Innovazione

5G, che cosa dice il Dis (non cita il no del Copasir a Huawei)

di

Istituto Cybersicurezza

Che cosa è scritto nella relazione annuale del Dis sul 5G. Fatti e approfondimenti con le tensioni tra Copasir e Vecchione (Dis)

Che cosa pensa davvero il Dipartimento delle informazioni per la sicurezza (Dis) sul 5G?

La relazione annuale presentata oggi non menziona le prese di posizione “politiche” del numero uno del Dis, ovvero dei Servizi segreti, Gennaro Vecchione, che hanno fatto irritare i vertici del Copasir.

LA RELAZIONE DEL DIS SUL 5G

All’avvento del 5G ha fatto – e continuerà a fare – da sfondo uno scenario caratterizzato dal predominio tecnologico di alcuni attori e dalle preoccupazioni di altri rispetto al rischio di abuso delle nuove infrastrutture per finalità ostili, tale da richiedere un particolare impegno del Comparto sul fronte delle minacce potenzialmente connesse con l’implementazione delle reti di nuova generazione nel nostro Paese. E’ quanto si legge, nel capitolo che riguarda la cybersicurezza, la “Relazione sulla politica dell’informazione per la sicurezza” dei servizi segreti (Dis) al Parlamento.

LA PARTITA GLOBALE DEL 5G

Su un piano più complessivo – sempre secondo il documento – si sta giocando a livello globale una partita strategica nella quale sicurezza cibernetica e sicurezza nazionale sono indissolubilmente legate, la mancanza di autonomia tecnologica, che caratterizza il mercato digitale italiano ed europeo in genere, ha determinato l’esigenza di prevedere meccanismi di tutela che facciano leva contestualmente su screening degli investimenti e screening tecnologico.

SILENZIO SU HUAWEI

Nel documento allegato alla Relazione, si parla poi genericamente di “player stranieri”, senza alcun riferimento preciso ai gruppi cinesi Huawei e Zte.

“Il documento tiene quindi in equilibrio presunte spie e presunti spiati, senza fare riferimento esplicito né al gruppo di Shenzhen né alla Cina”, ha chiosato l’Agi diretta da Mario Sechi.

La relazione annuale del Dis dunque non menziona la risoluzione finale del Copasir che ha detto no a Huawei e Zte nel 5G.

(VECCHIONE DEL DIS DICE SI’ A HUAWEI)

(COPASIR IRRITATO CON VECCHIONE)

(LA GUERRA DIS-COPASIR SU HUAWEI-5G)

+++

+++

Ecco gli estratti dalla Relazione del Dis in cui si parla di 5G:

Intensi e coordinati sono stati gli sforzi posti in essere nella direzione del POTENZIAMENTO DELLA RESILIENZA CIBERNETICA DEL PAESE.

In un contesto nel quale:
• all’avvento del 5G ha fatto (e continuerà a fare) da sfondo uno scenario caratterizzato dal predominio tecnologico di alcuni attori e dalle preoccupazioni di altri rispetto al rischio di abuso delle nuove infrastrutture per finalità ostili,
tale da richiedere un particolare impegno del Comparto sul fronte delle minacce potenzialmente connesse con l’implementazione delle reti di nuova generazione nel nostro Paese;
• su un piano più complessivo, si sta giocando a livello globale una partita strategica nella quale sicurezza cibernetica e sicurezza nazionale sono indissolubilmente legate, la mancanza di autonomia tecnologica, che caratterizza il mercato digitale italiano ed europeo in genere, ha determinato l’esigenza di prevedere meccanismi di tutela che facciano leva contestualmente su screening degli investimenti e screening tecnologico.

Il nostro Paese ha dunque adottato un approccio basato su parametri oggettivi, individuando strumenti idonei a fronteggiare i rischi per la sicurezza nazionale.
Si è, in primo luogo, intervenuti estendendo al 5G l’ambito del cd. Golden Power, prescrivendo agli operatori di notificare i contratti per l’acquisizione di beni e servizi connessi a quelle reti conclusi con fornitori extra-europei.

Significativo è stato, poi, il contributo fornito dall’intelligence all’istituzione del “Perimetro di sicurezza nazionale cibernetica”, volto a consentire al Paese di fronteggiare adeguatamente le sfide poste dall’evolversi della minaccia cibernetica nelle sue molteplici forme, definendo un’area di protezione rafforzata dei nostri asset ICT strategici, in un quadro di forte sinergia interistituzionale e pubblico-privato.

A qualificare ulteriormente gli avanzamenti nell’ecosistema cyber nazionale è inoltre intervenuta la costituzione presso il DIS del Computer Security Incident Response Team-CSIRT italiano, struttura che si affianca al punto di contatto unico NIS e al Nucleo per la Sicurezza Cibernetica-NSC (anch’essi istituiti presso il Dipartimento e con i quali il Team è chiamato ad interfacciarsi) di cui risulta pertanto potenziato il ruolo di snodo dei livelli politico, operativo e tecnico.

+++

Del pari, ha catalizzato l’attenzione di AISI ed AISE il segmento delle telecomunicazioni, con riferimento tanto alle prospettive connesse alla tecnologia 5G, quanto all’integrità e allo sviluppo dell’attuale sistema infrastrutturale, connettore indispensabile in un ambiente sempre più digitalizzato.

In proposito, le acquisizioni intelligence hanno riguardato soprattutto le aggressive strategie di penetrazione del mercato domestico perseguite da player stranieri pure attraverso forme di ingerenza volte a “promuovere” la fornitura di propri prodotti, servizi e tecnologie e attività di lobbying/networking.

Di interesse informativo, inoltre, le vicende relative alla possibile realizzazione dell’infrastruttura nazionale della Rete Unica (banda larga) e il processo di consolidamento nel settore delle torri di trasmissione e dei data center (destinati ad assumere crescente rilevanza con il 5G), suscettibile di attrarre operatori finanziari animati da logiche puramente speculative.

+++

Reti di nuova generazione (5G)

L’anno trascorso – in cui gli sviluppi tecnologici e le correlate sfide hanno assunto una inedita dimensione geopolitica e geostrategica, confermando come il sistema di protezione cibernetica vada inteso in senso ampio, fino ad includere la sicurezza della supply chain – ha richiesto un particolare impegno del Comparto sul fronte delle minacce potenzialmente connesse con l’implementazione delle reti di nuova generazione nel nostro Paese. Nei confronti del 5G – che avrà impatti significativi su contesti industriali evoluti e su infrastrutture critiche per le quali lo stesso 5G sarà una tecnologia abilitante – l’intelligence ha cominciato ad operare a valle dell’assegnazione delle frequenze agli operatori di telecomunicazione attivi sul nostro territorio, conclusasi nell’ottobre 2018. L’elevata attenzione degli Organismi informativi va ricondotta alla circostanza che all’avvento del 5G ha fatto (e continuerà a fare) da sfondo un contesto caratterizzato dal predominio tecnologico di alcuni attori e dalle preoccupazioni di altri rispetto al rischio di abuso delle nuove infrastrutture per finalità ostili. Hanno confermato la portata globale di questa sfida gli interventi posti in essere dalla Commissione Europea con l’emanazione, il 26 marzo, di una Raccomandazione che ha chiamato gli Stati Membri ad effettuare un’analisi dei rischi di sicurezza del 5G a livello nazionale. Gli esiti di tale analisi, dai quali è stato ricavato l’assessment europeo (approvato ad ottobre), hanno costituito il punto di riferimento per la definizione di mirate misure di mitigazione (il cd. toolbox), finalizzate in dicembre e rese pubbliche il 29 gennaio 2020.

Nel risk assessment nazionale – elaborato dal Comparto, in raccordo con Ministero dello Sviluppo Economico-MiSE ed AGCOM e con il rilevante ausilio degli operatori assegnatari di frequenze – sono stati prima identificati gli asset più rilevanti dell’architettura 5G e poi analizzati i profili di rischio rispetto a intenzioni, mezzi e capacità degli attori ostili. Il nostro Paese ha adottato dunque un approccio basato su parametri oggettivi – connessi, cioè, alle caratteristiche della nuova tecnologia – individuando strumenti idonei a fronteggiare i rischi per la sicurezza nazionale. Si è, in primo luogo, intervenuti estendendo al 5G l’ambito dei poteri speciali attribuiti al Governo nei settori strategici (cd. Golden Power), prescrivendo agli operatori di notificare i contratti per l’acquisizione di beni e servizi connessi a quelle reti conclusi con fornitori extra-europei, inclusi quelli che, pur avendo sede legale in Europa, sono controllati da società site al di fuori dell’UE. In tale contesto, il Governo può opporre il veto all’acquisizione o imporre prescrizioni di sicurezza, la cui attuazione è oggetto di specifico monitoraggio. L’esperienza maturata in questo breve lasso di tempo ha visto diversi operatori effettuare notifiche, rispetto alle quali sono state prescritte stringenti misure di sicurezza. In base alla disciplina dettata dalla legge istitutiva del “Perimetro di sicurezza nazionale cibernetica” (vedi infra), tali prescrizioni potranno essere aggiornate a seguito dell’entrata in vigore dei regolamenti attuativi della predetta normativa, laddove fosse necessario adeguarne il contenuto rispetto alle nuove disposizioni e ai livelli di sicurezza da queste previsti. Nodali sono stati, anche in questo ambito, i rapporti con il settore privato intrattenuti in seno al Tavolo Tecnico Imprese (TTI), che ha visto crescere, tra l’altro, il numero dei suoi partecipanti, confermando ancora una volta la centralità della collaborazione tra istituzioni ed operatori privati strategici in materia di tutela della sicurezza nazionale cyber. In occasione di eventi che hanno interessato singole imprese appartenenti al Tavolo o settori determinati, si è provveduto a fornire ausilio mirato in formato bilaterale, a supporto delle azioni di rilevazione, mitigazione ed eradicazione di specifiche minacce. Ciò mentre, sul piano più generale, il TTI ha continuato a rappresentare la sede privilegiata per lo scambio di informazioni di natura tecnica sulle campagne ostili nonché per la condivisione di briefing di taglio analitico volti a contestualizzare l’attivismo nel dominio cibernetico dei principali interpreti della minaccia.

Perimetro di sicurezza nazionale cibernetica

Lo sviluppo più significativo registrato dall’ecosistema cyber nazionale è stato l’istituzione del cd. “Perimetro di sicurezza nazionale cibernetica” (Legge 18 novembre 2019, n. 133), iniziativa promossa dal Comparto al fine di consentire al Paese di fronteggiare adeguatamente le sfide poste dall’evolversi della minaccia cibernetica nelle sue molteplici forme, a partire da quelle di matrice statuale. Una minaccia accresciuta dalla sempre maggiore interconnessione dei sistemi e dall’avvento di nuove tecnologie – in primis il 5G e quelle rispetto alle quali il 5G sarà, come detto, fattore abilitante, inclusa l’Intelligenza Artificiale – che, se da un lato forniranno soluzioni native in grado di proteggere in modo ancora più incisivo i dati e le comunicazioni, dall’altro pongono delicati problemi sul fronte della sicurezza, e non solo sul versante tecnico. A livello globale si sta infatti giocando una partita strategica nella quale sicurezza cibernetica e sicurezza nazionale sono indissolubilmente legate. In questo contesto la mancanza di autonomia tecnologica, che caratterizza il mercato digitale italiano ed europeo in genere, ha determinato l’esigenza di prevedere meccanismi di tutela che facciano leva contestualmente su screening degli investimenti e screening tecnologico. In questo senso, l’adozione della Legge n.133/2019 di conversione, con modificazioni, del Decreto Legge 21 settembre 2019, n. 105, recante “disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”, ha finalizzato un processo, avviato nel 2018 a seguito di deliberazione del Comitato Interministeriale per la Sicurezza della Repubblica (CISR), frutto della necessità e urgenza, rilevate dal Governo, non solo di disporre del “sistema perimetro” in tempi rapidi, ma di prevedere altresì:

• il raccordo con la normativa sul cd. Golden Power in materia di apparati e tecnologie 5G, per gli aspetti relativi alla valutazione tecnica dei fattori di vulnerabilità, affidata al Centro di Valutazione e Certificazione Nazionale (CVCN), istituito presso l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione del MiSE con Decreto del Ministro del 15 febbraio 2019;

• l’assegnazione al Presidente del Consiglio di strumenti d’immediato intervento che consentano, su deliberazione del CISR, di affrontare con la massima efficacia e tempestività situazioni di rischio grave e imminente per la sicurezza nazionale in ambito cyber.

Nell’architettura disegnata dalla citata Legge 133/2019, il DIS – in coerenza con il mandato di supportare il Presidente del Consiglio dei Ministri nell’esercizio delle sue funzioni di alta direzione e responsabilità generale della politica dell’informazione per la sicurezza anche nel dominio cyber – è stato investito del compito di garantire il raccordo con le Autorità e i soggetti “perimetrati”, così da assicurare la coerenza e l’unitarietà di indirizzo nell’implementazione della norma. Per tali motivi, il CISR tecnico – presieduto dal Direttore Generale del DIS e composto dai Direttori degli Organismi informativi nonché da dirigenti di vertice dei Ministeri rappresentati nel Comitato – ha anche assegnato al Dipartimento il coordinamento delle attività che Presidenza del Consiglio dei Ministri, Amministrazioni CISR e Comparto intelligence devono porre in essere per l’elaborazione della disciplina attuativa della legge, che porterà entro la fine del 2020 alla piena operatività del “sistema perimetro”.

ISCRIVITI ALLA NOSTRA NEWSLETTER

Iscriviti alla nostra mailing list per ricevere la nostra newsletter

Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie, il tuo Team Start Magazine

Errore

Articoli correlati