Gli strumenti di difesa da soli non bastano: quello cyber è un contesto human-centered che richiede sia competenze che strumenti. Ecco perché, nell’ambito della rivoluzione culturale associata al cyber, occorrono sia la collaborazione fra pubblico e privato, sia la formazione dei giovani e una maggiore consapevolezza da parte di ciascun cittadino, che è chiamato ad affrontare un momento di importante crescita culturale, in cui le regole non sono più quelle del mondo fisico. È l’appello del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale Roberto Baldoni, intervenuto alla presentazione dell’edizione di ottobre del Rapporto Clusit 2022

Prima di lui è stato il Presidente Clusit Gabriele Faggioli a stimolare la discussione sottolineando con forza che “l’Italia deve cogliere l’opportunità della transizione digitale per colmare le proprie lacune in materia di sicurezza informatica. Lo scenario geopolitico ci pone con brutalità davanti all’obbligo di avere infrastrutture resistenti ad attacchi esterni che potrebbero minare la capacità di erogare servizi essenziali ai cittadini. Credo che mai come ora sia fondamentale una scelta politica forte, e possibilmente univoca a livello europeo; mai come ora è importante usare al meglio le risorse del PNRR, nel contesto di uno sforzo politico e imprenditoriale collettivo che servirà per superare l’attuale crisi e per affrontare le prossime sfide”.

La risposta di Baldoni

A questo appello Baldoni risponde con i fatti. Partendo dalla posizione italiana, il Direttore Generale di ACN ammette che “la temperatura nazionale e internazionale è crescente sotto l’aspetto degli attacchi cyber. Vediamo che la situazione nel 2022 è sensibilmente peggiorata a seguito dell’invasione dell’Ucraina, con riferimento ad attacchi DDoS molto forti e campagne ransomware”.

Da qui le azioni in corso. Sul fronte del ransomware, Baldoni riferisce della sua partecipazione alla seconda edizione della International Counter Ransomware Initiative insieme ai rappresentati di altre 37 nazioni. A parte appurare che la piaga del ransomware è lungi dall’essere estinta, l’unico rimedio individuato è l’allineamento internazionale sui fronti già identificati nel primo appuntamento: resilienza, criptovalute, disruption e diplomazia.

In questo “ACN è di vitale importanza perché rappresenta l’hub centrale di coordinamento nazionale e internazionale insieme alla Polizia Postale, alla Guardia di Finanza, al Ministero della Giustizia e gli altri enti preposti. Il buon coordinamento interno è l’elemento chiave per avere un buon coordinamento internazionale, che è quello che serve per fronteggiare la minaccia”.

Strumenti e persone

Detto questo, “l’Agenzia si sta muovendo più velocemente di ogni più rosea aspettativa”: come rimarca Baldoni, ACN è nata nel 2021 superando a tempo di record tutti i passaggi legislativi necessari. Da allora ha dovuto confrontarsi con la ricerca di professionalità sul mercato. “Il 1 settembre 2021 c’era all’attivo un solo impiegato, io – sottolinea Baldoni. A fine 2021 il numero era salito a 90 persone, adesso siamo attorno a 150. Arriveremo a 300 per la fine del 2023”. Seguendo le regole della Pubblica Amministrazione sono stati indetti concorsi per le assunzioni, attualmente è attivo un bando per l’assunzione di personale tecnico diplomato, a brevissimo ce ne sarà uno per il personale non tecnico.

Uno degli elementi caratterizzanti di ACN è il forte approccio pubblico-privato promosso fin da subito dall’Agenzia. È un elemento fondamentale e Baldoni lo reputa un valore sotto tanti punti di vista, a partire dal fatto che un ampliamento del mercato stimolato da domanda e offerta consente alle aziende che realizzano prodotti di essere nelle condizioni di poter aiutare a difendere il Paese.

Tuttavia, ammonisce Baldoni, “lo strumento è un pezzo, servono le competenze per la difesa perché la cyber è un gioco human-centered, quindi servono competenze e strumenti insieme”. Da qui si sviluppa il discorso sullo skill gap ben noto agli esperti di settore. A questo proposito Baldoni sollecita l’orientamento dei giovani verso certi tipi di competenze che sono fondamentali per il futuro del nostro Paese. Il Direttore Generale di ACN ricorda che “nel mondo cibernetico, composto da milioni di device, dobbiamo avere una workforce che sia in grado di innovare, gestire e manutenere tutto questo sistema minimizzando il rischio connesso. Se non la avremo non riusciremo a gestirlo e a quel punto avremo una situazione drammatica e grossi problemi di sicurezza cibernetica”.

Per questo “dobbiamo sensibilizzare i giovani verso l’importanza di intraprendere percorsi di studio di tipo STEM. Per chi non entra in quel mondo perché ha talenti differenti – per esempio umanistici - è importante far capire che comunque la conoscenza di certi argomenti digitali è un must e deve comunque far parte della nostra cultura e della nostra crescita”.

Serve consapevolezza condivisa

Alla sensibilizzazione sui giovani si lega poi il discorso della consapevolezza generale. Baldoni esorta a “far capire agli italiani che stiamo vivendo un momento di crescita culturale, in un mondo cyber-fisico in cui le regole non sono più quelle del mondo fisico”. Le nuove regole che tutti devono apprendere non possono attingere dalla cultura popolare, che ne è totalmente priva. Occorre seguire le indicazioni delle Agenzie e capire che la cyber security non si delega: ognuno è responsabile della propria cyber security, sia esso un’azienda, un privato cittadino, un amministratore delegato o un funzionario pubblico.

Tutti devono conoscere le regole dello spazio cyber che, se seguite, portano a una diminuzione del rischio. Con la precisazione che il mondo cyber fisico e i rischi ad esso legati cambiano in funzione delle metodologie dell’attaccante, del contesto e di una serie di fattori, il che impone di aggiornare continuamente le regole, al contrario di quelle del mondo fisico, che una volta stabilite restano tali per decenni.

L’impresa sarà senza dubbio ardua e il percorso verso la consapevolezza condivisa non sarà certo breve. Il messaggio però è chiaro e condivisibile.