skip to Main Content

Roberto Baldoni

Cosa farà l’Italia sulla cybersicurezza nazionale. Parla Baldoni

Conversazione di Startmag con il professor Roberto Baldoni, direttore dell’Agenzia per la cybersicurezza nazionale

 

Caso Kaspersky: “L’Agenzia per la cybersicurezza nazionale in linea con le Autorità di Francia e Germania ha diramato una raccomandazione per la diversificazione di alcuni tipi di prodotti, come gli antivirus e i firewall, elementi particolarmente intrusivi in un sistema informatico complesso e quindi per la loro natura rappresentano essi stessi una possibile vulnerabilità grave”.

Rischio sovrano anche per la tecnologia? “Se un Paese sovrano è dipendente da una tipologia di energia fornita da un Paese specifico e quest’ultimo chiude i rubinetti, il Paese dipendente si ferma. Analogamente, se come caso ideale, la tecnologia digitale su cui si fondano i servizi essenziali e le app per il cittadino di un Paese sovrano fosse fornita da aziende legate ad un singolo Paese che non segue chiare regole di mercato, quest’ultimo avrebbe il potere di rimandare il Paese dipendente indietro di cinquant’anni”.

Servono colossi europei in materia cyber? “Gli Stati membri e la Commissione europea devono preparare il terreno, fornire le regole per arrivare ad una politica industriale tecnologica condivisa europea, che necessariamente in ogni settore farà contenti alcuni Stati e scontenterà altri, poi bisognerà lasciare al mercato la selezione di attori adeguati. In questo vedo in alcuni sottosettori legati ai temi della sicurezza anche la presenza attiva di aziende partecipate dagli Stati membri, ma in una logica consortile e non competitiva”.

E’ quanto dice tra l’altro, in una conversazione con Start Magazine, il professor Roberto Baldoni, direttore dell’Agenzia per la cybersicurezza nazionale.

Lo scorso 15 marzo l’Acn (Agenzia per la cybersicurezza nazionale) ha diramato attraverso il Csirt la raccomandazione circa “le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa”. Fra queste, l’antivirus Kaspersky utilizzato da circa 2700 Pa.

Quali sono questi rischi? Ci saranno effetti anche su altre aziende russe? E quali? 

L’Acn in linea con le Autorità di Francia e Germania ha diramato una raccomandazione per la diversificazione di alcuni tipi di prodotti, come gli antivirus e i firewall, elementi particolarmente intrusivi in un sistema informatico complesso e quindi per la loro natura rappresentano essi stessi una possibile vulnerabilità grave. In Italia questa raccomandazione fa parte di una azione più complessa che include una norma per la diversificazione di alcuni prodotti di sicurezza informatica nella Pubblica amministrazione e un rafforzamento dell’articolo 5 della legge sul perimetro di sicurezza nazionale cibernetica a tutela della sicurezza delle nostre reti e dei nostri sistemi informativi. I prodotti per cui si richiede la diversificazione sono quelli delle aziende legate alla Federazione russa.

Come mai – anche se il nostro principale alleato Usa aveva già vietato l’uso degli antivirus Kaspersky nei computer degli enti governativi nel 2017 – in questi ultimi anni in Italia non si è avvertita la necessità di affrontare la questione? 

L’Agenzia per la cybersicurezza nazionale, ovvero l’Autorità nazionale per la cybersicurezza, ha preso le sue mosse come organismo di diritto pubblico il 27 dicembre 2021, con la pubblicazione dei regolamenti organizzativi fatti a tempo di record, in meno di 4 mesi, passando attraverso 16 pareri parlamentari. Prima di questa data c’era un coordinamento interministeriale in capo prima al Consigliere Militare e poi al Dipartimento delle Informazioni per la Sicurezza. Non una autorità. Questo è uno dei motivi per cui è stata concepita l’Acn. Antecedentemente a tale data, era come parlare di gestire e sanzionare i problemi di privacy sui dati prima che fosse nata l’Autorità garante.

Ora è in arrivo la norma del governo con cui si esorta la Pubblica amministrazione a provvedere “tempestivamente alla diversificazione dei prodotti in uso”. Quali saranno compiti e doveri dell’Acn in questo percorso? 

Dopo aver pubblicato la raccomandazione sulla diversificazione, il compito sarà quello di adottare una circolare che indichi le categorie di prodotti e servizi per le quali procedere alla diversificazione, tra quelle volte ad assicurare le seguenti funzioni di sicurezza: sicurezza dei dispositivi (endpoint security), compresi antivirus, antimalware ed endpoint detection and response (EDR); web application firewall (WAF). Molte amministrazioni stanno comunque già procedendo alla diversificazione in autonomia.

L’Agenzia ha detto: «Kaspersky è un antivirus che funziona benissimo. Il problema è che la società che lo produce ha sede in un Paese che ha messo l’Italia nella lista delle nazioni ostili. La questione non è tecnica ma geopolitica. Ed è quello con cui bisogna fare i conti sempre quando si parla di cyber sicurezza”. Quindi alla base non ci sono ragioni tecnologiche ma geopolitiche, dunque politiche? 

La raccomandazione dell’Agenzia e la norma adottata dal Governo sono fondate su una motivazione tecnica, quella delle vulnerabilità intrinseche rappresentate da alcune tipologie di prodotti e servizi di sicurezza informatica, e legate allo stesso tempo, in un’ottica di prevenzione, al mutato livello di rischio che, in conseguenza della crisi in Ucraina, le aziende produttrici di prodotti e servizi tecnologici legate alla Federazione russa non siano in grado di fornire servizi e aggiornamenti. Più in generale, la tecnologia digitale, dai chip alle reti, fino al cloud, è diventata da circa quindici anni un fattore geopolitico, oltre che tecnico, come l’energia e le materie prime. Se un Paese sovrano è dipendente da una tipologia di energia fornita da un Paese specifico e quest’ultimo chiude i rubinetti, il Paese dipendente si ferma. Analogamente, se come caso ideale, la tecnologia digitale su cui si fondano i servizi essenziali e le app per il cittadino di un Paese sovrano fosse fornita da aziende legate ad un singolo Paese che non segue chiare regole di mercato, quest’ultimo avrebbe il potere di rimandare il Paese dipendente indietro di cinquant’anni. Quindi, ogni analisi del rischio tecnologico dentro una supply chain, oltre che alla qualità tecnica del prodotto, deve necessariamente avere una parte di analisi geopolitica legata alla azienda fornitrice e alle relazioni tra l’azienda fornitrice e lo Stato dove opera. Questo è scritto chiaramente nel toolbox del 5G europeo, nelle leggi sulla materia 5G di quasi tutte le nazioni europee, oltre che nelle leggi di protezione da investimenti esteri. Diversificazione è la parola d’ordine in questi casi, nell’energia come nella tecnologia digitale, per limitare la dipendenza.

Lei di recente ha detto: “Anziché sviluppare tecnologia europea, abbiamo accentuato le dipendenze dall’estero. Ecco, anche sulle tecnologie digitali è necessario un’inversione di rotta”. Qual è la rotta?  

L’Italia e l’Europa negli ultimi vent’anni hanno aumentato la loro dipendenza tecnologica dall’estero in modo drammatico, si pensi ad esempio ai chip e al cloud dove non esistono competitor europei. La creazione di tecnologie nazionali ed europee passerà per un lungo e doloroso cammino che dovrà sempre di più vedere l’affermarsi di una politica industriale tecnologica europea in un contesto globale e non di politiche industriali nazionali dei singoli Stati membri in perenne competizione con la conseguenza che gli attori industriali degli stati membri rimangono di relativa piccola dimensione venendo poi inevitabilmente fagocitati da attori extra-europei di scala mostruosa.

In tv a Omnibus su La7 giorni fa lei ha auspicato la nascita di robusti competitor europei in materia cyber rispetto ai colossi americani e cinesi. Ma come far nascere questi competitor? È necessario l’intervento o un ruolo dello Stato ossia di società partecipate o controllate dagli Stati o deve essere solo competenza di aziende private? 

È un processo molto complesso e come ho già detto lungo e faticoso. Comunque per sommi capi: gli Stati membri e la Commissione europea devono preparare il terreno, fornire le regole per arrivare ad una politica industriale tecnologica condivisa europea, che necessariamente in ogni settore farà contenti alcuni Stati e scontenterà altri, poi bisognerà lasciare al mercato la selezione di attori adeguati. In questo vedo in alcuni sottosettori legati ai temi della sicurezza anche la presenza attiva di aziende partecipate dagli Stati membri, ma in una logica consortile e non competitiva. È un cambio di passo netto rispetto a come l’Ue è stata intesa fino ad oggi. Il Chips Act può essere considerato un buon inizio di questo percorso tecnologico. Ma siamo veramente ancora alla fase di riscaldamento prima di una lunga maratona dove dovremo supportare al massimo il nostro sistema industriale tecnologico nazionale per arrivare pronto a quel momento.

Back To Top