In Italia ritardi istituzionali nei meccanismi di difesa
Le imprese si stanno attrezzando Il caso virtuoso della Francia
Il fenomeno del “chipping” ha radici antiche ed era tema di discussione già oltre vent’anni fa a Fort Lesley J. McNair, a poca distanza da Washington, nelle sale della National Defense University. Un microprocessore “bacato” – progettato ad hoc ed installato in dispositivi elettronici distribuiti capillarmente – può determinare la paralisi di sistemi informatici complessi, il fatale knock-out delle infrastrutture critiche, l’innesco di conseguenze apocalittiche.
La corrente notizia di un miniaturizzato chip che – nascosto tra i mille componenti di una scheda madre di Amazon e Apple – spia gli utenti suona quasi come una facezia in relazione agli scenari ben più inquietanti che fanno da quinta alla nostra quotidianità.
La preoccupazione, quindi, si incentra non tanto sugli aspetti acuti delle minacce alla cyber security, quanto piuttosto sulla irreversibile cronicizzazione delle insidie tecnologiche. Il timore rende spontaneo domandarsi quali siano le condizioni di salute del nostro Sistema Paese e le capacità “immunitarie” dinanzi a possibili aggressioni digitali.
In Italia la situazione non è certamente qualificabile tra le più all’avanguardia, pole position che spetta a Nazioni come la Francia dove si è addirittura arrivati a sviluppare un sistema operativo di base non vincolato commercialmente (e tecnicamente) a fornitori (come nel caso di Windows e Mac) e strutturato con i più elevati livelli di protezione. Il CLIP-OS (giunto già alla versione 5.0) è il risultato di un progetto con oltre dieci anni di storia, indizio questo di una lungimirante visione strategica.
La sicurezza parte proprio dalle istruzioni elementari su cui si basa il regolare funzionamento di computer, server, reti: oltralpe hanno ben compreso quale debba essere l’approccio che si pone diametralmente opposto rispetto quello adottato dalle nostre parti.
Il contesto tricolore è caratterizzato da un impegno a macchie di leopardo sul fronte delle imprese (dove alcune eccellenze fanno ben sperare in una positiva contaminazione) e da un non trascurabile ritardo sul versante istituzionale (dove le intersezioni burocratiche ostacolano anche i migliori propositi).
Le aziende – spesso colpite al cuore da attacchi mirati o finite nelle sempre più sgradevoli operazioni di pesca a strascico dei ransomware – hanno maturato obtorto collo una certa sensibilità: il ritrovarsi gli archivi saccheggiati o il dover fare i conti con migliaia di file criptati e resi inaccessibili ha forzato anche i più scettici a considerare il pericolo hi-tech. L’obbligo di segnalare le violazioni di dati personali (o data breach) sancito dal Regolamento Europeo in materia di privacy e lo speculare rischio di sanzioni pecuniarie iperboliche hanno dato una ulteriore spallata alla ritrosia ad implementare misure di sicurezza davvero adeguate.
Il duello per le competenze incrociate ha azzoppato la corsa dell’apparato statale, facendo arrivare in ritardo i provvedimenti normativi (si pensi al “decreto Monti” apparso solo nel 2013), privilegiando più la redazione di astratte linee guida e la stipula di “protocolli di intesa” che non azioni concrete. La “cyber” è diventata l’arena in cui si sono trovati a competere il Ministero della Difesa, quello dello Sviluppo Economico e il dicastero dell’Interno, sorpassati al photo finish dal Dipartimento per le Informazioni e la Sicurezza. Lo stanziamento pubblico di 150 milioni di euro – che ha stuzzicato gli appetiti anche dei parvenu del settore – non ha avuto esito: la mancanza di un piano di intervento ha frenato persino una già deliberata capacità di spesa.
Tra il “l’è tutto da rifare” di Bartali e il “ricomincio da tre” di Troisi scelgo quest’ultimo. Vale la pena salvare il lavoro svolto e metter ordine. Immaginando una “Forza Armata Cyber” ad occuparsi di difesa, gli Esteri a fissare regole d’ingaggio, l’intelligence ad anticipare il da farsi, il MISE a coordinare la politica industriale, l’Interno ad acciuffare i criminali informatici e la Giustizia a punirli, manca solo un buon coordinatore con le idee chiare. Frankenstein jr. docet, “si può fare”. Consigliere d’Amministrazione di Olidata
Spa con delega sulla Cybersecurity