La nuova cybersecurity nazionale

In un centro congressi di Roma si sono dati appuntamento operatori del settore pubblico e privato, per fare il punto sulla situazione attuale della sicurezza informatica del Paese, alla conferenza dal titolo: “La nuova cybersecurity nazionale alla prova dei fatti”, organizzata da 360 Summit, Agenda Digitale e la testata Cor.com.

In un centro congressi di Roma si sono dati appuntamento operatori del settore pubblico e privato, per fare il punto sulla situazione attuale della sicurezza informatica del Paese, alla conferenza dal titolo: “La nuova cybersecurity nazionale alla prova dei fatti”, organizzata da 360 Summit, Agenda Digitale e la testata Cor.com.

Si è parlato dell’aggiornamento dei dati del cyber crime in un’era in cui le aziende e le pubbliche amministrazioni sono oggetto di nuovi attacchi da parte dei criminali informatici, le cui metodologie sono sempre in continua evoluzione.

Rappresentanti quali il Direttore di Agenda Digitale EU, il Presidente del Clusit, membri di ENISA (Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione) e manager di Symantec o responsabili per la cybersecurity di Confindustria hanno esposto la materia dal punto di vista delle aziende e degli organismi deputati a garantirne la sicurezza.

Interessante la tavola rotonda sulle norme attualmente vigenti e le misure in corso per attuarle, che vedono protagonisti figure quali il Presidente del CINI il prof. Paolo Prinetto, e Corrado Giustozzi quale consulente per la sicurezza cibernetica di Agid per il CERT della Pubblica Amministrazione, che ha fatto il punto sullo stato del’organizzazione dei Cert nella P.A. dopo l’emanazione della NIS che regola i rapporti fra enti statali e infrastrutture critiche e le modalità di gestione delle emergenze in caso di attacco ma soprattutto di prevenzione degli attacchi. Un’armonizzazione tra le norme del GDPR , regolamento che ha ad oggetto la gestione dei dati personali, all’interno del quale compare una differente classificazione dei dati, personali, genetici, biometrici e relativi alla salute, proprie delle precedenti normative, con le leggi vigenti.

Marcello Manca, VP di Gov & Industry Affairs sottolinea l’importanza delle certificazioni dei prodotti connessi a internet, in quanto siamo ancora in regime di autocertificazione, fino ad ora questa è assolutamente volontaria, e ne individua tre livelli tra base, intermedio e critico, l’ultimo dei quali necessita necessariamente di essere certificato. Serve quindi una diligence necessaria.

Il prof. Demetrescu, dell’Università di Roma “La Sapienza” segnala la necessità di creare ambienti protetti sicuri per le esercitazioni, per poter preparare dopo una attenta selezione studenti post laurea poichè serve istruire i “Formatori” che andranno a insegnare ai futuri operatori. Quest’anno infatti, la squadra di 26 giovani, emersi da una selezione di circa 700 persone, che è nata con un programma istituito da CINI, è arrivata terza alla competizione “European Security Challenge” 2017 che si è tenuta a Malaga.

Alessandra Camporota, Responsabile Innovazione del Ministero dell’Interno, che ha al suo interno cinque dipartimenti e venti data center, un Cert dicasteriale, un Ced interforze, banca del DNA, sistema informativo transfrontaliero e il CNAIPIC, citandone solo alcuni, ha parlato dell’adeguamento della struttura alle nuove normative e riferisce come dato 2,6 milioni di violazioni informatiche che si perpretrano annualmente.

Sandro Mari del Ministero dello Sviluppo Economico, nel suo intervento parla del DPCM Gentiloni come uno strumento per l’ottimizzazione dell’esistente e delle attività di condivisione con il Cert Nazionale fino alla sua progressiva unificazione. Nel MISE sono al lavoro per individuare una struttura per un centro di valutazione e certificazione nazionale, e sono in atto audizioni per comprendere la criticità, le funzioni e i compiti della struttura oltre la fornitura degli strumenti e la sua organizzazione.

Roberta Lotti membro del Comitato di Governo del Cert MEF, un tavolo interistituzionale permanente, comunica che il Ministero dell’Economia e delle Finanze (il quale ha al suo interno tra i tanti enti, Agenzia delle Entrate, Sogei, Ragioneria di Stato e un polo della GdF), affronta in modo sinergico l’adeguamento e che c’è una volontà di coordinamento centrale, sia per la parte normativa, in base ai decreti il Cert MEF eroga servizi, che per la decisione di pianificazione dell’investimento, per ciò che concerne gli investimenti condivisi.

La Presidente AIIC Luisa Franchina ribadisce con forza l’obbligo di notifica alle P.A. del furto dei dati, previsto già dalla Direttiva NIS.

Infine Il Prof. Baldoni della CINI e del dipartimento di Informatica della Sapienza parla della necessità di ridurre la vulnerabilità degli oggetti, si stima in numeri che 20 miliardi saranno oggetto di attacchi fino al 2020. Qual è il modo per ovviare a tutto ciò? Assumere informazioni per un vantaggio competitivo sul cybercrime, adoperare un metodo umano dello sviluppo dei software, e per gli attori governativi un consolidamento dei data center visto l’aumento esponenziale delle infrastrutture; ciò porterà a due tipi di nazioni, quelle in cui il livello di sicurezza sarà più elevato, e quindi vi è un processo adeguato di gestione del rischio dinamica, e quelle in cui quei requisiti sono deboli o assenti. Colui che attacca sceglierà certamente la nazione meno protetta e più esposta, vuol dire che la resilienza sarà il punto di discrimine.

Aspetteremo Maggio del 2018 per confermare se gli obbiettivi che sono nelle intenzioni della Pubblica Amministrazione saranno raggiunti e attuati pienamente.

 

Fonte: Stefania Fini

Commenti

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.