Il Piano nazionale di ripresa e resilienza (PNRR) dà molta importanza alla digitalizzazione del Paese, termine vago nel quale possono essere inseriti Cloud, IoT, Big data, modelli di business ma anche infrastrutture, cyber security e cultura digitale, che gira intorno a ogni forma di digitalizzazione.
Indice degli argomenti
PNRR, questione di scelte
Non ci si può fermare all’assegnazione dei budget, è necessario comprendere come vengono spesi i soldi stanziati e perché vengono fatte alcune scelte e non altre. Nello specifico, ci chiediamo se le risorse appannaggio della cyber security nazionale verranno impiegate soltanto per acquistare tecnologie e assumere profili idonei, oppure anche per i cambiamenti strutturali che devono investire le organizzazioni in ogni loro processo.
Se la trasformazione digitale affonda le proprie radici nei dati, è necessario che questi siano al sicuro e, per ottenere un simile risultato, non basta l’apporto tecnologico, soprattutto se non è inserito in un contesto di cultura della difesa e della sicurezza nel senso più ampio del termine.
Quell’attacco alla Regione Lazio
Prima di procedere, occorre fare un salto a ritroso. Siamo ad agosto del 2021, presso gli uffici della Regione Lazio o, meglio, a casa di un dipendente in smart working della Regione. Per motivi mai del tutto chiariti, il pc che aveva in dotazione è diventato veicolo per l’attacco ransomware che ha causato un danno – a quanto è dato sapere – limitato rispetto alle potenzialità di una simile offensiva.
Qui non ricostruiamo le conseguenze dell’incursione degli hacker ma ci concentriamo sull’episodio, perché ha spinto il governo, dell’allora premier Mario Draghi, ad approvare il decreto Legge 82/2021 il quale, tra le altre cose, ha portato alla nascita dell’Agenzia per la cybersicurezza nazionale, di fatto operativa a partire dal mese di settembre del 2021.
Il PNRR e l’Agenzia per la cybersicurezza nazionale
L’Agenzia per la cybersicurezza nazionale (ACN) sembra pensare più alle infrastrutture che alla cultura della difesa, almeno stando a quanto dichiara sul proprio sito web laddove i riferimenti, agli investimenti e agli obiettivi, sono esplicitati fino a tutto il 2024.
I fondi del PNRR stanziati per la cyber sicurezza ammontano a 623 milioni di euro, una cifra che rappresenta poco se non viene contestualizzata. Dall’ACN fanno infatti sapere “che i vertici hanno chiesto tre volte tanto, perché la ripartizione dei fondi è stata discussa prima dell’evento della Regione Lazio che è stato un po’ lo spartiacque. I soldi stanziati non sono molti, sono però abbastanza se si intendono come una leva per fare. L’Agenzia per la cybersicurezza nazionale li sta usando per ottenere il massimo”.
Attacco Regione Lazio, che dicono le norme: una lezione per fare meglio
Sviscerando per sommi capi il modo in cui l’ACN intende investire queste risorse si può comprendere quanti fondi sono, o saranno stanziati, per la diffusione della cultura necessaria all’adozione delle nuove tecnologie di difesa. Infatti, ogni nuova tecnologia porta con sé dei rischi e cadere nelle trappole disseminate dal cambiamento restituisce la figura del soldato che sta scavando la trincea al cui interno morirà in combattimento.
L’assegnazione dei fondi
L’ACN ribadisce che 174 milioni servono all’attivazione dell’Agenzia, al potenziamento delle capacità di prevenzione, di monitoraggio e mitigazione delle minacce cyber. Inoltre, verranno impiegati per i beni strumentali e il personale.
Altri 147 milioni servono per i laboratori di scrutinio e certificazione tecnologica, il CVCN di cui si invoca l’utilità da tempo, deputato al controllo dei software acquistati al fine di sancire che facciano ciò che dicono di fare e che non comportino rischi per la sicurezza.
I laboratori verranno costruiti anche in collaborazione con il mondo dell’industria e dell’accademia. C’è quindi una collaborazione con i privati ma, come vedremo, è squisitamente tecnica e non incentrata sulla diffusione culturale della sicurezza.
La parte più consistente, 301 milioni di euro, sono destinati al potenziamento della resistenza cyber della PA. Di questi, 150 milioni circa saranno investiti in favore di altre istituzioni, tra le quali il ministero dell’Interno, il consiglio di Stato e altre ancora. Tutto ciò per aumentare la capacità di risposta della PA, quindi reattività e non proattività.
L’ACN sottolinea che, nei 623 milioni di euro messi a disposizione nel quadro del PNRR, non c’è spazio per la formazione e la sensibilizzazione, che vengono demandate a un’azione comunicativa e degli accordi specifici fatti con i settori di competenza, tra i quali il ministero dell’Università e della Ricerca, le Università, con le Regioni, gli istituti tecnici commerciali e con le Its Academy. Tutte attività finanziate con i fondi del bilancio ordinario, ossia i 174 milioni di cui si è scritto sopra.
L’Italia dà un miliardo di euro alla cybersecurity: nuovi fondi nella Legge di Bilancio 2023
Altra cosa sono i fondi deliberati dal governo da qui al 2037, ulteriori 400 milioni di euro circa sui quali il Parlamento deve ancora pronunciarsi e che potrebbe decidere di ridurre o ampliare.
Tutte queste informazioni provengono direttamente dall’ACN che abbiamo interpellato.
L’Italia è attenta alla cyber security
Il miliardo di euro stanziato (tra PNRR e ulteriori fondi deliberati dal governo) offre una lettura che in linea di massima non ammette repliche: l’Italia si sta dotando delle infrastrutture per aumentare la propria resilienza agli attacchi cyber. Nonostante ciò, la sicurezza non è garantita soltanto dall’hardware e dal software, ha bisogno anche che lavoratori, studenti e cittadini siano più istruiti e formati e quindi attenti.
La cyber security deve essere un processo aziendale al pari degli altri e una dote che caratterizza i lavoratori, al pari delle conoscenze specifiche e tecniche relative alle professioni che svolgono.
L’uomo è l’anello debole?
La necessità del cambio di passo culturale è testimoniata anche da quanto accaduto alla Regione Lazio nel 2021. Un attacco ransomware non è sensazionale né complicato da bloccare, serve un nuovo paradigma, un approccio culturale e mentale diverso.
Se, come si continua a dire, in materia di cyber sicurezza l’uomo è l’anello debole, occorrono strumenti di difesa che suppliscano a questo stato di cose. Il caso della Regione Lazio è ancora una volta rivelatore: il ransomware si è diffuso con successo perché il dipendente, che sembra essere l’involontario responsabile dell’incidente, accedeva al PC con diritti amministrativi, aprendo così la via del contagio e della propagazione.
In conclusione, se l’uomo è davvero l’anello debole, occorre formarlo e renderlo culturalmente emancipato, dotando però le organizzazioni di sistemi di difesa efficaci. È anche sull’uomo che occorre investire ma, al momento almeno, l’istruzione non rientra nelle voci di bilancio.
