giovedì, Settembre 23

Cybersecurity, buona la prima Intervista all'esperto Stefano Mele

0

Cyberstrategy

Chi non sapeva già di questa maschera per il fumetto di cui è protagonista, o per il film che ne è stato tratto, negli ultimi anni ha avuto modo di conoscerla attraverso i telegiornali: il gruppo di hacker ‘Anonymous’, che lancia attacchi online in nome della libertà d’informazione in Rete, si mostra proprio con il volto di “V per Vendetta”. Il suo ‘hacktivismo’ è fra le minacce informatiche alla sicurezza italiana citate nell’ultima relazione annuale al Parlamento redatta dal Sis, il Sistema d’Informazione per la Sicurezza della Repubblica, l’insieme di organi e autorità incaricati delle attività informative mirate a difendere il Paese da pericoli interni ed esterni.

Il cyberspazio, il luogo di tutte le attività online, dal pagamento di beni e servizi alla gestione d’infrastrutture strategiche nazionali, di rischi è pieno: oltre all’hacktivismo ci sono la criminalità informatica, il terrorismo, lo spionaggio cibernetico, il sabotaggio e il ‘cyberwarfare’, le azioni ostili di altri Stati attraverso la Rete. L’anno scorso, scriveva il Sis nella relazione (pubblicata a marzo), c’è stato un aumento significativo sia di raid hacktivisti sia di intrusioni per acquisire informazioni sensibili e sottrarre know-how pregiato. Di queste intrusioni sono state vittime enti governativi, militari, ambasciate, centri di ricerca e società operanti nei settori aerospaziale, della difesa e dell’energia, e mentre gli aggressori hanno raggiunto un alto livello di organizzazione e sofisticazione i loro bersagli hanno “scarsa percezione della minaccia e della necessità di adeguate contromisure”.

Per proteggere il cyberspazio italiano, lo scorso dicembre l’ex presidente del Consiglio Enrico Letta ha adottato due documenti approvati dal Comitato interministeriale per la sicurezza della Repubblica (Cisr), il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la protezione cibernetica e la sicurezza informatica, resi pubblici a febbraio. Il Quadro -elaborato dal Tavolo tecnico cyber del Dipartimento delle informazioni per la sicurezza (Dis), parte del Sis- prevede il miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali, il potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese, l’incentivazione della cooperazione fra istituzioni e imprese nazionali, la promozione e diffusione della cultura della sicurezza cibernetica, il rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali online e il rafforzamento della cooperazione nazionale in materia di sicurezza cibernetica.

Sugli ultimi sviluppi della ‘cyberthreat’ (minaccia cibernetica) si è tenuta a Roma, il 15 e il 16 aprile, una conferenza intitolata ‘Cyber-Crime Conference 2014. Le nuove minacce del Cyber Spazio’. Ne abbiamo parlato con Stefano Mele, avvocato specializzato in Diritto delle tecnologie, Privacy e Sicurezza delle informazioni e direttore dell’Osservatorio InfoWarfare e Tecnologie emergenti dell’Istituto Italiano di Studi Strategici Niccolò Machiavelli, nonché consulente per organizzazioni nazionali ed estere in cyber-intelligence, cyberterrorismo e cyberwarfare e docente di queste materie in vari Istituti di formazione e ricerca nazionali ed esteri.

 

Professor Mele, lei ha partecipato alla conferenza anche con una relazione sulla cyberstrategy dell’Italia. Come giudica questa strategia?

Il documento strategico italiano pubblicato di recente è molto ben fatto, ben scritto e assolutamente completo. Anzi, c’è da dire che se è vero che si è fatto un po’ attendere, e abbiamo operato con un leggero ritardo rispetto agli altri Paesi europei, il lavoro svolto è molto buono e non fa rimpiangere l’attesa. Ciò non solo perché ha centrato tutti i pilastri strategici comuni a livello europeo e internazionale, i sei più importanti e condivisi a livello continentale fra i 13 da me individuati in un mio studio al riguardo. C’è di più: abbiamo fatto qualcosa che altri Stati non hanno fatto. Abbiamo prodotto anche un Piano nazionale di protezione, una procedura operativa che spiega che cosa il governo dovrà fare in tutti i settori nel breve periodo, il biennio 2014-2015, in conformità ai pilastri della strategia. Come noi hanno fatto questo solo altri due o tre Stati. Porre solo princìpi strategici è una debolezza da me rilevata nell’azione dei vari Paesi in questo campo, e il nostro l’ha evitata.

Come valuta la strategia italiana rispetto a quelle straniere, in particolare di ‘big’ come gli Stati Uniti?

A livello internazionale è fra le migliori rispetto a quelle che conosciamo pubblicamente, soprattutto tenendo presenti i ‘big’. Non dimentichiamo inoltre che fondamentalmente ogni cyberstrategy deve essere tagliata sulle esigenze di ogni singolo Paese. Gli Stati Uniti, ad esempio, o il Regno Unito o la Francia, altri big, hanno altre esigenze rispetto all’Italia. Il nostro Paese ha puntato alla costruzione di una cultura informatica, nella pubblica amministrazione e nelle società ma che deve arrivare anche al cittadino, perché questi ha un ruolo per la sicurezza nazionale nel cyberspazio: se il suo computer è infettato da un malware può essere usato da criminali per portare attacchi. È giusto che la cultura della sicurezza sia non solo per le pubbliche amministrazioni e per le aziende, ma anche per il cittadino, e la nostra strategia l’ha previsto, giustamente. Un altro elemento fondamentale della nostra cyberstrategy è la collaborazione fra pubblico è privato, e questo è necessario, perché la maggior parte delle infrastrutture critiche nazionali -trasporti, energia e così via- sono in mano a privati, e attraverso loro si potrebbe attaccare la sicurezza nazionale. Immagini che accadrebbe se un domani si violasse la sicurezza dell’Enel e si ‘staccasse la corrente’ al territorio nazionale. Le aziende, preciso, comunque già da tempo si sono premunite al riguardo; il governo incentiverà l’attenzione delle imprese, anche piccole e medie. Terzo elemento fondamentale della nostra cyberstrategia è la cooperazione nazionale, altrettanto essenziale, perché Internet connette tutti, dall’abitante della piccola città alla società dall’altra parte del mondo, perciò determinati ragionamenti devono essere svolti a livello internazionale. A quel livello servono anche riflessioni per colmare i numerosi gap in campo legislativo nel settore; la nostra strategia prevede che il legislatore si attivi ma serve anche un intervento a livello globale.

Quali sono le nuove minacce dalle quali la nuova strategia ci deve difendere?

La strategia deve difenderci da tutte, ovviamente. Grazie al progresso tecnologico Internet è ovunque, dalla tasca della giacca alla cucina di casa, quindi gli attacchi possono mettere in difficoltà tutti. Minacce nascono ogni giorno, i tecnici sanno che giornalmente si scoprono decine di ‘bug’ (errori dei software, nda), e non avere una cultura informatica aggrava il problema.

Quanto dobbiamo preoccuparci dei governi di altri Paesi?

Fino a questo momento la vera minaccia alla sicurezza nazionale dalle vie telematiche è lo spionaggio elettronico, che è portato da tutti i governi, ad alleati e nemici, in tempi di guerra e di pace. Su questo deve concentrarsi l’attenzione. Gli esecutivi nel mondo già da una decina d’anni stanno sfruttando tecnologie per condurre operazioni di questo tipo, secondo le tecnologie a loro disposizione. Il ‘cyberwarfare’ sta diventando una minaccia a cui prestare molto attenzione, e sempre più lo diventerà, con conflitti combattuti anche attraverso il cyberspazio, che in questo momento funge da agevolatore di attacchi tradizionali, ad esempio per disattivare i sistemi di sicurezza aerea in modo da facilitare i bombardamenti.

Quali interventi consiglierebbe al governo Renzi e al Parlamento per la cybersicurezza del Paese?

Dal mio punto di vista occorrerebbe guardare urgentemente alle normative, per dare copertura legale a ciò che può e non può essere fatto. Secondo, creare capacità di ‘early warning’ fattive, ben predisposte, per accorgersi di quando e di come si è attaccati. Terzo, e probabilmente la cosa più urgente fra le tantissime da fare, spingere molto sulla formazione e sulla cultura informatica a 360 gradi, dal cittadino alle pubbliche amministrazioni fino a politici e forze armate. Sempre di più i politici parlano di questo tema in consessi internazionali, è necessario che ne siano informati.

La revisione della spesa pubblica potrebbe incidere sulla nostra sicurezza informatica?

Effettivamente il periodo di contrazione economica che stiamo vivendo influenzerà moltissimo l’attuazione della nostra strategia e il livello di sicurezza informatica che otteremo, ma bisogna creare priorità perché non possiamo stare fermi. Le tecnologie si muovono velocemente. Già la burocrazia è una macchina farraginosa, l’immobilità in questo campo significherebbe avere problemi più costosi per lo Stato dell’investimento su un futuro che è già presente da anni.

L’Unione europea come contribuisce alla sicurezza digitale degli Stati membri? Potremmo cogliere l’occasione della presidenza di turno italiana per suggerire interventi?

Sicuramente il semestre di presidenza italiana a cui ci affacciamo è un’opportunità unica per l’Italia per dimostrare che il nostro Stato è ‘sul pezzo’, consapevole delle problematiche del momento e pronto a puntare sul cavallo vincente: la tecnologia e le norme sulla sicurezza per salvaguardare i cittadini e le pubbliche amministrazioni. L’Ue è molto attenta a queste tematiche, un anno e mezzo fa ha pubblicato la sua cyberstrategy, e sarebbe utile battere il ferro finché è caldo.

 

L’informazione che non paghi per avere, qualcuno paga perché Ti venga data.

Hai mai trovato qualcuno che ti paga la retta dell’asilo di tuo figlio? O le bollette di gas, luce, telefono? Io no. Chiediti perché c’è, invece, chi ti paga il costo di produzione dell'Informazione che consumi.

Un’informazione che altri pagano perché ti venga data: non è sotto il Tuo controllo, è potenzialmente inquinata, non è tracciata, non è garantita, e, alla fine, non è Informazione, è pubblicità o, peggio, imbonimento.

L’Informazione deve tornare sotto il controllo del Lettore.
Pagare il costo di produzione dell’informazione è un Tuo diritto.
"L’Indro" vuole che il Lettore si riappropri del diritto di conoscere, del diritto all’informazione, del diritto di pagare l’informazione che consuma.

Pagare il costo di produzione dell’informazione, dobbiamo esserne consapevoli, è un diritto. E’ il solo modo per accedere a informazione di qualità e al controllo diretto della qualità che ci entra dentro.

In molti ti chiedono di donare per sostenerli.

Noi no.

Non ti chiediamo di donare, ti chiediamo di pretendere che i giornalisti di questa testata siano al Tuo servizio, che ti servano Informazione.

Se, come noi, credi che l’informazione che consumiamo è alla base della salute del nostro futuro, allora entra.

Entra nel club L'Indro con la nostra Membership

Condividi.

Sull'autore

End Comment -->