Cybersicurezza: Gabrielli propone un'agenzia nazionale fuori dall'Intelligence
È al lavoro il Dis. Per sostituire l'Iic di Conte (ormai, affossato), una concreta via d'uscita è rappresentata proprio dall'agenzia nazionale cyber proposta da Franco Gabrielli
(AGR) Con la proposta di un'agenzia nazionale per la Cybersicurezza fuori dal comparto Intelligence, Franco Gabrielli intende rivoluzionare il mondo della sicurezza cyber con una scelta strategica. Ex capo della Digos di Roma, capo del Sisde, responsabile della Protezione Civile, prefetto, capo della Polizia, Gabrielli oggi è sottosegretario con delega sui servizi segreti e sicurezza in Italia. Questo ruolo lo vede al fianco del presidente del Consiglio Mario Draghi come Autorità Delegata alla Sicurezza Nazionale.
Nel mese di aprile, ha proposto la creazione di una nuova Agenzia di Sicurezza Cibernetica nettamente separata dall'Intelligence nazionale, caratterizzata da una partnership più forte tra pubblico e privato.
Quali sono i punti chiave di questo nuovo modello?
Perché questa nuova proposta di Gabrielli viene definita rivoluzionaria nel mondo cyber?
In cosa consiste il più stretto legame tra pubblico e privato?
Cybersicurezza: Gabrielli, "serve un modello più strutturale e resiliente"
I tempi sono maturi per "creare un'agenzia che tratti in maniera olistica e trasversale il tema della Cybersicurezza. Dobbiamo affrancarci da una modalità emergenziale". La nuova agenzia nazionale di cybersecurity deve essere istituita presso la Presidenza del Consiglio.
Con queste parole Franco Gabrielli ha presentato la sua proposta in occasione del convegno di FdI. Questa nuova agenzia nazionale deve sviluppare in Italia "la capacità di resilienza", deve resistere di fronte ad attacchi e minacce di vario tipo. Oggi, questa capacità risponde ad un bisogno primario per il Paese.
Il sottosegretario sottolinea che il comparto Intelligence, dal 2017, ha svolto una funzione di supplenza seppure importante. E' stato fatto molto con il Perimetro di sicurezza cibernetica,
i Dpcm attuativi, i centri di valutazione, ma ci vuole un modello più strutturale al di fuori del comparto Intelligence. Perché? Perché l'Intelligence si occupa di un aspetto, non della complessità della resilienza in tema di cybersecurity.
Prossimamente, verrà costituita la Direzione centrale della Polizia scientifica e della sicurezza cibernetica al dipartimento di Ps guidato da Lamberto Giannini, l'attuale capo della Polizia.
Partnership pubblico/privato: una scelta strategica
Gabrielli ha acceso i riflettori su uno dei temi più importanti in termini di cybersecurity. L'attivazione del Perimetro di sicurezza nazionale cibernetica impatterà notevolmente sulle aziende private e sugli operatori pubblici. Questi due soggetti possono trovare un interlocutore unico e comune proprio nella nuova agenzia nazionale di cybersicurezza proposta dal sottosegretario Gabrielli, finalizzata a supportare l'operatività di aziende e PA.
Così ha commentato Stefano Mele, avvocato e presidente della Commissione sicurezza cibernetica del Comitato Atlantico Italiano.
La cybersecurity necessita di un salto di qualità tra pubblico e privato, basato sulla correttezza e trasparenza dei rapporti e la definizione di un ente regolatore pubblico al di fuori dell'Intelligence. Bisogna, perciò, revisionare il Dpcm di attuazione del perimetro cibernetico prevedendo regole per le aziende in caso di minacce e incidenti.
Si inizierà con un periodo di sperimentazione per monitorare le esigenze dei soggetti destinatari.
Cybersecurity: il Dis va alleggerito di funzioni gravose, serve una nuova agenzia nazionale
Facciamo un passo indietro.
A gennaio 2013, il Decreto Monti fissò i termini della prima “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale” secondo cui il Presidente del Consiglio dei Ministri impartisce all'Intelligence direttive per rafforzare l'informazione e la protezione delle infrastrutture critiche, in particolare la protezione cibernetica e la sicurezza informatica nazionali. L'Intelligence funziona come soggetto istituzionale meno distante da una sorta di 'buco nero normativo' della cybersecurity in Italia.
Quattro anni dopo, durante il Governo Gentiloni, il decreto Monti fu sostituito da un provvedimento simile, che ampliava il ruolo di alcuni soggetti (nuovi compiti al direttore generale del Dis, costituzione del Nucleo per la sicurezza cibernetica nell'ambito del Dis).
L'inserimento di norme 'forti' (direttiva Nis, Legge 133/2019 per l'istituzione del Perimetro di sicurezza nazionale cibernetica e Cybersecurity Act, regolamento europeo in fase di attuazione) ha fatto emergere la stranezza del sistema di Intelligence in Italia, con un quadro normativo misto (europeo e nazionale), una duplicazione di ruoli tra le autorità competenti. La legge sul Perimetro ha portato a un doppio ruolo del Dis: da una parte, coordinatore di informazioni su attacchi e incidenti cyber, dall'altra, ispettore verso tutti i soggetti della PA inclusi nel Perimetro. Emerge il ruolo 'suppletivo' dell'Intelligence che dovrebbe, invece, raccogliere direttamente informazioni per prevenire azioni dannose contro asset strategici in Italia. L'Intelligence ha operato finora con funzioni di coordinamento interministeriale: funzioni che non si possono considerare al centro della sua missione istituzionale.
Il sottosegretario Gabrielli, centrando in pieno il problema, chiede perciò una nuova organizzazione di sicurezza cibernetica nazionale con un'agenzia vigilata dalla Presidenza del Consiglio dei Ministri in grado di restituire all'Intelligence le sue originarie funzioni. C'è da impostare un'architettura di sicurezza cibernetica nazionale ex novo.
I DPCM di supplenza del comparto cyber
Dopo la proposta, ad agosto 2020, dell'istituzione di una struttura normativa per il contrasto agli attacchi cyber nelle forniture ICT destinate ad enti pubblici e sensibili, è stato pubblicato in G.U., ad ottobre 2020, il primo DPCM che stabiliva quali soggetti pubblici e privati includere nel Perimetro Cibernetico.
Il 25 novembre 2020 è stato firmato il DPCM contenente la lista di 100 soggetti protetti.
Ad inizio febbraio 2021, il Ministero dello Sviluppo Economico ha approvato il DPR attuativo della legge sul Perimetro Cibernetico, per garantire la sicurezza delle reti di Tlc nazionali in vista dell'implementazione delle infrastrutture 5G.
Da questo DPR attuativo siamo passati al secondo DPCM “in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informativi”. Il DPCM ha confermato, per i soggetti inclusi nel Perimetro, l'ora utile per notificare un incidente informatico grave al Computer Security Incident Response Team (CSIRT) del DIS.
Cybersicurezza: Gabrielli e la nuova cyber agency, cosa ne pensa il Copasir
Il vicepresidente del Copasir (Comitato Parlamentare per la Sicurezza della Repubblica) Adolfo Urso (FdI) accoglie con entusiasmo la proposta di Gabrielli.
"La sicurezza nazionale non è soltanto il controspionaggio" ha commentato Urso.
Negli ultimi 3 anni, i tre documenti ufficiali redatti dal Copasir si riferiscono al 5G e alle telecomunicazioni, puntano a bandire la tecnologia cinese, non sicura per il nostro Paese. Riguarda anche il testo sul sistema bancario e finanziario. L'Italia non deve essere la preda di tutti, l'attenzione sulla Cina non è solo economica, rappresenta ormai una guerra di civiltà tra Occidente (che pone al centro i diritti delle persone) ed altri continenti (dove lo Stato ignora il rispetto dei cittadini e dei loro diritti).
Il Copasir, dopo 3 mesi di polemiche ed un mese e mezzo di inattività legata al cambio di maggioranza e di Governo, punta sull'economia digitale e spera, con la nuova proposta di Gabrielli, di tornare alla piena operatività.
In attesa che il Comitato riprenda le sue attività, Gabrielli ha evidenziato l'impostazione geopolitica dell'Italia e del nostro Governo, sempre più chiara dopo i recenti DPCM su 5G e Fintech.
Il lavoro è stato annunciato, ora va svolto. In genere, è il Copasir a guidare questi processi.
La nuova agenzia deve staccarsi dai Servizi segreti
Creare un'agenzia ad hoc per la cybersecurity al di fuori del comparto Intelligence rappresenterebbe una svolta per l'immagine del Paese rafforzando le capacità di resilienza contro il rischio cyber grazie alla cooperazione tra le Forze dell'Ordine, tra il COR (Comando Operazioni in Rete della Difesa), la polizia scientifica e la polizia postale potenziando la collaborazione tra pubblico e privato.
L'agenzia che ha in mente Gabrielli deve necessariamente staccarsi dai Servizi segreti (Dis, servizi informativi nazionali/internazionali), deve essere esterna al sistema di Intelligence. E' fondamentale per rimettere mano ad una riorganizzazione dell'apparato istituzionale in risposta al rischio cyber.
Franco Gabrielli conosce la mancanza in Italia di una consapevolezza del rischio cibernetico, la carenza culturale al riguardo anche in termini di formazione degli operatori pubblici e privati.
Secondo il nuovo progetto di Gabrielli, bisogna muoversi in due direzioni:
- da una parte, rilanciando il rapporto pubblico/privato;
- dall'altra, potenziando le competenze del comparto Intelligence, riportando nell'ambito "strettamente pubblico" cyber intelligence, cyber defense e cyber investigation.
In vigore da giugno il Cybersecurity Act: l'agency di Gabrielli alternativa all'Iic
Viene rottamato l'Istituto italiano di cybersicurezza (Iic), l'idea del Governo Conte-bis, fondazione metà pubblica e metà privata che doveva funzionare da raccordo alla rete dei centri cyber dell'UE per coordinare gli investimenti nel digitale e la cybersicurezza nel Recovery Fund.
A dicembre 2020, due delle agenzie degli 007 (Aisi e Aise), sospettando che l’Iic si rivelasse una terza agenzia cyber controllata dal Dis, hanno stoppato l'Iic.
Implementando la nuova agenzia cyber nazionale proposta da Gabrielli, si potrebbe avviare dall'esterno un’azione di reclutamento per reperire esperti senza dover seguire protocolli di sicurezza nazionale.
Sono in via di definizione i dettagli del “Cybersecurity Act”, il nuovo regolamento europeo che entrerà in vigore da giugno. L'obiettivo di questo regolamento europeo è istituire la rete dei “centri di competenza” nazionali da collegare all’Eccc in Romania.
Il regolamento chiede agli Stati membri dell'UE di indicare il proprio centro di competenza nazionale collegato all'EU Cybersecurity competence center di Bucarest entro la fine del 2021. A tal proposito, è al lavoro il Dis. Per sostituire l'Iic di Conte (ormai, affossato), una concreta via d'uscita è rappresentata proprio dall'agenzia nazionale cyber proposta da Franco Gabrielli.
Sarà sicuramente la nuova cyber agency di Gabrielli ad occuparsi del sistema di sicurezza nazionale costruito intorno al Perimetro Cyber, a verificare l'affidabilità dell'equipaggiamento 5G. Suo sarà anche il compito di spendere i fondi europei per la ripresa dedicati alla Cybersicurezza.
Franceso Ciano