Baldoni, Agenzia Cyber: “Draghi ci ha chiesto rigore e rapidità per rendere l’Italia sicura”

Roma, 1 luglio 2022, l’Agenzia per la Cybersicurezza Nazionale (Acn) comunica: è operativo un altro pilastro della strategia nazionale di sicurezza cibernetica, il Cvcn, Centro di Valutazione e Certificazione Nazionale. Prima rientrante nell’ambito delle competenze del Ministero dello Sviluppo Economico (Mise), oggi trasferito all’Acn, “avrà il compito di valutare la sicurezza di beni, sistemi e servizi Ict destinati a essere impiegati nel contesto del Perimetro di sicurezza nazionale cibernetica”. Ne abbiamo parlato con il direttore dell’Acn, Roberto Baldoni, ed è l’occasione per fare il punto su tutte le attività chiave dell’Agenzia.

Direttore, il Cvcn si occuperà della ricerca delle vulnerabilità del software che possono essere sfruttate dai criminali informatici?

È uno degli obbiettivi. Il Centro di Valutazione e Certificazione Nazionale svolgerà anche un ruolo di supporto tecnico per le attività connesse all’esercizio dei poteri speciali “Golden Power” in ambito 5G, e opererà sia nella fase istruttoria, che in quella di monitoraggio con altri soggetti previsti dalla legge.

Ma per monitorare la qualità di software e sistemi occorrerà un grande numero di specialisti, chi sono questi esperti?

Il Cvcn può già contare sui tecnici che hanno costituito il nucleo iniziale dell’Agenzia per la Cybersicurezza Nazionale e su quelli di recente trasferiti dal Mise. Nelle prossime settimane, assumeremo altri esperti che avranno superato le prove del concorso in atto. Sono certificatori/ispettori, tecnici hardware, del software e delle telecomunicazioni, e poi crittografi. Il Cvcn opererà secondo il principio di gradualità incrementando progressivamente le dotazioni strumentali e tecnologiche, e attuando progetti di potenziamento della rete dei Laboratori di prova per mezzo dei fondi dedicati nell’ambito del Pnrr. Ai soggetti inclusi nel Perimetro saranno rese disponibili le linee guida che li supportino nel processo di valutazione da parte del Cvcn.

Un altro grosso compito per voi. Ma siete abbastanza?

Bisogna ricordare che l’Agenzia è qualcosa che sta sbocciando, siamo partiti a settembre 2021 in meno di 10 e ora siamo quasi 100 persone e abbiamo compiti analoghi alle agenzie francese e tedesca che hanno oggi 1000 e 1200 persone. Ci sono delle divisioni più nutrite di altre come lo Csirt(Computer security Incident Response Team), per il quale avevamo fatto reclutamento già ai tempi del DIS e che sono passati in Agenzia, inoltre si sono aggiunte delle unità di personale del Cert PA di AgID e del Ministero dell’Interno.  Con questo personale siamo per ora riusciti a gestire un periodo complesso come quello che stiamo vivendo a causa delle campagne di attacchi di matrice russa e del cybercrime e, in aggiunta, a creare un rapid reaction team da mandare in trasferta a sostegno delle vittime per ripristinare servizi sensibili. Sono in tutto ad oggi 35 coordinati dall’ammiraglio Gianluca Galasso, responsabile del Servizio operazioni, mentre in Francia ne hanno oltre 100. Ma altri si aggiungeranno molto presto con la seconda campagna di reclutamento che partirà a settembre.

INCIDENT RESPONSE

Direttore, l’Agenzia ha parecchi compiti, e deve garantire la resilienza del sistema Paese. Ma quello principale non è intervenire dopo che c’è stato un attacco informatico?

Potremmo dire che è l’essenza dell’Agenzia, che nel frattempo sta però facendo un importante lavoro di policy e di organizzazione, il coordinamento di tutte le attività dalla gestione degli incidenti cyber intesa come prevenzione, incident response, allertamento, e sviluppo tecnologico per diminuire la dipendenza dalle tecnologie extra europee e possibilmente sviluppare tecnologia nazionale. Ma anche tutto ciò che riguarda la workforce dal punto di vista di sviluppo di capacità umane per i bisogni del nostro Paese e la sua postura internazionale, sono aspetti in cui l’Agenzia definisce le regole da applicare in Italia. Per il Presidente del Consiglio l’Agenzia ha realizzato il draft della strategia nazionale, negoziata con le amministrazioni preposte, e sottoposta ai ministri del Comitato interministeriale per la cybersicurezza e che è stata firmata dal Presidente Draghi. L’Agenzia adesso deve controllare che gli obbiettivi vengano raggiunti dalle amministrazioni responsabili di ognuna delle 82 misure, e che lo siano nel tempo dovuto. La risposta agli incidenti insieme alla Polizia Postale e delle Comunicazioni è nostro compito: interveniamo per studiare l’attacco fino alla “eviction del cattivo” e al ripristino dei servizi.

Quante realtà avete aiutato finora?

Da quando siamo qui una trentina. La più grandi che abbiamo aiutato sono il Mite e le Ferrovie dello Stato.

Quanto tempo ci vuole a rimettere le cose a posto dopo un attacco informatico?

In funzione di come è organizzata la vittima i tempi cambiano: meno attività preventiva c’è stata, tipo backup e segmentazione dell’infrastruttura, più tempo ci vuole. Ad esempio, quando è stato necessario i nostri ragazzi del rapid reaction team sono andati sul posto per ripristinare servizi essenziali e, come nel caso dell’attacco alle Ferrovie dello Stato e al ministero della Transizione ecologica (Mite), questo è stato possibile anche grazie alla loro abnegazione.

Chi sono questi difensori?

Con noi ci sono figure dedicate, persone che hanno visto il “nemico” in faccia, sanno capire in modo veloce come si è mosso l’attaccante per cacciarlo dai sistemi compromessi. Ma, ripeto, bisogna distinguere il lavoro che facciamo noi con quello della Postale che è impegnata, con l’Autorità giudiziaria, a fare le indagini e capire chi il colpevole. Bisogna anche dire che se avessimo più attacchi concorrenti, non potremmo basarci solo sui ragazzi dello Csirt. Se diventano centinaia per l’exploitation (lo sfruttamento) di uno 0-day sarebbe veramente dura. L’unica cosa che potremmo fare è lavorare con l’industria privata. Come? Attraverso un processo di coinvolgimento dei team di incident-response appartenenti all’industria privata che intervengono sotto il coordinamento dello Csirt. Questa è una delle misure della strategia nazionale che implementeremo nel prossimo futuro.

Ma le aziende vi ascoltano?

Certo, perché non abbiamo alternativa a fare partnership pubblico-privata per rendere il cyberspazio nazionale più sicuro. Le aziende strategiche lo sanno. L’importanza di tale partnership lo si sta vedendo anche nella collaborazione tra Nato e aziende private per proteggere il cyberspazio ucraino. Tuttavia in alcuni casi l’Agenzia, agendo coma Autorità Nazionale di Cybersicurezza, può sanzionare aziende che non gestiscono appropriatamente il rischio da attacchi cyber come definito dal “Perimetro di Sicurezza Nazionale Cibernetica” o, in futuro, dalla Direttiva NIS 2. Il Perimetro ha portato già effetti positivi, ci sono stati casi di incidenti dove la vittima aveva un pezzo dell’infrastruttura digitale nel Perimetro e un pezzo che non stava sotto il Perimetro. L’infrastruttura fuori Perimetro è stata completamento cifrata da un ransomware, mentre l’infrastruttura nel Perimetro, opportunamente protetta, non ha subito danni.

Però non ci spiegate mai come fate, come nel caso della Regione Lazio

L’attività di pubblicazione dell’incident response è un impegno che abbiamo assunto con la Strategia nazionale. È chiaro che se c’è un’attività giudiziaria in corso questo comporta il segreto istruttorio. Noi dobbiamo sempre cercare, nel panorama normativo attuale, il bilanciamento tra questo segreto e la necessità di generalizzare l’allarme agli interessati.

E gli attacchi attribuiti ai filorussi, professore?

Beh, siamo in costante allerta dal 14 Gennaio, quando è stata rilevata la prima campagna di attacchi in Ucraina. Il sito dello Csirtemette bollettini continui sulla situazione ucraina. Recentemente ad esempio, abbiamo spiegato quali sono le vulnerabilità più importanti da mettere in sicurezza perché più sfruttati dagli hacker filorussi. La raccolta che abbiamo realizzato serve a supportare le aziende nel patching di vulnerabilità critiche perché c’è un sottoinsieme di queste da gestire con particolare premura. Inoltre abbiamo pubblicato alcuni documenti che spiegavano come difendersi dai diversi attacchi DDoS di cui l’Italia è stata vittima nel mese di maggio. A seguito delle corrette configurazioni dei sistemi nelle ultime campagne non abbiamo più avuto siti di rilievo primario down. È importante considerare l’Agenzia come una specie di faro. Ricevendo le informazioni dai vari attori privati nazionali, dai partner internazionali, le elabora nel più breve tempo possibile e emette bollettini che dicono come difendersi, la postura da avere, come configurare i propri sistemi. Questo è l’esercizio di sistema-Paese che dovremo fare sempre più spesso in futuro.

Evoluzione della minaccia e consapevolezza

Quanto è cambiata la minaccia cyber negli ultimi venti anni? Come si è evoluta la consapevolezza del rischio?

Il panorama della minaccia cyber attuale non è nemmeno comparabile a quello dell’inizio di questo secolo. Oggi abbiamo un numero di attacchi che è almeno quattro ordini di grandezza superiore a quelli che si riscontravano ad esempio dal 2000 al 2005. Oggi questi attacchi sono più complessi, più ampi, estremamente più impattanti rispetto a quelli di allora. Purtroppo questo passaggio è stato comunque così veloce che non siamo riusciti a costruire una nuova consapevolezza sociale legata al rischio dell’ambiente digitale. Consapevolezza che, essendo un problema culturale, ha purtroppo tempi molto lunghi per entrare nel nostro modus operandi. Ad esempio nella pubblicazione del rapporto Censis sulla cyber di quest’anno si evince che il 40% dei manager a livello nazionale, pubblico e privato, non ha alcuna cultura di cybersecurity. Se non hai capito il rischio non investi per proteggerti. Questo ti espone a criticità fortissime, perché, da una part, investi nella trasformazione digitale però non investi in sicurezza perché nessuno ti ha spiegato i rischi a cui vai incontro. Questa distanza tra l’evoluzione della minaccia e la bassa consapevolezza sociale del problema fa la fortuna delle gang cybercriminali.

 

Forze in campo

Quando troveremo i 100 mila esperti di cybersecurity che mancano?

Per farlo va rinforzato tutto il sistema di formazione sul territorio, con gli istituti tecnici superiori e gli enti di formazione professionale, e bisogna farlo sia con il pubblico che con il privato. Vanno fatti i corsi alle persone che lavorano, ai top manager e a chi cerca un impiego. Per arrivare a 100 mila non basta l’università e noi non abbiamo bisogno solo di ingegneri, ma anche di tecnici post diploma, di esperti legali, di relazioni internazionali, comunicatori, eccetera. Però bisogna portare tutto a sistema e su questo la Strategia nazionale fissa ben dieci misure specifiche fra di loro correlate. Tuttavia per quanto possa essere importante lo sforzo a livello di formazione, per ridurre questo bisogno di esperti dobbiamo agire strutturalmente, diminuendo il numero di server, sale server e piccoli datacenter della PA centrale e locale distribuiti sul territorio nazionale. Ogni PA avrebbe bisogno almeno di un responsabile cyber per difendere tale infrastruttura e stiamo parlando di 30-40 mila esperti. Consolidare dati e applicazioni della PA riduce la necessità di esperti. Anche per questo abbiamo fatto partire il progetto del cloud nazionale come consolidamento e concentrazione di dati e applicativi che dovranno essere erogati verso le PA. Ci vuole una nuova organizzazione della infrastruttura digitale della PA nazionale per aumentare la sicurezza dei dati e diminuire, nello stesso tempo, il bisogno di quei 100mila esperti in modo strutturale.

 

Prevenzione

Voi siete l’attore giusto per aumentare questa consapevolezza?

Certo, questo è un altro pilastro della nostra missione. Per questo abbiamo fatto la campagna con ABI e RAI, il patrocinio di conferenze come Itasec e la Cyberchallenge e l’accordo con la Regione Lazio sulla formazione Ed è solo l’inizio. Noi dobbiamo guardare a 360 gradi, tutti siamo esposti al rischio, il rischio zero non esiste.

La circolare attuativa del decreto ucraina ha messo fuori della porta i russi. Kaspersky e co. A che punto siamo? È sufficiente?

Io credo che mentre tutti ci aspettiamo che la guerra guerreggiata finirà un giorno, speriamo presto, quella cibernetica non finirà sicuramente, anzi sarà ancora più acuta e pericolosa visto che oltre alle gang cibernetiche ci sarà un importante fiorire di gruppi APT e, all’interno di questo contesto, non è difficile immaginare che se finisce la guerra dei cannoni, ci sarà una continuazione delle attività ostili. Il Paese deve tenere conto di questa nuova normalità e sviluppare strumenti adeguati per la gestione della qualità dei device, dei software e dei fornitori che entreranno nei nostri sistemi più sensibili oltre al rafforzamento delle difese cyber. La circolare attuativa del decreto Ucraina è un primo passo verso la consapevolezza dell’importanza della diversificazione anche ai fini della resilienza. Su questi temi, come su altri del mondo cyber, non si lavora in isolamento, per questo stiamo stringendo partnership a livello internazionale con le agenzie omologhe europee (quali l’Anssi francese e il BSI tedesco), e con la Cisa e il NIST americani, il National cyber bureau israeliano. La NATO all’interno del cyber pledge, ha incluso la resilienza di un Paese e delle sue infrastrutture critiche come un pezzo della difesa dei paesi membri dell’alleanza. Su questo aspetto di resilienza l’Agenzia gioca un ruolo anche nella parte NATO.

 

Sviluppo tecnologico

Se vogliamo parlare di sovranità digitale parliamo di autonomia strategica nel digitale, nazionale ed europeo.

L’Acn entra in gioco anche nella gestione del rischio tecnologico. Abbiamo visto come le catene di approvvigionamento provocano problemi serissimi alle infrastrutture digitali, l’abbiamo toccato con mano con gli attacchi SolarWinds e Kaseya. Dobbiamo controllare le aziende che sono integrate con governi che non hanno i nostri valori democratici, non avrebbe senso escluderle se non ci sono ragioni particolari. È chiaro però che ogni governo deve gestire il rischio derivante dall’uso della tecnologia nei servizi critici nazionali e questo diventa particolarmente sfidante nei mercati dove hai pochissimi e fortissimi player, pensiamo al 5G e al Cloud.

Come per il rischio energetico?

Esatto. Ti potrebbero dire: da oggi in poi non ti do più aggiornamenti, patch etc. Questo tipo di rischio va gestito. Per prevenirlo alla radice bisognerebbe fare sviluppo tecnologico trusted europeo. Il mondo delle infrastrutture tech non è fatto tutto allo stesso modo, hai dispositivi core (cruciali) che “vedono” o “memorizzano” traffico sensibile, e hai dispositivi meno sensibili. Nella parte core vorresti tecnologia trusted, ma se ti allarghi puoi usare anche altra tecnologia. Bisogna essere pragmatici, devi prendere la tecnologia di alta qualità, affidabile e che minimizza il rischio tecnologico. Nella Strategia nazionale ci sono molti riferimenti a questo punto.

Sa che anche l’Agenzia ha i suoi detrattori?

Forse non hanno idea di ciò che abbiano di fronte, vedo i paragoni col passato, ma noi stiamo in un nuovo mondo, pieno di vulnerabilità. Se guardiamo i CVE (Common Vulnerabilities and Exposures) che vanno verso i 30mila all’anno (vedi Mitre) si capisce l’entità del problema. Credo che abbiamo raccolto una sfida che avrebbe fatto tremare i polsi a chiunque, costruire una nuova Agenzia in Italia partendo da zero. Dopo 10 mesi possiamo dire che grazie al Governo, al Sottosegretario Gabrielli, alle Amministrazioni a noi più vicine, e alla abnegazione del personale che ha creduto in questo sfida, un set è stato vinto. Ci vorrà del tempo per avere l’Acn con tutte le competenze e le unità implementate in modo adeguato, tuttavia l’impatto a livello nazionale e internazionale risulta essere positivo. Qualcuno ha detto che abbiamo bisogno di poche persone molto skillate, ma è il contrario, ci servono molte persone molto skillate. E più ne avremo come Paese e più riusciremo a transitare e a guidare l’Italia in questo mondo digitale le cui insidie ancora troppo pochi conoscono.

La soluzione è una maggiore collaborazione tra realtà interessate?

L’Acn è nata per essere un enzima di collaborazione tra il pubblico e il privato: workforce, consapevolezza, incident response, sviluppo tecnologico sono alcuni dei tempi di partnership con il privato. La capacità di fare cose che riteniamo importanti per il futuro Paese è quello che ci fa andare avanti. Ce lo ha chiesto Draghi: efficienza organizzativa e massima rigorosità nelle selezioni del personale. Questa è la nostra stella polare con lo scopo di costruire per il Paese un asset strategico per il suo futuro.

Fonte : Repubblica