Nella quarta edizione del Global Cybersecurity Index (GCI), l’Italia si è classificata al ventesimo posto a livello globale e al tredicesimo a livello europeo, riportando risultati migliori rispetto alle versioni precedenti, se non in termini di posizionamento, sicuramente in termini di punteggio.
“Se non si può misurare qualcosa, non si può migliorarla”. Con queste parole prese in prestito da Lord Kelvin, noto fisico e ingegnere britannico, martedì 29 giugno l’International Telecommunication Union (ITU), l’agenzia delle Nazioni Unite specializzata in ICT, ha ufficialmente lanciato la quarta edizione del Global Cybersecurity Index (GCI). Il GCI include un ranking che indicizza il livello di commitment dei suoi stati membri, quindi gli sforzi nell’elaborare misure volte a migliorare le capacità, la resilienza e il progresso nel panorama di cybersecurity nazionale.
In questa quarta edizione l’Italia si è classificata al ventesimo posto a livello globale e al tredicesimo a livello europeo, riportando risultati migliori rispetto alle versioni precedenti, se non in termini di posizionamento, sicuramente in termini di punteggio. Se da una parta questi risultati riflettono una maggiore completezza e sensibilizzazione dell’intervento nazionale relativo alla sfera della cybersecurity, per poter interpretare questo risultato in modo costruttivo è necessario capire meglio cos’è il GCI, cosa misura e come.
Misurare la cybersecurity
Appoggiandoci nuovamente al pensiero di Lord Kelvin capiamo perché quello del misurare sia un esercizio fondamentale e necessario: “Quando puoi misurare ciò di cui stai parlando, ed esprimerlo in numeri, puoi affermare di saperne qualcosa; se però non puoi misurarlo, se non puoi esprimerlo con numeri, la tua conoscenza sarà povera cosa e insoddisfacente: forse un inizio di conoscenza, ma non abbastanza da far progredire il tuo pensiero fino allo stadio di scienza, qualsiasi possa essere l’argomento.”
In ambito di cybersecurity il misurare è sempre risultata un’attività problematica a tutti i livelli, da quello del singolo operatore a quello del più amplio contesto nazionale. Non solo questo esercizio implica la raccolta e l’analisi di dati su larga scala e che provengono da fonti prevalentemente non strutturate, ma la cybersecurity è anche altamente multidimensionale e un suo assesment esaustivo deve necessariamente prendere in considerazione aspetti legali, tecnologici, economici, umani e tanti altri.
In cybersecurity, inoltre, come prospettato dal programmatore e autore di fantascienza Daniel Keys Moran, è comune avere dati senza avere informazioni. Per esempio, se si registra un numero basso di attacchi cyber che cosa significa? che le misure difensive sono solide? che le capacità di detezione sono inefficienti? o ancora che la minaccia e il relativo rischio sono bassi e che gli attaccanti non sono interessati al target?
Se l’analisi dei dati da spesso adito ad interpretazioni controverse, è però essenziale eseguirla per identificare i gap e supportare processi decisionali informati e mirati, utilizzando indicatori ben strutturati e metodologie rigorose. Negli ultimi anni sono emersi, sia dal settore pubblico che privato, una varietà di indici che misurano aspetti specifici della cybersecurity tra i quali il livello di maturità, l’esposizione al rischio cyber, la capacità di rispondere agli incidenti o addirittura le capacità cyber in termini di potere nazionale.[1]
Il GCI si differenzia da questi idici, ed ha come obiettivo quello di misurare il commitment, quindi l’impegno, nazionale in materia di cybersecurity, in termini di sensibilizzazione e investimenti in attivita’ cyber come importante elemento del processo di digital transformation
Misurare il commitment: un dato formale
Cosa significa misurare il commitment? Il GCI cerca di analizzare i punti di forza e le lacune in termini di processi e risorse nel panorama nazionale di cybersecurity. Di tali processi e risorse sono parte per esempio gli strumenti legislativi, le regolamentazioni, i programmi e le capacità nazionali esistenti.
Il GCI, inoltre, indaga sugli esistenti meccanismi di coordinamento e cooperazione come i partenariati pubblico-privato, e fa il punto sulla presenza e relativo sviluppo di strutture tecniche per il monitoraggio e risposta agli incidenti a livello nazionale (per esempio CERT, CIRT, CSIRT etc.) o sistemi di accreditamento e standardizzazione. Parte del GCI è anche l’architettura di governance nazionale, come ruoli e responsabilità delle agenzie pubbliche esistenti con un mandato in cybersecurity, e dati relativi al settore privato come programmi di ricerca e sviluppo. Infine, il GCI indaga sulla partecipazione a tavoli di dialogo a livello internazionale, sedi di dibattiti multilaterali e intergovernativi sulla cybersecurity.
A differenza di altre metodologie, come il Cyber Readiness Index (CRI), o il Cyber Capacity Maturity Model for Nations (CMM) che hanno lo scopo di misurare il livello di maturità nazionale in tema di cybersecurity, e che quindi indagano non solo sull’esistenza di capacità, ma anche su un dato sostanziale relativo alla loro implementazione ed efficacia, il GCI si limita al mero dato formale.
In altre parole, per l’indice dell’ITU per esempio, non è rilevante se un canale di notifica degli incidenti di natura cyber non è mai stato utilizzato, ma la sola esistenza e predisposizione di questo canale dimostra un livello di commitment sul tema ed è sufficiente per alzare il punteggio complessivo dello stato in questione. Analogamente, non è importante se la disciplina giuridica in ambito di cybercrime sia correttamente ed efficacemente applicata, il solo fatto che vi sia tale disciplina è sufficiente per contribuire positivamente al punteggio.
È evidente che questa semplificazione metodologica influisca in modo determinante sullo scopo e potenziale utilizzo del GCI. Questo, infatti, nonostante non possa essere visto come uno strumento che misura il livello effettivo di capacità, maturità resilienza o robustezza di uno stato, è però estremamente utile per determinare il grado di sensibilizzazione ed esposizione della sua classe politica sul tema della cybersecurity. Inoltre, l’analisi comparata di dati provenienti dalla fitta membership dell’ITU permette di scoprire trend e tendenze sulle principali aree di intervento in ambito cyber delle politiche nazionali di tutto il mondo.
Come funziona il GCI?
Il GCI è stato lanciato per la prima volta nel 2015 dall’International Telecommunication Union (ITU) per misurare l’impegno (in inglese commitment) dei suoi 193 stati membri e dello Stato di Palestina nella gestione e promozione della cybersecurity a livello nazionale.
Ad oggi si contano quattro iterazioni, relative rispettivamente agli anni 2015, 2017, 2018 e 2020. Sebbene ci siano delle minime differenze, necessarie per catturare la rapida evoluzione della realtà cyber, le quattro edizioni si basano su una metodologia che prevede la compilazione di un questionario da parte degli stati membri, e le cui risposte sono validate e integrate da attività di ricerca autonoma.
Le domande del questionario, 82 in questa quarta edizione, si articolano in 5 pilastri tematici diversi:
- Legal: realtivo all’esistenza di istituzioni, apparati e framework legislativi sul tema della cybersicurezza e cybercriminalità
- Technical: relativo all’esistenza di istituzioni, apparati, processi e risorse di natura tecnica
- Organizational: che misura l’esistenza di misure e processi di governance a livello nazionale
- Capacity development: che indaga sull’esistenza di campagne di awareness, educazione, corsi di specializzazione e ricerca e sviluppo in tema di cybersecurity
- Cooperation: che indaga sui canali di cooperazione in tema di cybersecurity con entità al di fuori dei confini nazionali
A ogni domanda in base alla risposta viene attribuito un punteggio che viene poi sintetizzato in 20 indicatori ai quali, applicando la metodologia del Budget Allocation Process (BAP), viene attribuito un valore in base al parere di un gruppo di esperti dal settore pubblico, privato, think-thanks e universitario. Questi indicatori contribuiscono a definire il punteggio finale di ogni pilastro e quello generale.
Risultato Italiano, storico delle versioni precedenti e legame con sviluppi nazionali
In questa quarta edizione l’Italia si è posizionata al ventesimo posto nella classifica internazionale, e al tredicesimo di quella regionale europea. La tabella 1 riporta il ranking e punteggi delle quattro edizioni (nel 2017 e 2018 i punteggi dei singoli pillar non sono stati rilasciati). Si può notare un netto miglioramento del punteggio già dal 2015 e, dal 2017, anche un miglioramento della posizione in classifica. Anche i punteggi dei singoli pilastri mostrano una crescita in tutte le aree tematiche, specie nell’area organizational, che misura gli aspetti di governance, dove l’Italia ha raggiunto il massimo.
Questi risultati riflettono un netto aumento del commitment e della sensibilizzazione della classe politica italiana sul tema della cybersecurity che non sorprende. Infatti, negli ultimi anni si sono registrati una serie di interventi molto innovativi che dimostrano come la gestione della sicurezza cyber sia diventata un punto focale dell’agenda politica del paese. Tra questi si possono annoverare l’entrata in vigore del regolamento europeo sulla protezione dei dati personali (GDPR), la ratifica della disciplina NIS e la sua integrazione con il perimetro nazionale di cybersecurity per quanto riguarda la protezione delle infrastrutture critiche, l’elaborazione e diffusione del Framework Nazionale di cybersecurity e l’istituzione di un processo centralizzato di certificazione con la creazione del CVCN.
Alla luce del GCI, uno degli aspetti da migliorare riguarda la sfera technical. Questo è probabilmente legato alla attuale limitata operatività del CSIRT italiano. La presenza di un organo di risposta agli incidenti e l’estensione delle sue funzioni è infatti uno dei focus principali di questo pilastro. In Italia, a partire dal 6 maggio 2020 il CIRT Italiano ha iniziato ad assorbire gradualmente le funzioni del CERT-PA e de CERT Nazionale che supportavano rispettivamente le pubbliche amministrazioni e il settore privato. Se tale decisione, che rientra nell’ambito della disciplina NIS, rappresenta un passo verso un approccio più organico e di raccordo, ad oggi il passaggio non risulta ancora interamente implementato. Alcuni degli elementi che potrebbero aver influito negativamente sono la mancanza dell’affiliazione al FIRST, un punto di raccordo internazionale di CIRT pubblici e privati, e la mancanza di una certificazione riconosciuta in ambito internazionale della maturità dei servizi. È immaginabile che questi elementi siano dovuti a un fattore temporale e che verranno risolti nel breve periodo.
Tra il dire e il fare: commitment e implementazione
Alla luce del GCI, l’italia ha senz’altro dimostrato un auspicato miglioramento del livello di commitment e sensibilizzazione riguardo alla cybersecurity. Inoltre, con l’imminente istituzione dell’agenzia nazionale di cybersecurity ci si aspetta un’azione sul tema sempre più completa e lungimirante. Bisogna tuttavia ricordare che questo indice indica il mero dato formale, è dunque necessario assicurarsi che tutti gli interventi degli ultimi anni vengano attentamente implementati e la loro efficacia monitorata per garantire un effettivo rafforzamento della postura di cybersecurity, e quindi della sicurezza nazionale nella sua più amplia accezione.
[1] Alcuni esempi sono: il Cyber Capacity Maurity Model for Nations (CMM); il Cyber Readiness Index (CRI 2.0); il Cyber Capabilities and National Power; il National Cyber Security Index (NCSI)
Gli autori dell’articolo
- Giacomo Assenza, Cybersecurity Research Officer International Telecommunication Union (ITU), Ph.D Candidate in Engineering for Humans and Environment, Università Campus Biomedico (UCBM)
- Marco Obiso, Chief a.i. Digital Networks and Society Department and Head of Cybersecurity Division, International Telecommunication Union (ITU)
- Yasmine Idrissi Azzouzi, Junior Cybersecurity Research Officer, International Telecommunication Union (ITU)
