L’Agenzia per la Cybersicurezza Nazionale viene istituita in Italia con decreto legge il 14 Giugno del 2021.
Uno dei compiti principali che il Governo affida a questo nuovo ente è quello di mettere ordine tra tutte le normative che riguardano il settore della sicurezza informatica, un quadro oggi frammentato ed estremamente complesso.
Ma la garanzia della sicurezza informatica resta il principale obiettivo: l’Agenzia assorbirà tutte le funzioni correlate al rispetto della sicurezza che ora sono delegate al Mise e ad altri organi dello Stato.
L’Agenzia è incaricata di tutelare gli interessi nazionali e le funzioni essenziali dello Stato dalla minaccia cybernetica.
Deve inoltre monitorare, prevenire e far fronte all’attacco informatico, in caso se ne verifichi uno.
Ha l’ambizioso obiettivo di innalzare il livello di sicurezza informatica di tutti gli operatori inclusi nel perimetro di sicurezza nazionale cibernetica, promuovendo progetti di educazione e finalizzati a sviluppo e implementazione dei sistemi di sicurezza.
L’ Agenzia riveste un ruolo cruciale anche nella distribuzione delle reti 5G sul nostro territorio.
Il 5G: veicolo di minacce informatiche?
In Italia la distribuzione delle reti 5G era iniziata sotto i migliori auspici. Già nel 2018 erano state completate le gare di assegnazione per tutte le bande pioniere. Con il trascorrere del tempo, però, la nostra nazione non ha saputo stare al passo con gli incrementi evidenziati negli altri paesi e si è fermata a 1500 unità attive (secondo cifre ufficiose).
Per dare un termine di paragone, basti pensare che la Germania, al pari degli USA, conta già circa 50.000 unità attive.
Nel nostro paese, la distribuzione del 5G evidenzia enormi disparità tra territorio e territorio.
Si stima che sia quasi del tutto assente fuori dalle grandi città. Si parla di intere aree geografiche, in cui sono concentrate importanti filiere industriali, tagliate fuori dall’aggiornamento delle reti informatiche.
Procede in maniera poco uniforme non solo la distribuzione del 5G, ma anche la partita sulla cybersicurezza, per vincere la quale l’Italia schiera l’Agenzia appena istituita.
Ma in quale modo la diffusione del 5G può essere messo in correlazione con un incremento di pericolosi attacchi informatici?
Grazie alla presenza del 5G, le imprese scelgono un progressivo spostamento delle attività e dei dati su internet. Purtroppo, spesso non implementano parallelamente un sistema di sicurezza che sia in grado di proteggere la complessità del sistema.
A riprova della disparità tra dati messi in rete e sicurezza, attacchi e potenziali attacchi sono in continuo aumento.
Nel 2021 la sicurezza informatica è stata considerata uno dei maggiori rischi economici. E considerando la situazione sanitaria attuale e la crisi che ne consegue, si capisce la gravità della situazione.
Parte del problema risiede proprio nella tecnologia del 5G, estensione delle reti di comunicazione mobile. La struttura della rete prevede che ogni anello della catena sia in parte responsabile della sicurezza dell’intero sistema. Da qui, la quasi impossibilità di garantire la sicurezza al 100% e la difficoltà di coordinarne la gestione.
Il confronto con il resto dell’Europa
Un’Agenzia che accentra tutte le funzioni deputate a garantire la sicurezza informatica è una assoluta novità in Europa.
In altri paesi infatti le funzioni sono demandate a diversi organi competenti quali ministeri, organismi di intelligence e enti di coordinamento.
Il caso più simile a quello italiano si trova in Francia, dove l’Agenzia Nazionale per la Sicurezza dei Sistemi Informatici, con i suoi 600 dipendenti, lavora in stretto contatto con altri enti preposti allo scopo. In Francia, sia il numero di addetti che il budget destinato alla cybersicurezza sono in continua crescita, a riprova della crucialità dell’argomento trattato.
In Germania, invece, le responsabilità in termini di cybersicurezza restano in capo all’intelligence e all’ufficio federale per la sicuezza informatica. Inoltre una nuova legge del 2021 elenca tutti i soggetti che, in maniera diretta o indiretta, potrebbero causare un malfunzionamento a altri enti di pubblica utilità. Questi soggetti definitici critici sono soggetti a un periodo di valutazione di 2 mesi nei quali vengono richieste numerose garanzie in svariati ambiti e il superamento di test di valutazione.
Il ruolo dell’Agenzia in caso di attacco informatico
Il tempismo è l’arma vincente in caso di attacco informatico. Lo sanno bene le imprese che già ne sono rimaste vittime e anche le PA che, negli ultimi anni, hanno visto crescere in modo esponenziale i tentativi di attacco.
Gli studi indicano purtroppo che il trend e continuamente in crescita.
Per questo, le uniche perplessità riguardanti la neonata Agenzia per la sicurezza informatica si riferiscono alla sua velocità di azione.
Sono stati previsti 4 mesi iniziali, dal decreto, solo per adottare il regolamento.
Al contrario, ben venga il compito di semplificare e coordinare sia il complesso quadro normativo che tecnologico.
Un tema dibattuto è anche quello del perimetro informatico entro il quale vale l’operato nazionale. Non è facile come sembra delinearlo e nemmeno chiederne il rispetto. Inoltre, potrebbero aprirsi casi di operatori soggetti ai regolamenti di diverse nazioni e obbligati pertanto a rispettare una serie crescente di normative e verifiche dei requisiti di sicurezza.
Se da un lato si tende alla semplificazione, dall’altro si rischia di moltiplicare le richieste per gli operatori soggetti a diverse normative nazionali, e questo va in controtendenza con la velocità alla quale la tecnologia ci sta abituando.
Comments are closed.