Dal 12 al 15 febbraio, per il terzo anno consecutivo, la comunità di ricerca italiana in Cybersecurity riunita nel Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica) organizza la conferenza ITASEC. Progettata nel 2016 come riunione di incontro e confronto fra ricercatori, già nella prima edizione del 2017 si è trasformata in un appuntamento nazionale che riunisse insieme la ricerca accademica, la pubblica amministrazione e la società civile, le aziende. Il numero di persone che ha partecipato alla prima edizione del 2017 a Venezia e alla seconda edizione a Milano nel 2018 ha superato ogni previsione, a testimonianza della necessità di incontro e confronto su tematiche di vitale importanza per la società, l’economia e, di conseguenza, di difesa degli interessi nazionali.
La ricerca accademica in cybersecurity è da sempre strettamente legata all’individuazione di strumenti di prevenzione e difesa efficaci contro le minacce presenti e future e nelle diverse nazioni svolge un ruolo fondamentale nella difesa nazionale grazie allo sviluppo autonomo di metodologie e tecnologie e allo studio attento delle modalità più efficaci di utilizzo e integrazione di strumenti e tecnologie sviluppati al di fuori del contesto nazionale.
Per questo anche l’edizione del 2019 vede un programma ricco di appuntamenti che si alternano nelle quattro giornate della conferenza secondo tre diverse direttrici: la ricerca scientifica, l’approfondimento tecnico, il profilo istituzionale relativo alla governance della sicurezza.
Numerose le presenze di tutti gli attori coinvolti: la ricerca accademica, le numerose aziende del settore informatico e la pubblica amministrazione.
Il programma della conferenza è diviso in diversi filoni. Il filone principale, di carattere multidisciplinare, è dedicato alla scienza e tecnologia della sicurezza informatica. A questo si affiancano workshop e tutorial riservati agli aspetti economici, politici e legali della cybersecurity. Un seminario ad hoc sarà invece dedicato alla nuova Direttiva europea per la protezione dei dati, la GDPR, con particolare attenzione al suo impatto sulla Pubblica Amministrazione.
L’augurio e che non sia solo un momento in cui la comunità italiana della cybersecurity si ritrova per confrontarsi su tecnologie e strategie, ma che sia di stimolo per un deciso cambiamento di rotta nazionale nell'affrontare il tema della cybersecurity come uno dei nodi fondamentali per lo sviluppo del Paese.
Purtroppo, nonostante i passi avanti compiuti negli anni sia a livello di imprese, di pubblica amministrazione e di formazione, l'Italia rimane ancora terribilmente indietro rispetto agli altri paesi Europei in quanto ad utilizzo di sistemi informatici all'avanguardia, di accesso alla rete, e di disponibilità di personale altamente qualificato. Gli investimenti pubblici per dotare l'Italia di una infrastruttura tecnologica sicura e all'avanguardia sono di gran lunga inferiori a quanto è necessario sia per recuperare competitività nei confronti dei partner, sia per mettere al riparo il sistema paese dagli attacchi sempre più frequenti sia di spionaggio industriale, sia di interruzione di servizio. Non si tratta di tematiche nuove, ma di criticità messe in evidenza negli anni dalla vasta comunità scientifica, professionale e imprenditoriale italiana che hanno ricevuto finora scarsa attenzione da parte dei governi che si sono succeduti negli ultimi anni. Gli interventi fin qui operati non sono stati all'altezza delle sfide legate all'evoluzione delle tecnologie della comunicazione de della informazione.
Il ricco programma della conferenza vuole essere una occasione in cui mostrare le capacità possedute dal sistema Italia che consentono di accettare la sfida e poter garantire il raggiungimento di risultati di rilievo internazionale se supportati in modo significativo dalla valorizzazione delle tante eccellenze e da finanziamenti significativi, come accade in tutti gli altri paesi tecnologicamente evoluti. Rinunciare a questi investimenti significa condannarci in breve tempo all'arretramento tecnologico e alla sudditanza ad altri paesi in grado coi loro investimenti di poter controllare un settore così strategico come le infrastrutture di comunicazione digitale.
Il Paese ha estrema necessità di fare cambiare l’immagine che il DESI ha rappresentato lo scorso anno e posiziona l’Italia al quart’ultimo posto nelle 5 aree oggetto di indagine da parte della Commissione Europea:
Il Clusit, ha rilevato in un suo rapporto in materia di sicurezza siti web, che oltre 500 siti di amministrazioni locali utilizzavano software di gestione dei contenuti (CMS) il cui supporto risultava terminato da oltre 5 anni;
l’Istat conferma che meno del 50% delle PA si è dotata di un piano di Disaster/Recovery e meno del 20% utilizza tecniche sicure di cifratura per i suoi dati.
Cosa, ancora, frena la nascita di una PA 4.0?
In ultimo, nell’indagine 2017 sull’informatizzazione delle Amministrazioni Locali stilata da Banca d’Italia sono stati fotografati alcuni di quelli che possono essere considerati come i reali motivi ostativi all’utilizzo corretto, consapevole e sicuro delle tecnologie IT all’interno della PA:
- Scarsità di risorse assegnate con percentuali che variano dal 65% al 88%;
- Carenza di personale con adeguata preparazione percentuali dal 40% al 56%.
Ciò che lascia perplessi è che, nonostante le condizioni in cui ad oggi versa la PA siano a conoscenza di tutti, con l’inesorabile avanzare delle richieste di una società sempre maggiormente digitale e globalizzata dove tutto ruoterà sempre più intorno al “dato”, ai “big data”, alla loro gestione, protezione, custodia, scambio, seppur in presenza di norme che permetterebbero di percorrere la giusta via, purtroppo manca la “giusta attenzione” su alcuni punti di fondamentali interconnessione (il reperimento di figure specialistiche in ambito cyber security, data protection, risk management…) che potrebbero far seriamente partire un vero processo di creazione di una PA 4.0.
Continuando con l’attuale scenario, al contrario, si rischia di veder vanificati gli sforzi di quei (pochi) soggetti istituzionali che stanno mettendo il massimo impegno possibile per affrontare le sfide per una PA digitale, ma che nonostante tutto potrebbero trovarsi in posizioni “scomode” di fronte agli obblighi stringenti imposti dalle normative comunitarie in materia di sicurezza IT, sicurezza reti e infrastrutture critiche, data protection non avendo, purtroppo, ancore di salvezza cui aggrapparsi.