L’attività di supporto a Ferrovie dello Stato nel recente attacco informatico, la spiegazione della scelta del Governo di escludere dalle Pa le tecnologie di aziende legate alla Federazione Russa, e poi la pubblicazione tra due mesi della Strategia Nazionale di Cybersicurezza, il lancio a luglio prossimo del Centro di Valutazione e Certificazione Nazionale (CVCN) che effettuerà il controllo della qualità tecnica delle soluzioni 5G e Cloud da utilizzare nelle infrastrutture critiche dell’Italia e la visione per avere un Paese cyber-resiliente. C’è tutto questo nella nostra videointervista realizzata a Roberto Baldoni, direttore generale dell’Agenzia per la Cybersicurezza Nazionale, nella sede dell’ACN.
L’intervista integrale
La videointervista a Roberto Baldoni (ACN) per i punti chiave
Cybersecurity Italia. L’Agenzia per la Cybersicurezza Nazionale può essere vista come i pompieri o la protezione civile degli incidenti cyber? In questi casi, qual è la sua missione?
Roberto Baldoni. Siamo i pompieri del cyberspazio: il nostro obiettivo è mitigare l’incidente cyber, quindi spegnere l’incendio. Come abbiamo fatto, di recente, con l’attacco informatico alle Ferrovie dello Stato. (Clicca sul seguente video per ascoltare questa risposta).
Cybersecurity Italia. Il Governo, attraverso il decreto-legge ‘Ucraina’, introduce l’obbligo per le Pa di procedere tempestivamente alla diversificazione di prodotti e servizi tecnologici di sicurezza informatica per evitare rischi derivanti da aziende legate alla Federazione Russa. La scelta nasce da motivi tecnici o solo geopolitici?
Roberto Baldoni. La scelta nasce da motivi tecnici. Tuttavia, è chiaro che, da ormai 15 anni, la parte geopolitica entra all’interno del discorso sulla tecnologia: mi riferisco al cloud, ai chip. La diversificazione è strategica sia dal punto di vista energetico sia per i prodotti tecnologici. E il diversificare i fornitori trusted non è legato solo agli antivirus, ma anche, per esempio, alla tecnologia 5G. (Clicca sul seguente video per ascoltare questa risposta).
Cybersecurity Italia. La soluzione ideale a lungo termine è l’autonomia tecnologica nazionale-europea. Ce la possiamo fare?
Roberto Baldoni. Più la tecnologia dei fornitori è europea o nazionale più è trusted, perché sarebbe più debolmente influenzata da caratteristiche che vanno al di là dell’aspetto meramente tecnologico. Ed occorre aumentare gli investimenti tecnologici a livello nazionale ed europeo con particolare priorità allo sviluppo di tecnologie nel campo della cybersicurezza. (Clicca sul seguente video per ascoltare questa risposta).
Cybersecurity Italia. Ad oggi, con l’invasione dell’Ucraina da parte di Mosca è in atto anche una cyber guerra. Qual è il livello di allarme le infrastrutture critiche dell’Italia?
Roberto Baldoni. È alto. C’è la massima allerta ed occorre seguire tutte le indicazioni del nostro CSIRT Italia (Computer Security Incident Response Team). Emettiamo un bollettino ogni 12 ore per le aziende del perimetro di sicurezza nazionale cibernetica, ossia quelle che erogano servizi e funzioni essenziali per il nostro Paese. (Clicca sul seguente video per ascoltare questa risposta).
Cybersecurity Italia. Nelle ultime ore il Governo ha rivisto e rafforzato la Golden Power per quanto riguarda 5G e cloud. Quale sarà il ruolo del Centro di Valutazione e Certificazione Nazionale?
Roberto Baldoni. Con questa modifica, nel tempo, oltre al 5G, si prevede l’inserimento anche di altre tecnologie nella disciplina della Golden Power, in primis il cloud con un DPCM ad hoc. Qui giocherà un ruolo importante il Centro di Valutazione e Certificazione Nazionale. Il CVCN aprirà i suoi battenti, sotto la nostra gestione – ora affidata al Ministero dello Sviluppo Economico – il prossimo primo luglio con un’operatività progressiva. L’Agenzia per la Cybersicurezza Nazionale ha già lanciato un concorso per una cinquantina di tecnici che andranno a lavorare nel CVCN. Questi tecnici si andranno ad aggiungere a chi già lavora qui presso l’Agenzia e al personale che verrà dal MiSe.
Cybersecurity Italia. Il Centro di Valutazione e Certificazione Nazionale verificherà i fornitori di 5G e Cloud?
Roberto Baldoni. Il CVCN ci dovrà assicurare la qualità tecnica e un controllo dei fornitori dei dispositivi che saranno installati nelle nostre infrastrutture critiche: le aziende che gestiscono i servizi essenziali per l’Italia, tra cui il futuro Cloud Nazionale. (Clicca sul seguente video per ascoltare questa risposta).
Cybersecurity Italia. Quando sarà pubblicato in Gazzetta Ufficiale il DPCM relativo all’accreditamento dei Laboratori di Prova (LAP) a supporto del CVCN?
Roberto Baldoni. A breve si esprimerà il Comitato interministeriale per la cybersicurezza e prima di Pasqua mi aspetto l’approvazione del DPCM da parte del premier.
Cybersecurity Italia. L’Agenzia è operativa da inizio anno. Qual è la tabella di marcia per le prossime tappe?
Roberto Baldoni. Il nostro primo obiettivo è crescere come personale e far nascere il CVCN. Il 27 dicembre scorso l’ACN è diventata un soggetto di diritto pubblico, con l’emissione dei regolamenti, e in meno di 50 giorni abbiamo avviato i concorsi per circa 72 persone.
La seconda tappa fondamentale è la pubblicazione, nel giro di un paio di mesi, della Strategia Nazionale di Cybersicurezza. Una volta approvata dal Comitato interministeriale per la cybersicurezza, verrà adottata dal presidente del Consiglio dei ministri.
La Strategia guarderà fino al 2026 ed include, in una modalità integrata, tutta la parte dedicata al cloud nazionale, la rete dei LAP, che avranno come perno il CVCN, lo sviluppo dell’autonomia tecnologica per diminuire le dipendenze dall’estero e i fondi messi a disposizione dal Governo con il PNRR per questi tre obiettivi. (Clicca sul seguente video per ascoltare questa risposta).
Cybersecurity Italia. Quale sarà il ruolo dei LAP e in quali aziende verranno realizzati?
Roberto Baldoni. I Laboratori di Prova, previsti e finanziati nel PNRR, seguendo le regole del CVCN, dovranno analizzare dispositivi per valutare la qualità tecnica necessaria per essere utilizzati nelle nostre infrastrutture critiche. Potranno essere di natura pubblica, privata e pubblico-privata. Abbiamo invitato centri di Ricerca, Università ed aziende strategiche dell’Italia a dar vita alla rete di LAP. Saranno strategici perché noi dobbiamo avere in Italia, a livello governativo, la componente tecnica per analizzare le tecnologie che ci arrivano dall’estero. Nel momento in cui noi non siamo in grado di analizzare un componente hardware o software, allora un attore ostile potrebbe veicolare qualsiasi elemento attraverso queste tecnologie.
L’obiettivo, come ho scritto nel PNRR, è avere entro il 2024 una ventina di Laboratori di Prova (tra pubblico, privato e pubblico-privato): a quel punto potremo pensare di avere 400-600 tecnici in grado di fornire sia alla Pubblica amministrazione sia ai privati l’analisi della supply chain. (Clicca sul seguente video per ascoltare questa risposta).
Cybersecurity Italia. Infine, qual è, secondo lei, la sfida da non perdere per il nostro sistema Paese?
Roberto Baldoni. Sulla cybersecurity dobbiamo diventare più scandinavi e meno latini, perché la cybersicurezza è condivisione di allerte, vulnerabilità e va gestito il rischio di attacchi informatici e lo si può fare solo con un approccio di sistema Paese. Concretamente, dobbiamo costruire una rete in grado sia di allertare, nel più breve tempo possibile, i cyber attacchi sia di effettuare il controllo della qualità tecnica delle tecnologie (l’analisi della supply chain), in modo tale da evitare di dipendere in maniera troppo forte da specifici Paesi. Da questo dipenderà anche la prosperità economica del Paese. Questo è il nostro futuro.
(Clicca sul seguente video per ascoltare questa risposta).