The Science of Where Magazine incontra Luisa Franchina, già Direttore Generale della Segreteria per le Infrastrutture Critiche (Presidenza del Consiglio dei Ministri 2010-2013), Direttore Generale del Nucleo Operativo per gli attentati nucleari, biologici, chimici e radiologici (Dipartimento della Protezione Civile, Presidenza del Consiglio dei Ministri, 2006-2010) e Direttore Generale dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Ministero delle Comunicazioni 2003-2006). Attualmente, la Dottoressa Franchina ha fondato una azienda che eroga servizi di gestione del rischio e gestione dell’informazione. Dal 2014 è Presidente della Associazione Italiana Infrastrutture Critiche, dal 2020 è membro dello Stakeholder Cybersecurity Certification Group dell’ Unione Europea. Luisa Franchina vanta, inoltre, una importante esperienza accademica.
Dottoressa Franchina, la cybersecurity è entrata a pieno titolo tra le attività di maggiore rilevanza nel tempo della società digitale. Come valuta il progetto italiano di una Agenzia per la Cybersicurezza e quali sono le evoluzioni di un lavoro comune a livello europeo?
La creazione di una Agenzia per la Cybersicurezza rappresenta uno sviluppo importante per il settore della sicurezza informatica e cyber del sistema-Paese. Gli aspetti positivi del progetto sono certamente molti e questa nuova Agenzia presenta delle potenzialità interessanti per garantire una maggiore protezione delle nostre infrastrutture e degli asset strategici. Inoltre, il nuovo assetto della cyber security implica una concentrazione di risorse e competenze all’interno di un’unica struttura rafforzando, allo stesso tempo, l’obiettivo del Governo di accrescere la consapevolezza rispetto alle minacce di natura cyber e sviluppando altresì una cultura della sicurezza cibernetica.
La creazione dell’Agenzia si pone in continuità con la direzione intrapresa dall’Unione Europea attraverso le proposte di revisione della Direttiva NIS e la nuova Cyber Joint Unit, che fanno parte della strategia digitale della Commissione Europea orientata a rendere il settore più solido e rappresentano delle opportunità importanti dal punto di vista della crescita sia professionale, e delle competenze, in ambito di sicurezza e resilienza informatica degli Stati Membri.
Come impatta la cybersecurity, anche dato geopolitico, sulla resilienza dei sistemi Paese?
È impossibile pensare oggi ad un sistema-Paese che non coinvolga nella sua architettura elementi di tecnologia digitale. I maggiori attacchi cyber hanno reso evidente come la cybersecurity sia ormai una parte imprescindibile per la sicurezza nazionale nel suo complesso. Si pensi per esempio alle operazioni offensive che hanno più volte compromesso alcune funzionalità dell’azione amministrativa o più in generale ad attacchi rivolti al settore privato e alle relative perdite in termini economici.
Anche in ottica geopolitica risulta evidente l’importanza della sicurezza cyber: gli attacchi state-sponsored, le accuse alla Russia di interferenza nelle elezioni presidenziali statunitensi del 2016 e il vertice tra Stati Uniti e Cina a margine di incontri internazionali fortemente incentrati sul tema della cybersecurity ne sono una prova. Il settore della cybersecurity rappresenta dunque un dominio nel quale i diversi player internazionali possono confrontarsi mettendo in luce punti di forza e di debolezza degli stessi.
Le infrastrutture critiche, nel nostro Paese, sono sufficientemente protette dal rischio cibernetico?
Il tema è diventato particolarmente delicato con l’avvento della pandemia. Recentemente il Ministro dell’Interno Lamorgese ha sottolineato come, rispetto allo scorso anno, gli attacchi cibernetici alle infrastrutture critiche siano raddoppiati; se si considera anche quanto affermato dal Ministro per l’Innovazione Tecnologica e la Transizione Digitale Colao, cioè che il 95% delle infrastrutture cyber della Pubblica Amministrazione non possiede i requisiti minimi di sicurezza e affidabilità per trattare dati e fornire servizi, la situazione potrebbe richiedere una riflessione ancora più accurata. Tuttavia, bisogna considerare anche che sono stati compiuti dei passi importanti negli ultimi anni per migliorare la sicurezza cibernetica dell’intero sistema-Paese, come dimostrano l’adozione del Perimetro di sicurezza nazionale cibernetica, oppure la creazione dell’Agenzia per la cybersicurezza nazionale. Tali azioni sono volte a migliorare la capacità di resistenza ed intervento in caso di attacchi cyber, secondo una logica che dovrebbe prevedere la continuità operativa dei servizi piuttosto che il ricorso ad azioni di ripristino. Questa è la direzione giusta, ovvero un orientamento continuo verso l’aggiornamento delle misure di sicurezza al fine di evitare, nel nostro Paese, attacchi cyber contro infrastrutture importanti come quelli perpetrati di recente ai danni del sistema sanitario irlandese o alla Colonial Pipeline degli Stati Uniti.
ENISA (European Union Agency for Cybersecurity) ha recentemente pubblicato un rapporto sull’incidenza della cybersecurity per le piccole e medie imprese. Il problema, dunque, non riguarda solo i grandi player economici?
No, e la pandemia ha reso chiaro che la cybersecurity rappresenta un tema centrale per qualsiasi tipologia di impresa, indipendentemente dalla sua dimensione. Il report “Cybersecurity for SMEs” elaborato da ENISA a giugno del 2021 ha evidenziato come il tema della cybersecurity sia fortemente sentito dalla maggior parte delle PMI. Sicuramente le grandi imprese, a causa delle loro dimensioni, di capitali e di dati trattati, hanno una visibilità maggiore delle PMI, ma occorre considerare che queste ultime, proprio nel contesto europeo e soprattutto italiano, rappresentano una parte fondamentale del tessuto economico di un paese. Il report in questione evidenzia la consapevolezza delle PMI rispetto alle minacce cyber, in particolare rispetto ai temi della difesa e prevenzione; tuttavia, emerge anche che esse non posseggano le competenze né le adeguate misure di sicurezza per far fronte alle minacce.
Infine, quanto è necessario – a livello sistemico – un’alleanza tra istituzioni, aziende e università per comprendere e affrontare i rischi cyber?
La complessità della tecnologia e la continua evoluzione dei diversi elementi che compongono lo scenario cyber rendono necessario un approccio congiunto tra settore pubblico e privato al fine di aumentare l’awareness di tutti i soggetti coinvolti. L’istruzione e la formazione, in ogni ordine e grado, sono quindi elementi fondamentali per affrontare e divulgare la tematica della cybersecurity e, allo stesso tempo, per formare una coscienza e una capacità di autogestione nell’approccio al mondo informatico e digitale. Tale approccio consentirebbe di non relegare le competenze informatiche ai soli tecnici del settore ma di estenderle a tutti i soggetti coinvolti in ottica di sviluppo di un linguaggio comune. L’inclusione del settore privato in questo percorso risulta utile, da un lato, per consolidare le competenze dei lavoratori in vista di un miglioramento della produttività e del rendimento delle singole imprese; dall’altro, per favorire uno scambio di know-how verso il settore pubblico, utile per portare benefici ad entrambe le realtà.