intervista

Cybersecurity e digital defense

Fabio Barba è l’esperto di Engineering che spiega le strategie e gli strumenti di cyber security e difesa digitale

13 Mag 2022

Prosegue l’indagine di Startupbusiness sul tema della cyber security, rimanendo sempre nell’orizzonte in termini di sicurezza nazionale e difesa. Per questo abbiamo voluto chiedere nuovamente il parere di un esperto ma con una visione trasversale, Fabio Barba, Defense, space and homeland security business unit Technical director di Engineering.

Affidandosi sempre più alla tecnologia, tutti gli apparati militari saranno sempre più interconnessi, aumentando l’esposizione nei confronti dei rischi cyber in modo esponenziale. Come evitare ciò? Distinguerei tra sistemi operativi, sistemi di combattimento e di supporto al comando e sistemi gestionali. Ritengo che per questioni implementative e di ambiente d’esercizio, possano essere i sistemi gestionali quelli potenzialmente più impattati dal rischio di attacchi cibernetici.

È necessario operare secondo diverse direttrici, tutte funzionali alla mitigazione del rischio e al raggiungimento di un maggior livello di protezione: da un lato è necessario che le nuove implementazioni vengano concepite come sicure by design, pensando ai possibili rischi e applicando già in fase di realizzazione tutte le misure di mitigazione. Contemporaneamente è necessario re-ingegnerizzare i sistemi più datati in un’ottica di resilienza da attacchi cibernetici, anche attraverso l’applicazione delle patch di sicurezza che dovessero rendersi necessarie con l’evolvere della minaccia azione che, come intuibile, deve essere constante nel tempo.

Infine, è essenziale continuare a lavorare per costruire una sempre maggiore consapevolezza della minaccia cyber. E questo non solo in ambito difesa. In particolare, mi riferisco alla necessità di dare continua enfasi alla formazione del personale: l’elemento umano è ancora il maggiore fattore di rischio.

Vorrei però sottolineare un aspetto importante. Il dominio difesa è da sempre abituato a gestire informazioni sensibili, che oggi vengono trattate digitalmente. È quindi cambiato radicalmente il modo di gestire le informazioni, ma l’attitudine e l’approccio mentale sono gli stessi, e questo è un indiscutibile vantaggio rispetto ad altri settori.

Abilitare e velocizzare la trasformazione digitale del sistema Paese, facilitando l’acquisizione, la gestione e la distribuzione sicura dei dati relativi alle operazioni militari e di sicurezza nazionale, è uno degli obiettivi di Engineering. Per riuscirci supportiamo e affianchiamo le aziende, posizionandoci come un partner tecnologico credibile e affidabile per le Istituzioni Nazionali e Internazionali che si occupano di Difesa e Sicurezza. Mettiamo in campo la nostra conoscenza del settore e le nostre competenze tecnologiche, continuamente aggiornate attraverso la nostra Direzione Ricerca e Sviluppo, che segue e partecipa a decine di progetti europei in ambito difesa in network con importanti organizzazioni internazionali.

Gli investimenti e le riforme per la trasformazione digitale della PA, soprattutto per il cloud, prospettati dal PNRR, prevedono misure di rafforzamento per le difese cyber, in quanto la stessa digitalizzazione aumenterebbe intrinsecamente il livello di vulnerabilità da cyber minacce su tutti i versanti (come frodi, ricatti informatici, attacchi terroristici e così via).  Eppure il Piano non accenna a come coadiuvare le aziende in un piano di sicurezza nazionale qualora si presentassero crisi prolungate. Pensiamo per esempio a quella avuta durante la pandemia, quando le reti erano in difficoltà per l’aumento del traffico di dati dovuto alle connessioni domestiche, causa lo smart working: occasione enorme per i cyber criminali di avere a disposizione quantità elevate di punti di accesso per scagliare attacchi contro le infrastrutture IT aziendali. Il PNRR sembrerebbe quindi porre molta attenzione alla PA e alla continuità dei suoi servizi, non considerando appieno la cyber security delle imprese valutata come capacità per far fronte ad attacchi massivi volti a bloccare la produzione. Basta l’investimento 1.5 della M1C1 che prevede 0,62 miliardo di euro per la cybersecurity? La sicurezza cibernetica riguarda l’intero sistema Paese, e quindi, come giustamente sottolineava, non solo la Pubblica Amministrazione, ma anche le aziende private che concorrono fattivamente alla vita della nazione. Aggiungerei anche le azioni dei singoli cittadini, che devono essere pienamente consapevoli della situazione perché tutti noi siamo sempre più direttamente esposti a possibili attacchi cibernetici. Ognuno di noi è potenzialmente il mezzo attraverso il quale penetrare sistemi informatici essenziali per il Paese.

Per quanto attiene ai fondi stanziati nell’ambito del programma PNRR, linea M1C1, con particolare riferimento alla necessità di migliorare la postura di sicurezza cibernetica, credo sia importante considerare che l’intera linea d’investimento da 9,72 miliardi di euro, dedicata alla digitalizzazione, all’innovazione e, appunto, alla sicurezza della PA, avrà comunque dei ritorni in tal senso. Mi aspetto infatti che tutto quello che verrà realizzato grazie a tali investimenti sarà prodotto secondo gli standard di qualità e sicurezza che la minaccia attuale richiede. Implementare consapevolmente deve essere un impegno delle aziende. Pretendere e controllare che ciò avvenga è preciso obbligo delle varie Amministrazioni Pubbliche.

Relativamente ai 0,62 miliardi di euro destinati in modo specifico alla cyber security, sarà importante che questi vengano spesi efficacemente, permettendo di migliorare la resilienza dell’intero Sistema Paese: ad esempio per favorire un’efficace formazione. Il tema della formazione in ambito information/cyber security oltre ad essere cruciale per la mitigazione del rischio è estremamente sfidante. Infatti, è facile comprendere come il continuo evolvere della minaccia imponga una cultura di base, ma anche e soprattutto un aggiornamento continuo, con conseguente dispendio di risorse. Un ulteriore elemento di criticità riguarda, a mio parere, il numero di persone interessate ad intraprendere questo tipo di formazione, sicuramente ancora insufficiente rispetto alle necessità del Paese.

È per questo che in Engineering la nostra IT & Management Academy è un asset strategico per due motivi: da una parte perché garantisce l’uspkilling e il reskilling delle nostre persone; dall’altra perché forma da subito i nuovi talenti che entrano in azienda, superando quindi il mismatch tra le skill richieste dal mercato, anche e soprattutto nel campo della sicurezza informatica, e la formazione di chi opera nel campo dell’IT.

A inizio aprile, in merito alle presunte minacce esterne sulla rete del Ministero della transizione ecologica, il ministro Cingolani dichiarava: “Abbiamo minacce esterne rilevate sulla rete informatica del Ministero e per prudenza abbiamo dovuto sospendere il funzionamento di tutti i sistemi informatici del Ministero”. E alla domanda se si trattasse di cyber-attacco russo, il ministro rispondeva: “Impossibile rispondere in questo momento, ora ci sono le strutture preposte che lavorano, ma in questo momento la sicurezza deve essere obiettivo di tutti gli italiani”. Ma per spegnere i server, il dubbio che si tratti di un attacco ransomware sembra scontato: se hanno isolato tutto è perché gli stava cifrando tutto? Anche Trenitalia è stata colpita da un ransomware, ma l’impatto sarebbe stato limitato proprio perché Trenitalia ha isolato solo i server delle biglietterie fisiche e pochi altri sistemi secondari: avendo una rete segmentata, sarebbero stati isolati solo i sistemi minacciati. Poi c’è stato il caso di Sogei, Agenzia delle Entrate e Inps. In questi casi, se fossero stati attacchi partiti dalla Russia, o se la Russia agisse tramite attacchi cibernetici, potrebbero rientrare negli artt. 4 e 5 del Trattato Nord Atlantico? Chiarirei sinteticamente, a beneficio di tutti, il contenuto degli articoli 4 e 5 del Trattato Nord Atlantico. L’articolo 4 riguarda la consultazione interna all’Alleanza qualora uno o più Membri di essa si sentano minacciati nell’integrità territoriale, nell’indipendenza politica o nella sicurezza. L’articolo 5 invece riguarda il “mutuo soccorso” tra le parti: un attacco armato contro uno o più Membri dell’Alleanza viene considerato come un attacco diretto contro tutta l’Alleanza, con il conseguente diritto all’autodifesa, sancito dall’art. 51 della carta dell’ONU.

Sono ormai anni che il tema dell’eventuale ricorso all’applicazione dell’art. 5 a seguito di un attacco cibernetico viene dibattuto in ambito NATO. È sicuramente un tema molto controverso.

Infatti, se da una parte ormai il “cyber domain” è riconosciuto come uno dei possibili “warfare domains”, e quindi uno dei potenziali terreni di contrapposizione con eventuali avversari, dall’altra vi sono delle ragioni che, a mio parere, difficilmente permetteranno che un’azione di questo tipo possa provocare il ricorso all’art. 5.

Come ha recentemente ricordato anche Franco Gabrielli, sottosegretario alla Presidenza del Consiglio e Autorità delegata per la sicurezza della Repubblica, parlando di articolo 5 e cyberattacchi, questi tipi di attacchi si caratterizzano proprio per la loro capacità di non rendere facilmente individuabile la loro natura e provenienza. Quindi contro chi agire? Con quale proporzionalità?

Tra i vari progetti di Digital defense, Aerospace e Homeland Security, attualmente ci sono dei progetti per cui Engineering ha lavorato e che sono utilizzati o potrebbero essere utilizzati in questa guerra in campo della difesa? E quanto questa guerra si sta combattendo in campo della digital defense? Non sono a conoscenza delle modalità con le quali la Difesa utilizza o utilizzerà i sistemi da noi realizzati. Ci limitiamo a implementare le nostre soluzioni nel miglior modo possibile, nella consapevolezza che queste possano essere di utilità per il Paese.

Per quanto invece attiene alla sua seconda domanda, credo che questa guerra si stia combattendo quasi esclusivamente nel campo della “digital defense”.  Consideri gli assetti digitali in possesso ai contendenti e dispiegati sul campo di battaglia: sistemi informatici a supporto dei sistemi d’arma, sistemi per l’intelligence, sistemi di supporto al comando. Pensi alle operazioni che riguardano il dominio cibernetico. Ma non solo. Che questa sia una guerra asimmetrica e multidimensionale è noto a tutti. Immagini quello che accade quotidianamente sui social media ad opera della propaganda di entrambe le parti al fine di orientare l’opinione pubblica: è per questo motivo che è tanto importante il tema della consapevolezza che ognuno di noi dovrebbe avere.

Lo scorso 21 marzo il Consiglio Europeo ha annunciato di voler ridisegnare il proprio assetto difensivo, pubblicando il documento denominato “bussola strategica”. L’obiettivo è quello di rafforzare, entro il 2030, la politica di sicurezza e di difesa dell’UE, puntando su cooperazione e collaborazione tra i Paesi membri, e rendere l’UE un garante della sicurezza più forte e capace. Tra i quattro punti proposti (azione, investimenti, partner e sicurezza) in merito all’ultimo, la sicurezza, l’UE, per ottimizzare la sua possibilità di anticipare, scoraggiare e rispondere alle minacce, svilupperà le sue capacità di analisi e di intelligence. Incrementerà il pacchetto di strumenti della diplomazia informatica e istituirà una politica dell’UE in materia di cyber difesa, al fine di essere preparati a rispondere agli attacchi informatici.

Per affrontare queste minacce, l’Unione dovrà intensificare la cooperazione con la NATO, le Nazioni Unite e i partner regionali; è inoltre importante – è stato detto – stabilire contatti con Paesi strategici, che condividono i nostri stessi principi, come ad esempio il Canada e il Regno Unito. A differenza delle guerre convenzionali, quelle informatiche possono nascere anche per iniziativa di singoli o di gruppi. La nostra cybersecurity probabilmente non è ancora ai massimi livelli, anche se si sta avviando verso parametri più strutturati. Quella UE e mondiale sono ancora molto vulnerabili? Gli Stati UE devono fare fronte solidale nella condivisione di intelligence predittiva, disciplinando lo scambio di informazioni e la fornitura di tecnologie ed expertise? Cosa sta facendo di concreto l’Europa per aumentare la resilienza agli attacchi-cyber? A oggi siamo supportati da idonee politiche d’investimento e da una governance efficace? Le capacità di risposta e resilienza in ambito cyber security in Unione Europea e nel mondo sono assolutamente eterogenee.

Ci sono Paesi che hanno intercettato la necessità di dotarsi di tali capacità da molto tempo, investendo in tal senso, e sono oggettivamente all’avanguardia. Alcuni Stati hanno intravisto nella capacità cyber la possibilità di dotarsi di un’arma potente, anche da un punto di vista della deterrenza. Altri che inseguono.

In Italia è stato un ottimo segnale la costituzione dell’Agenzia per la Cybersicurezza Nazionale, che da subito ha impostato una forte collaborazione tra pubblico e privato, e che in queste settimane di forte tensione geo-politica si sta dimostrando uno strumento indispensabile per supportare la messa in sicurezza delle nostre aziende e delle nostre amministrazioni.

Inoltre, da qualche anno a questa parte vi sono delle iniziative che spingono le aziende dei diversi Stati membri a collaborare sui temi dell’information/cyber security. Penso ad esempio ai programmi di ricerca Europea e non solo a quelli dedicati specificamente alla difesa. È stato dunque fatto molto, ma non credo però che quanto fatto sia sufficiente.

Appare evidente che l’Unione Europea dovrebbe migliorare la capacità di far fronte comune verso le minacce cibernetiche, e non solo, che il contesto attuale e quello che ci attende nel prossimo futuro ci presenterà. Credo però che la questione sia tutta politica. Una linea comune di azione, per la quale sono necessarie, tra l’altro, capacità eterogenee ed una collaborazione profonda, prevede una politica estera che sia realmente dell’intera Unione Europea. È prioritario concentrare l’attenzione sull’efficacia della governance, piuttosto che sull’entità degli investimenti, che pure sono importanti. Perseguire una politica estera comune che chiarisca quale ruolo l’Unione Europea vuole ricoprire negli anni a venire, anche in ambito cyber security, e come intende arrivarci, ci aiuterà a spendere gli investimenti, tanti o pochi che siano, in modo efficace. (Photo by Shubham Dhage on Unsplash )

@RIPRODUZIONE RISERVATA

Articolo 1 di 4