Sviluppo di strategie nazionali di cybersecurity, la guida di un gruppo di lavoro internazionale

La guida rappresenta una risorsa per l’Italia e per gli Stati di tutto il mondo e offre una metodologia utile, comprensiva, flessibile e user-friendly delle migliori pratiche riconosciute internazionalmente per elaborare un approccio sicuro, resiliente e più sostenibile allo sviluppo digitale e alla protezione delle infrastrutture critiche e servizi essenziali.

Autori:

  • Bianca Mazzà, Cybersecurity Intern, International Telecommunication Union (ITU)
  • Giacomo Assenza, Cybersecurity Research Officer, International Telecommunication Union (ITU), Ph.D Candidate in Engineering for Humans and Environment, Università Campus Biomedico (UCBM)
  • Francesca Spidalieri, Sr. Cybersecurity Consultant, Hathaway Global Strategies LLC; Professor of Cyber Policy, Salve Regina University 
  • Marco Obiso, Chief a.i. Digital Networks and Society Department and Head of Cybersecurity Division, International Telecommunication Union (ITU)

Introduzione  

A novembre 2021 un consorzio di organizzazioni internazionali e regionali, organizzazioni non governative, think-tank, istituti di ricerca e multinazionali attive in ambito di cybersecurity capacity building ha lanciato la Seconda Edizione della Guida per lo Sviluppo di Strategie di Cybersicurezza Nazionale (2nd Edition of the Guide to Developing a National Cybersecurity Strategy). Questa Guida è stata pubblicata in un momento cruciale per molti Paesi che stanno contando sulla digitalizzazione e la industry 4.0 per far riprendere le loro economie post-pandemia, ma non sempre con l’attenzione necessaria alla sicurezza e alla resilienza dei sistemi digitali di cui si vorrebbero dotare. Infatti, è importante sottolineare che se i crescenti investimenti nelle tecnologie dell’informazione e della comunicazione (ICT) hanno permesso di avviare una trasformazione digitale su scala globale con indiscussi benefici socio-economici, per sfruttarne a pieno i vantaggi è però indispensabile inquadrare il progresso in una strategia nazionale volta a garantirne la sicurezza e resilienza. La nuova Guida, che arricchisce e modernizza la prima versione pubblicata nel 2018, rappresenta una risorsa per l’Italia e per gli Stati di tutto il mondo e offre una metodologia utile, comprensiva, flessibile e user-friendly delle migliori pratiche riconosciute internazionalmente per elaborare un approccio sicuro, resiliente e più sostenibile allo sviluppo digitale e alla protezione delle infrastrutture critiche e servizi essenziali.

Identikit di una strategia nazionale di cybersecurity

Come evidenziato dalla Guida, una strategia nazionale di cybersecurity non è solo una lista dove un governo identifica obbiettivi astratti e programmatici, bensì è una vera e propria espressione della sua visione nazionale, dei principi e delle priorità che guideranno lo stato nell’avanzamento dei propri interessi nella sfera cyber e in tutti gli ambiti con un importante componente digitale. Una tale Strategia consente ai decisori politici e ai regulators delle infrastrutture critiche su cui fa leva uno stato di guardare alle criticità del proprio ecosistema digitale e nazionale olisticamente, e non solo ad un settore isolato o in risposta ad un rischio specifico. Quindi, la necessità di identificare e successivamente prioritizzare investimenti e risorse è fondamentale per gestire con successo i vari rischi in un’area trasversale e onnicomprensiva come la cybersecurity. Elaborare una Strategia è infatti anche un’opportunità per allineare la costante priorità di sicurezza con obiettivi più generali quali la digitalizzazione e le trasformazioni tecnologiche. La Cybersecurity è centrale per il raggiungimento dei benefici socio-economici delle economie moderne, tanto quanto per quelli delle economie di paesi in via di sviluppo che contano proprio sull’accelerazione della loro trasformazione digitale come strumento di sviluppo economico e sociale sostenibile. Una strategia nazionale di cybersecurity dovrebbe pertanto includere un riferimento chiaro e concertato su come questi benefici possano essere supportati e incoraggiare ad incorporare sicurezza e resilienza in tutte le altre strategie e iniziative nazionali di sviluppo digitale. Infine, la Strategia non è solo un documento, ma un vero e proprio approccio interamente orientato all’implementazione, e dovrebbe dunque tradursi in una serie di politiche coerenti ed attuabili per il raggiungimento effettivo degli obiettivi stabiliti. Oltre a delineare azioni, programmi e iniziative, dovrebbe anche identificare e prioritizzare le risorse disponibili ed elaborare metriche di valutazione per garantire che i risultati desiderati siano raggiunti con il budget e le tempistiche previste. 

Un framework per promuovere un pensiero strategico

La Guida è uno strumento completo che offre ai decisori politici nazionali un riferimento per impostare un approccio strategico focalizzato sulla cybersecurity e sulla resilienza degli asset critici nazionali. Mantenere la struttura e il livello d’astrazione è stato un obbiettivo esplicito del processo di revisione della nuova Guida che, come la versione del 2018, costruisce un framework metodologica articolato in tre sezioni:

  • Il lifecycle (figura 1) fornisce una panoramica dei vari step che uno stato dpvrebbe intraprendere per formulare una Strategia e relativi meccanismi attuativi, che siano plasmati sulle priorità, specificità e necessità nazionali. Si tratta di un vero e proprio processo per integrare in modo organico gli overarching princicples e le good practices nella postura nazionale di cybersecurity. Questa sezione, inoltre, indica le autorità nazionali e gli stakeholders che dovrebbero essere coinvolti e contribuire al processo.

  • Gli Overarching Principles (figura 2) sono nove principi generali e trasversali che, se applicati in tutte le fasi e pratiche di una strategia, pongono le basi per costruire una visione olistica e lungimirante del panorama di cybersecurity nazionale.
  • Le Good Practices (figura 3), raggruppate in sette Focus Areas, introducono una serie di buone pratiche per rendere una Strategia completa ed efficace, consentendo al tempo stesso di adattarla al contesto nazionale. Tali pratiche, infatti, non sono prescrittive e imprescindibili, ma devono essere i singoli a stati a selezionare e declinare gli elementi che supportano i propri obiettivi e priorità in linea con la vision definita nella loro Strategia.

Cybersecurity: strategie Nazionali e Sfide Globali

Dalla pubblicazione della prima edizione della Guida nel 2018 c’è stata una proliferazione significativa di strategie nazionali di cybersecurity. Se tre anni fa si potevano annoverare solo 76 stati che si erano dotati di una strategia, oggi il Global Cybersecurity Index (GCI) sviluppato dall’ITU ne riporta almeno 127 – un aumento dunque del 40%. Sebbene tale diffusione rappresenti senza dubbio un passo avanti, sono ancora tante le sfide, gli ostacoli e rischi da gestire. Come i processi di digitalizzazione, anche il panorama della cybersecurity è in costante crescita ed evoluzione. Le infrastrutture e i processi diventano ogni giorno più “connessi” e interdipendenti, con nuove tecnologie, nuove vulnerabilità e nuove minacce in continuo divenire. In tale contesto le autorità nazionali devono far fronte a una crescente complessità sistemica che potrebbe diventare incontenibile con gli attuali strumenti di gestione del rischio. Inoltre, ad oggi almeno il 60% degli LDCs (least developed countries) non si sono ancora dotati di una strategia nazionale di cybersecurity con conseguenze negative sul loro livello di maturità e resilienza. Tale fattore, in un contesto di interconnessione su scala globale, può rappresentare un rischio sistemico inaccettabile. Sulla base di queste lacune e trasformazioni si è deciso di aggiornare la prima edizione della Guida.

La seconda edizione della Guida: una metodologia condivisa

Il contenuto di questa seconda edizione della Guida è stato aggiornato, integrato ed ampliato con un duplice obiettivo: da un lato, fornisce indicazioni più dettagliate e più al passo coi tempi su come sviluppare, acquisire e prioritizzare le risorse digitali nazionali; dall’altro, riflette l’evoluzione dei rischi e delle minacce cyber derivanti della crescente digitalizzazione ed evidenzia i principali trend e sfide digitali da considerare nella pianificazione strategica nazionale. La nuova Guida ha visto, rispetto alla prima versione del 2018, un allargamento sostanziale del gruppo di lavoro. Alla seconda versione, infatti, hanno contribuito più di venti soggetti (figura 4) provenienti dal mondo delle organizzazioni internazionali e regionali, organizzazioni non governative, settore privato e mondo accademico. Questa eterogeneità e amplia partecipazione è importante non solo perché integra il know-how di diversi soggetti esperti nell’ambito della cybersecurity e cyber capacity-building, ma anche perché indica l’esistenza un approccio metodologico condiviso su come promuovere la formulazione e gestione di strategie nazionali di cybersecurity a livello internazionale. 

I principali interventi sul contenuto aggiornato includono:

  • Istituzione di meccanismi di partnership formalizzati: questa versione ribadisce il ruolo cruciale del settore privato e società civile nei processi di gestione degli incidenti, condivisione delle informazioni e sensibilizzazione sia a livello nazionale che all’estero. Inoltre, viene posta maggiore enfasi sul ruolo che i vari attori internazionali potrebbero svolgere nel processo organizzativo di sviluppo e attuazione di una Strategia.
  • Interdipendenze e resilienza: il nuovo contenuto promuove una visione olistica sottolineando l’importanza di considerare l’infrastruttura nazionale non solo in termini di vulnerabilità, ma anche di interconnessioni e interdipendenze tra i settori, includendo i rischi della supply chain. A tal proposito, la Guida incoraggia una cooperazione sistemica per gestire i rischi e migliorare la resilienza.
  • Sviluppare capacità nazionali multidisciplinari: così come la digitalizzazione ha investito tutte le verticalità della società, anche la cybersecurity ha bisogno di applicazioni che trascendono il mero aspetto tecnico. Il nuovo testo corrobora le indicazioni precedentemente già discusse per sviluppare risorse e capacità di cybersecurity anche in ambito di policy, law enforcement, diplomazia, economia, educazione, awareness della società, etc.
  • Legislazione e diritti umani: questa versione ha significativamente integrato le good practices relative allo sviluppo di una legislazione nazionale in materia di cybersecurity e cybercrime, e di salvaguardia dei diritti umani e delle libertà fondamentali sia nel mondo fisico quanto in quello digitale.
  • Cooperazione internazionale: la Guida sottolinea il carattere transnazionale della cybersecurity ed evidenzia le aree strategiche da integrare in termini di cooperazione internazionale e regionale quali accordi commerciali, partenariati economici e norme volontarie di condotta responsabile nel cyberspazio. Viene inoltre sottolineata l’importanza della cooperazione internazionale nell’applicazione delle convenzioni, trattati e accordi internazionali tra paesi e dei meccanismi informali di information sharing, per supportare l’azione transfrontaliera nella lotta al cybercrime. 

L’Agenzia per la Cybersicurezza Nazionale Italiana: un passo importante verso un’azione strategica 

In Italia la strategia nazionale di cybersecurity risale addirittura al 2013 ed è contenuta nel Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico, poi integrato nel 2017 dal Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica. Se questi documenti potrebbero risultare obsoleti alla luce della velocità con la quale si evolve il panorama cibernetico, bisogna però sottolineare che il nostro paese ha dimostrato un’attenzione significativa che ha portato a un processo di continuo miglioramento in ambito di cybersecurity. A giugno 2021, per esempio, l’Italia si è posizionata al ventesimo posto nella classifica mondiale (e al tredicesimo in quella europea) del Global Cybersecurity Index che misura il livello di commitment nazionale per rafforzare la cybersecurity e resilienza del sistema paese, con una crescita particolare nei punteggi che misurano gli aspetti di governance e quelli organizzativi.

Tali risultati riflettono l’attenzione e l’impegno del governo italiano nel porre in essere iniziative e misure per rafforzare la sicurezza cibernetica nazionale. Varie iniziative e nuove strutture nazionali hanno portato negli ultimi anni dall’adozione della disciplina europea NIS (Network and information Security), alla promulgazione dei decreti attuativi del Perimetro nazionale di sicurezza cibernetica fino alla tanto attesa istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN) – la nuova autorità nazionale competente per la cybersecurity. Infine, il nuovo PNRR (Piano Nazionale di Ripresa e Resilienza) sembrerebbe allocare buona parte dei fondi europei sul rilancio del paese in ottica digitale e con l’auspicio che quella della cybersecurity sia una sfera integrante di questo piano.  

Proprio l’istituzione dell’ACN dimostra la volontà dell’Italia nel continuare a sviluppare le proprie capacità nazionali attraverso un’azione più organica e lungimirante, magari cristallizzata in una nuova strategia nazionale di cybersecurity – molti altri paesi europei hanno già pubblicato la seconda o terza versione della loro strategia nazionale. A supporto di questa azione, la Guida potrebbe rivelarsi una risorsa determinante per mettere a frutto le risorse nazionali esistenti e gli strumenti politico-organizzativi costruiti fino ad oggi.

Related Posts

Ultime news