SERVIZI E SERVIZIETTI – LE DOMANDE DI RAPETTO: “SE ARRIVA L’ISTITUTO ITALIANO DI CYBERSICUREZZA COSA FARANNO TUTTI GLI ENTI ISTITUZIONALI CHE FINORA SE NE SONO OCCUPATI? E SOPRATTUTTO COSA HANNO FATTO SE ADESSO C’È BISOGNO DI UN’ALTRA SQUADRA?” - “TROVANDOCI SOSTANZIALMENTE DINANZI AD UN DISASTRO, PERCHÉ NON SI PROVA A FARE UN INVENTARIO DEI RISULTATI RAGGIUNTI?"
giuseppe conte gennaro vecchione
Umberto Rapetto per www.infosec.news
E’ inevitabile. Se arriva l’Istituto Italiano di Cybersicurezza scattano immediatamente due domande. Cosa faranno tutti gli enti istituzionali che finora se ne sono occupati? E soprattutto cosa hanno fatto se adesso c’è bisogno di un’altra squadra? Entrambi i quesiti sono più che legittimi. Tutti e due rischiano di innescare risposte imbarazzate oppure di cadere nel nulla.
Già ai tempi dell’Autorità per l’Informatica nella Pubblica Amministrazione (parliamo del secolo scorso) il ring della sicurezza informatica e delle Reti poteva già contare su un discreto numero di contendenti. All’epoca era auspicabile che la competenza in materia venisse accentrata o comunque almeno coordinata, ma ogni sforzo è risultato vano per l’inamovibilità dei virtuali cavalli di Frisia che ciascuna entità aveva sposto in segno di apertura al dialogo.
Oltre all’immancabile “intelligence nazionale” avevano voce in capitolo una serie di dicasteri come le Poste e Telecomunicazioni, la Difesa, l’Interno: ognuno aveva valide ragioni per pretendere di sedere al tavolo e discusse velleità di avere in via esclusiva una così impegnativa cloche. Gruppi di lavoro e mille altre iniziative non hanno portato a nulla, ma – in compenso – ogni potenziale attore su questo ambito palcoscenico ha ritenuto di generare articolazioni specialistiche, think tank, reparti di più o meno pronto intervento.
Il cittadino ha così potuto assistere al pullulare di sigle ogni giorno più contorte. Sono nati il CNAIPIC (Centro Nazionale Anticrimine Informatico e Protezione Infrastrutture Critiche), il CERT (Computer Emergency Response Team), lo CSIRT (Computer Security Incident Response Team) e il CISR (Comitato interministeriale per la sicurezza della Repubblica). Ha una sua sigla anche l’Agenzia per l’Italia Digitale (AGID) ma ci sono anche altre entità che a diverso titolo o livello lavorano o dichiarano di lavorare per la nostra cybersicurezza.
In altri Paesi si sente parlare di “Cyber Czar” e quindi di una sorta di “Comandante in capo”, unico interlocutore di chi governa. Tale ruolo di enorme responsabilità include grande autonomia, capacità decisionale, ottima capacità di indirizzo e coordinamento delle risorse disponibili o comunque coinvolgibili in caso di necessità.
Perché invece di ostinarsi nell’inutile esibizione di annunci e proclami salvifici, qualcuno non si prende la briga di riepilogare cosa hanno combinato i tanti e forse troppi protagonisti di questa “Never Ending Story”?
Trovandoci sostanzialmente dinanzi ad un disastro, perché non si prova a fare un inventario dei risultati raggiunti a fronte dei troppi episodi di cronaca che evidenziano un sostanziale malessere della reattività nazionale su questo fronte? Perché invece di scegliere il “l’è tutto da rifare” di Gino Bartali non si opta per un “ricomincio da tre” alla Massimo Troisi? Forse “non amm’fatt tre ‘ccose bbuone”?
Possibile mai che in tutti questi anni e con il fior fiore degli esperti a disposizione – ad esempio – del Ministero dell’Innovazione Tecnologica e della Digitalizzazione non si riesca a tirare le somme e – superato lo scoglio aritmetico – non si possa tentare il cimento di qualcosa di più “algebrico”?
E se le Istituzioni hanno poco da raccontare e si rifugiano in un comodo cambio di spartito, l’industria nazionale non ha nulla da dire? Chi nello Stato si occupa di “scouting tecnologico” e va a caccia di idee che piccole aziende e start-up italiane faticano a far emergere? A parte le tristi pagine che hanno portato al siluramento di Biraghi, quali sono stati i colpi mandati a segno da Leonardo/Finmeccanica sul mercato internazionale della cyber security? Per avere qualche risposta toccherà aspettare l’Istituto Italiano di Cybersecurity?
