Piano nazionale cyber-security: cosa dicono gli esperti

Giu 27, 2017 Marco Schiaffino Approfondimenti, In evidenza, RSS, Scenario 0

---

La chiave dei finanziamenti

Luci e ombre anche secondo Giulio Vada di GData, secondo il quale le novità introdotte rappresentano sicuramente un deciso passo avanti rispetto al passato.

“Uno dei maggiori benefici di questo intervento istituzionale sarà quello di promuovere lo sviluppo di un ecosistema fertile per la collaborazione tra pubblico e privato” spiega Vada, “che porti allo sviluppo di una vera e propria practice nazionale di cyber security capace di contrastare adeguatamente le nuove minacce e fungere da guida in un contesto internazionale di sostanziale insicurezza”.

Qualche perplessità, però, rimane anche secondo il Country Manager di GData. Prima di tutto per la scelta di affidare tutto a un decreto ministeriale. “L’uso di questo atto lascia dubbiosi sull’efficacia del piano nel medio e lungo periodo” spiega Vada. “Non avendo forza normativa è necessario che sia al più presto corroborato da proposte legislative che ne permettano la piena attuazione”.

A preoccupare, però, è anche l’assenza di riferimenti quantitativi e temporali. “Manca una chiara indicazione delle scadenze legate all’attuazione degli obbiettivi indicati nel piano. Soprattutto, non sono indicate le risorse economiche messe a budget per supportare questi obbiettivi ambiziosi”.

“I 150 milioni di euro stanziati della finanziaria 2016 sono insignificanti rispetto alle reali esigenze. Tant’è vero che sono già stati tutti utilizzati prevalentemente per le spese di personale” prosegue.

L’ultimo rilievo riguarda invece la creazione di un centro di certificazione nazionale delle tecnologie ICT e il cosiddetto fondo di investimento in start up innovative. “Il primo, che verosimilmente sarà legato alle centrali di acquisto della PA (Consip), fa suonare un campanello di allarme se si guarda alle recenti esperienze delle grandi gare pubbliche” nota Vada.

“Il rischio, anche in questo caso, è che diventi l’ennesimo sbarramento per le piccole e medie imprese dell’IT nazionale e un lasciapassare per le grosse multinazionali. L’investimento in startup, per quanto in generale sempre lodevole, non sembra ricoprire un ruolo cruciale nello sviluppo delle capacità difensive nazionali. Un intervento diretto nel mercato del venture capital, rischia di disperdere le (poche) risorse disponibili. Sarebbe più coerente concentrarsi nella ricerca e nella formazione” conclude.

Di “un tentativo di recuperare il tempo perduto” parla invece Marco Bavazzano, CEO di Axitea. “Personalmente ritengo che si stia procedendo nella direzione giusta anche se permane il problema della disponibilità delle risorse economiche per la realizzazione degli interventi perché il Piano Nazionale non definisce nulla di specifico a tal riguardo salvo che sarà il DIS (Dipartimento delle Informazioni per la Sicurezza) a gestire tali risorse, ed è chiaro che senza l’allocazione di risorse adeguate non sarà possibile raggiungere i risultati indicati, per lo meno nei tempi che l’escalation della minaccia renderebbe necessario”.

Bavazzano mette a fuoco poi un punto specifico, che a suo giudizio finora non ha trovato spazio nelle linee guida e tanto meno nel piano d’azione formulato in questo nuovo rilascio, che avrebbe un’importanza strategica per il miglioramento della cyber security posture dell’intero paese.

“Mi riferisco a una linea d’azione che potrebbe permettere di innalzare il livello di protezione delle nostre Piccole e Medie Imprese (PMI), che come ben sappiamo rappresentano il vero motore dell’economia nazionale e attualmente sono il vulnus più significativo della sicurezza delle nostre infrastrutture critiche” spiega il CEO di Axitea.

“I cyber criminali intenzionati a colpire una grande azienda sono ben organizzati a sfruttare le vulnerabilità dell’anello più debole all’interno del suo ecosistema di partner e fornitori composto per l’appunto da PMI. In quest’ottica il mio suggerimento è quello di implementare un laboratorio per la qualificazione di security provider e PMI all’interno di un sistema premiante per l’accesso a servizi di tipo bancario e assicurativo, con l’obiettivo di riconoscere che la protezione dal rischio cyber diminuisce oggigiorno in modo considerevole il rischio d’impresa”.

Il laboratorio che Bavazzano ha in mente si articolerebbe su due livelli: il primo dovrebbe far uso di competenze specialistiche molto elevate, per verificare la rispondenza dei servizi di sicurezza erogati dai provider alle PMI a una serie di criteri di qualità ed affidabilità che sono ritenuti essenziali per garantire un adeguato livello di protezione.

Il secondo livello, diffuso capillarmente sul territorio per garantire prossimità con le PMI e adeguata capacità di gestione delle richieste, dovrebbe invece fornire un cyber rating alle imprese sulla base di un’autovalutazione della rispondenza a misure minime di sicurezza da specificare, e l’adozione di servizi di prevenzione e gestione incidenti cyber da provider certificati dal laboratorio di primo livello.

“Questo meccanismo determinerebbe un ciclo virtuoso con importanti benefici sulla sicurezza nazionale” conclude Bavazzano.

---

• Axitea, ESET, FireEye, fortinet, GData, Piano Nazionale Cybersecurity

---

---