In attuazione dei compiti istituzionali che le sono stati attribuiti, l’Agenzia per la Cybersicurezza Nazionale ha pubblicato la “Strategia Nazionale di Cybersicurezza”.
Si tratta di un documento redatto in considerazione delle nuove forme di competizione strategica che connotano lo scenario geopolitico attuale e che hanno reso necessario incrementare le iniziative nazionali in materia di sicurezza cibernetica, nonché rivedere la concezione dell’architettura italiana su questo tema.
Le ragioni sottostanti a tale rinnovamento sono numerose. Tra queste figurano il costante aumento di azioni ostili caratterizzate da una crescente sofisticatezza rivolte ai sistemi informatici nazionali, che deriva da una sempre maggiore disponibilità di strumenti offensivi a costi relativamente bassi. Un ulteriore fattore di rilievo è rappresentato senz’altro dall’analisi dei recenti trend di attacco che hanno rivelato che tra le principali conseguenze delle attività cibernetiche vi sono danni economici e reputazionali per le imprese, il rischio del blocco dell’operatività di infrastrutture critiche nazionali e il loro malfunzionamento. Quanto sopra ha contribuito a rafforzare la concezione della cybersicurezza come una questione di importanza strategica.
In questo contesto, la Strategia Nazionale di Cybersicurezza è ispirata ad un approccio “whole-of-society”, ciò significa che implica il coinvolgimento di numerosi attori, tra cui gli operatori privati, il mondo accademico e della ricerca, nonché la società civile nel suo complesso.
Tra le principali sfide che il documento si propone di affrontare, vi è il conseguimento dell’autonomia strategica nazionale ed europea nel settore del digitale, anche in considerazione della nostra elevata dipendenza tecnologica da altri Paesi. Come si legge nella Strategia, ciò comporta inevitabili ricadute sulla possibilità di ottenere un controllo diretto sui dati sensibili per il nostro Paese: infatti la dipendenza implica che tali informazioni nazionali siano nelle mani di attori stranieri che li gestiscono sulla base di un rapporto contrattuale. Una maggiore autonomia tecnologica consentirebbe, invece, l’attuazione di politiche di sovranità delle informazioni, con i conseguenti vantaggi strategici.
Altri temi affrontati sono: (i) la capacità di anticipare la minaccia cibernetica attraverso tattiche di difesa attiva finalizzate ad incrementate i costi di eventuali attività offensive che diventerebbero, così, economicamente svantaggiose, (ii) la creazione di un meccanismo efficiente di gestione delle crisi cibernetiche, (iii) il contrasto alla minaccia ibrida, derivante, inter alia, dalle attività di disinformazione.
Per fronteggiare le sfide individuate, oltre ad un ingente investimento sul piano economico, la Strategia Nazionale di Cybersicurezza si pone alcuni obiettivi, il cui raggiungimento è strumentale per assicurare la sua concreta attuazione.
Il primo riguarda la protezione degli asset strategici nazionali, attraverso un approccio sistemico orientato alla gestione e mitigazione del rischio. Tra le varie misure, da una parte verrà potenziato il ruolo del Centro di Valutazione e Certificazione Nazionale (CVCN), dall’altra sarà necessaria la definizione ed il mantenimento di un quadro giuridico aggiornato e coerente in materia di cybersecurity, che comprenda, altresì, linee guida, schemi di certificazione e policy settoriali. Inoltre, tra gli strumenti volti a proteggere i nostri asset strategici vi sarà il potenziamento delle capacità di difesa delle infrastrutture critiche e l’implementazione di un’azione di coordinamento nazionale per prevenire e contrastare la disinformazione online.
Un ulteriore obiettivo è rappresentato dallo sviluppo di capacità di risposta alle minacce, agli incidenti e alle crisi cibernetiche nazionali, mediante lo sviluppo di attività di monitoraggio, rilevamento, analisi e risposta e l’attivazione di processi che coinvolgano tutti gli attori necessari alla salvaguardia della sicurezza cibernetica nazionale.
Un elemento sul quale occorre porre l’accento è il riconoscimento della possibilità per il Ministero della Difesa di condurre operazioni militari cibernetiche, non solo difensive, ma anche offensive, purché ciò avvenga nell’alveo dei compiti istituzionali riconosciuti a tale Dicastero e – dice la Strategia, forse in maniera poco esaustiva e sibillina – “nei casi previsti”. Tale approccio allinea l’Italia con alcuni tra i principali attori sul piano internazionale che avevano già incluso nelle loro strategie nazionali la possibilità di svolgere tale tipologia di operazioni nel cyberspazio.
Terzo e ultimo obiettivo consiste nello sviluppo di tecnologie, puntando sulla ricerca e la competitività industriale per rispondere alle esigenze del mercato.