L’Agenda di Ricerca e Innovazione per la Cybersicurezza 2023 – 2026 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è un documento di 50 pagine in cui è racchiuso lo scibile di ciò che occorre promuovere e intensificare per la tutela della cyber sicurezza.
È in qualche modo propaggine della relazione che l’ACN ha presentato al Parlamento il 19 giugno appena trascorso e, nella quale, l’accento è stato messo sulla consapevolezza e sull’autonomia strategica.
Relazione ACN: per la cyber resilienza dell’Italia servono autonomia strategica e consapevolezza
L’ACN, operativa ufficialmente dal primo settembre 2021, ha fornito una dettagliata retrospettiva relativa al primo anno di attività, puntando i riflettori sulla necessità di una maggiore consapevolezza in materia di sicurezza, rischi e minacce.
Consapevolezza e collaborazione sono due leitmotiv che si ritrovano anche nell’Agenda di Ricerca e Innovazione e, prima di scandagliarla, ci soffermiamo con l’ingegnere Luisa Franchina, Presidente dell’Associazione italiana esperti in Infrastrutture Critiche per capire quando questi due obiettivi siano raggiungibili.
La collaborazione tra Cosa pubblica e privati è possibile, spiega Franchina: “Il problema è legato ai finanziamenti e alla scelta dei partner. Sicuramente l’Agenzia come qualsiasi soggetto pubblico dovrà dimostrare trasparenza ed eque possibilità per tutti nella scelta dei partner e questo complicherà il processo. Per il resto tutte le aziende del mercato italiano sono in attesa di partecipare e siamo certi che la partnership pubblico privato potrà portare grandi giovamenti al tema della cyber sicurezza”.
C’è poi il tema della consapevolezza che prevede una corretta informazione e, su questo versante, c’è ottimismo: “Occorre lavorare sulla diffusione del messaggio nelle scuole ma anche e soprattutto verso la maggiore età. Il digital divide è finito con la pandemia e le fasce oggi più esposte sono quelle recentemente digitalizzate, ossia gli anziani. Occorre portare il messaggio attraverso tutti i media e anche attraverso la televisione e le famiglie e, inoltre, bisogna creare professionalità diffuse sulla cyber sicurezza non solo di livello universitario, ma anche di livello diploma e, gli Istituti tecnici superiori, in questo possono aiutarci molto”, aggiunge Franchina.
Gli obiettivi più ambiziosi da portare a compimento sembrano essere possibili ed è da qui che partiamo a esaminare il contenuto dell’Agenda.
Cyber security, Italia nel mirino: serve un fronte comune per difendersi meglio
Indice degli argomenti
Agenda di Ricerca e Innovazione per la Cybersicurezza
Sei aree, 18 sub-aree e 60 argomenti tra priorità nazionali ed europee, sono le pietre miliari che segnalano il percorso per raggiungere il traguardo. Tanto lavoro all’orizzonte in cui c’è tutto: Cloud, Blockchain, infrastrutture IT, comunicazioni, IoT, interazione uomo-macchina, AI, Big data, automazione di processi e altro ancora.
Per rendere meno fumoso il contenuto dell’Agenda, l’ACN ha suddiviso in tre fasi il percorso per raggiungere gli obiettivi prefissati, ovvero:
- Fase 1: la definizione di un’Agenda di Ricerca e Innovazione che tenga conto delle specificità del Paese
- Fase 2: la creazione di una rete formata da soggetti pubblici e privati che, insieme, sviluppino e intensifichino ricerca e innovazione nell’ambito della cyber sicurezza
- Fase 3: la creazione di un piano di investimenti finalizzato ad aumentare capacità e competenze affinché le imprese possano colmare le carenze delle tecnologie nel campo della cyber sicurezza.
L’Agenda di Ricerca e Innovazione fa riferimento alla Fase 1, con l’obiettivo di creare della conoscenza condivisa utile per il buon governo delle attività di ricerca e la loro pianificazione in favore dei settori pubblico e privato.
È un lavoro che vede impegnati l’ACN, ministero dell’Università e della Ricerca (Mur) e che si estende fino al 2026.
Aree, sub-aree e argomenti
La metodologia di sviluppo è multistrato e si snoda dalle aree fino agli argomenti, passando per dei raggruppamenti che sono caratterizzati dalle sub-aree, da considerare sotto capitoli.
Le sei aree sono:
- Area 1: Sicurezza dei dati e privacy
- Area 2: Gestione delle minacce cibernetiche
- Area 3: Sicurezza del software e delle piattaforme
- Area 4: Sicurezza delle infrastrutture digitali
- Area 5: Aspetti della società
- Area 6: Aspetti di governo
L’Area 1, che affronta il tema della privacy, tiene conto dell’ingegneria della protezione dei dati in tutte le sue dimensioni, considerando le tecniche crittografie nel loro insieme e le tecniche di autenticazione, autorizzazione e il controllo di accesso con garanzie di privacy.
La seconda sub-area, interamente dedicata alla crittografia quantum computing, ovvero l’evoluzione degli attuali sistemi crittografici che può violare, stravolgendo i paradigmi e le primitive di ciò che oggi riteniamo essere molto sicuro. C’è spazio anche per la crittografia omomorfica.
Crittografia omomorfica e quantistica: cosa sono e perché sono il futuro della sicurezza digitale
L’ultima sub-area dell’Area 1 tocca la Trusted information sharing, ossia la condivisione di dati all’interno di medesimi settori, ma anche tra settori differenti. È un tema di chiaro imprinting europeo a cui si aggiunge una visione nazionale per l’information storage e il ripristino dei dati in caso di necessità.
La gestione delle minacce cibernetiche invece include le tecniche di attacco e difesa per aumentare la resilienza e la capacità di risposta in caso, per esempio, di minacce ransomware o attacchi DDoS.
Sempre nell’Area 2 si affronta il tema delle scienze forensi digitali, che devono essere rifornite di approcci innovativi.
La sicurezza del software e delle piattaforme, ossia l’Area 3, è orientata allo sviluppo con linguaggi appropriati, una più accorta gestione del ciclo di vita del software e, non da ultimo, percorsi di test delle applicazioni che tengano conto delle vulnerabilità.
Cyber security awareness: percorsi formativi per non sbagliare
Una sub-area sposta invece il focus sui sistemi operativi e le tecnologie per la virtualizzazione, la loro protezione continua anche in rapporto all’hardware su cui sono eseguiti.
C’è spazio anche per la blockchain e i problemi di sicurezza degli algoritmi di consenso e di mining.
La sicurezza delle infrastrutture digitali stringe il campo sull’hardware e la necessità di creare architetture aperte, sicure e resilienti a trojan e componenti fisiche malevoli. Sempre nell’Area 4 si parla anche di reti e quindi anche di reti cellulari e dispositivi IoT.
Formare l’essere umano digitale
L’Area 5 salpa dal digitale per approdare all’analogico, mettendo al centro l’uomo e la necessità di aumentarne la consapevolezza tanto in materia di rischi quanto in relazione alla sua competenza in materia di cyber sicurezza. Da una parte la necessità di formare l’uomo, dall’altra quella di avere un impianto normativo che disciplini gli usi impropri delle tecnologie, con particolare rilevanza per la distribuzione di dati ottenuti illegalmente.
La governance, ossia l’Area 6, è incentrata sul miglioramento continuato delle procedure per la valutazione del rischio e la creazione di standard di difesa per le diverse tecnologie e l’accettazione di standard internazionali.
Va ribadito, per non sminuire il valore dell’Agenda di Ricerca e Innovazione, che è una roadmap, la Costituzione di uno Stato cyber resiliente, capace di comprendere appieno i rischi del digitale e di sapervi far fronte.
Le modalità in cui gli obiettivi a tendere dovranno essere raggiunti entro il 2026 saranno oggetto di altri documenti, a loro volta frutto di tavole rotonde, sperimentazioni, investimenti e lavoro.
Leggere il futuro
Rispetto al raggiungimento degli obiettivi prefissati nell’Agenda, Claudio Telmon, Information & Cyber Security Advisor di P4I Partners4Innovation, ha offerto vari spunti di riflessione: “L’Agenda mi sembra un passo molto importante nella direzione di consentire all’Italia e all’Europa di costruire una propria capacità di garantire la sicurezza di un’economia e di una società sempre più digitali. Gli ambiti di ricerca inclusi nell’agenda sono tutti molto rilevanti, e spaziano dalla ricerca più teorica a quella applicata. Non dobbiamo trascurare l’importanza della ricerca teorica, come alcuni ambiti di ricerca in crittografia, perché questa costituirà la nostra capacità di sviluppare soluzioni nel prossimo futuro. Ne è un esempio la ricerca sulla post-quantum cryptography. Proprio per questo però, credo sia importante assicurare che i risultati si trasformino in una capacità dell’Europa di ridurre le dipendenze problematiche che abbiamo nel settore del digitale. Questo sia dal punto di vista della proprietà intellettuale dei risultati, sia, soprattutto, in termini di costruzione di una capacità di tradurre quella ricerca in soluzioni di mercato. L’Italia ha infatti sempre prodotto dell’ottima ricerca, ma è debole nella capacità di supportare lo sviluppo di aziende che quella ricerca la rendano un patrimonio europeo di prodotti e servizi.
Entrando più nel merito, molti dei temi sono direttamente o indirettamente riconducibili ai servizi in cloud, che è proprio una delle aree in cui l’Europa ha una dipendenza importante. La crittografia omomorfica, ad esempio, permetterebbe di utilizzare servizi in cloud senza esporre eccessivamente le informazioni aziendali. Non parlo solo dei dati personali, ma anche di quel patrimonio di informazioni strategiche delle nostre aziende, a cui si pensa meno ma che sono altrettanto esposte e meno tutelate. Un altro ambito importante è quello della capacità di garantire e verificare la sicurezza dei prodotti, dai linguaggi di programmazione security-aware alle tecniche per rilevare vulnerabilità di sicurezza nel firmware. Temi molto rilevanti per migliorare la sicurezza della supply chain, messi in evidenza negli ultimi anni anche da casi come quelli di Huawei e Kaspersky, ma anche da normative di prossima emanazione come il Cyber Resilience Act. Ci sono poi diversi ambiti di impatto molto più immediato, come la sicurezza della virtualizzazione e delle piattaforme, o l’open cloud. Per alcuni di questi temi, credo sia importante che le iniziative siano fortemente orientate alla collaborazione a livello europeo, perché possono essere richiesti investimenti che ha poco senso vedere in una prospettiva puramente nazionale.
Nell’ambito molto importante degli Aspetti umani, trovo particolarmente importante l’argomento 5.4.1, “favorire l’accettazione di politiche e tecnologie di sicurezza da parte degli utenti finali”; spesso, la difficoltà nell’adozione di soluzioni di sicurezza deriva dalla loro poca usabilità, che porta gli utenti a rifiutare o aggirare le protezioni.
Importante anche l’area degli Aspetti di Governo, in particolare gli aspetti organizzativi e di gestione del rischio, che ci portano fuori dalla ricerca strettamente tecnologica. Molte vulnerabilità derivano infatti più da problemi organizzativi e di gestione, che dalla mancanza di tecnologie. Su questo viene un attimo da sorridere, quando si guardano i temi innovativi degli ambiti di ricerca, e li si confrontano con la realtà delle organizzazioni italiane, che ancora subiscono impatti altissimi per non aver adottato soluzioni di base come dei backup protetti. Quindi, capire come affrontare anche solo l’adozione efficace delle tecnologie esistenti, costituisce un passo importante, particolarmente se si vuole intervenire in modo efficace a supporto delle PMI.
Infine, non dobbiamo dimenticare che lo sviluppo della ricerca in cyber security nelle nostre università è anche presupposto perché questi temi entrino nel patrimonio di competenze dei professionisti di domani: non solo degli specialisti, ma anche dei progettisti, sviluppatori e sistemisti che troppo spesso non hanno nessuna preparazione al riguardo, e se la costruiscono sul campo a forza di cattive esperienze”.
