiale, cyber crime e Cyberwarfare
Sono tutti temi e problematiche all’ordine del giorno in tema cyber e nel mondo digitale in generale. I criminali approfittano di questa trasformazione online per colpire i punti deboli dei sistemi, delle reti e delle infrastrutture online. Sono sempre più agili e organizzati, sfruttano nuove tecnologie, adattano i loro attacchi e collaborano in modi nuovi, non conoscendo confini nazionali.
I cyber criminali non colpiscono più in maniera indifferenziata obiettivi molteplici, ma mirano a bersagli ben precisi appartenenti a specifici settori. Nel 2022, dagli ultimi dati emerge che l’85% delle aziende italiane hanno subito un attacco cyber, ma solo 1 su 4 ha una soluzione avanzata di gestione degli incidenti (Fonte: ANSA 2022).
Dalla sua lunga esperienza da dirigente della Forza Pubblica prima e come vicepresidente dell’ACN oggi, quali sono le priorità per preparare il Sistema Paese a queste minacce? Quali sono gli aspetti su cui puntare maggiormente per preparare l’Agenzia e le Forze dell’Ordine in generale a rispondere ad attacchi di questo tipo? Quali invece, ad oggi, le mancanze, le criticità e i deficit che riscontra?
“La priorità è la formazione. Formazione dei cittadini come utenti di tecnologia, formazione degli insegnanti, degli impiegati pubblici, di tutti coloro che per disattenzione o mancanza di consapevolezza possono aprire le porte ai criminali. Ovviamente il tema più rilevante è la preparazione di figure tecniche che possano contribuire a colmare quel divario professionale, lo skill shortage, di professionisti di cybersecurity.
L’agenzia ha avviato diversi programmi formativi in questa direzione. Abbiamo fatto un accordo con la Regione Lazio per una cybersecurity Accademy, poi abbiamo stretto un accordo col Ministero dell’Istruzione e cinque regioni per avviare dei corsi post diploma di due anni per preparare i giovani alla cybersecurity come mestiere, le abbiamo chiamate ITS Academy”.
“Per quanto riguarda le forze dell’ordine mi pare che stiano affrontando la sfida in maniera eccellente e questo glielo posso dire per esperienza perché ho guidato a lungo la Polizia Postale e delle Comunicazioni. Ma anche Carabinieri e Guardia di Finanza svolgono egregiamente il loro lavoro”.
“Chi si difende è sempre svantaggiato”
“Non parlerei di deficit, piuttosto direi che la situazione di chi gioca in difesa è sempre svantaggiata. I delinquenti e i nation state hacker hanno dalla loro parte il fattore sorpresa e chi si difende deve proteggere una superficie d’attacco sempre più vasta. Per cui direi che dobbiamo accettare di convivere con il rischio informatico imparando a gestirlo. La qualità di qualsiasi organizzazione non è di essere impenetrabile, ma ridurre questo rischio e sapere gestire gli incidenti una volta avvenuti”.
Istituzioni pubbliche bersaglio di attacchi DDoS: l’Agenzia cyber invita a tenere alta la guardia
“Se mi permette faccio anche questa osservazione. Ci sono incidenti che fanno più rumore di altri, gli attacchi DDoS ad esempio fanno molto rumore e danni relativi e poi ci sono gli attacchi ransomware, decisamente più insidiosi e pericolosi, ma purtroppo tanti incidenti non sono subito noti alle vittime perché i tempi di rilevamento possono essere piuttosto lunghi.
Inoltre, non abbiamo metriche precise per valutare il numero di attacchi perché ogni organizzazione usa criteri differenti per misurarli. Diciamo che alcune rilevazioni sono più attendibili di altre e quello che può essere utile sapere sono le tendenze degli attacchi, verso chi, cosa e come. Avere una mappatura del rischio e sentire esperti e interessati ci aiuta a fare previsioni migliori ed essere più preparati in caso di attacco”.
