utenti ip tracking
domenica 19 Settembre 2021

La difesa cyber italiana tra Intelligence e nuove prospettive

In breve

  • L’attacco subito da SolarWinds ha destato immediate preoccupazioni e coinvolto grandi aziende italiane del settore tecnologico e della comunicazione, scatenando così l’intervento dell’insieme degli attori responsabili della difesa cibernetica italiana.
  • Attori quali il DIS, NSC, CSIRT e CISR costituiscono l’apparato di difesa cibernetica italiana, il quale si attiva per fornire supporto tecnico e direttive strategiche alle aziende colpite, agendo nel contesto della nuova direttiva europea NIS.
  • L’attuale impostazione molto legata all’intelligence ha portato alla proposta della creazione di un’agenzia separata dall’intelligence, la quale si occuperebbe unicamente di difesa cibernetica coinvolgendo civili e privati, seguendo l’esempio dei corrispettivi stranieri.

Dove si trova

Ascolta l'articolo

Analisi Dimensione di competizione internazionale estremamente dinamica e trasversale, il cyberspazio rivela costantemente nuove sfide per la Difesa. Lo stato attuale del sistema di difesa cibernetico italiano evidenzia una stretta connessione con l’intelligence e suoi apparati, ma già si prospetta la nascita di una nuova agenzia impiegata unicamente su questo fronte.

L’ATTACCO A SOLARWINDS

L’attacco hacker subito da SolarWinds a dicembre 2020 ha destato fin da subito molta preoccupazione per la sua gravità ed estensione. Estensione che ha raggiunto, seppur in maniera minore, anche l’Italia. Il coinvolgimento dell’Italia va ricondotto all’ampia rosa di clienti internazionali di SolarWinds, tra cui appunto figuravano grandi aziende italiane del settore tecnologico/comunicazione come TIM e Fastweb, oltre a università come la Scuola Superiore Sant’Anna di Pisa. In seguito all’attacco gli uffici preposti alla difesa cyber dell’Italia hanno immediatamente avviato le attività di supporto e vigilanza per le aziende coinvolte, coordinandosi con i corrispettivi degli altri Paesi europei secondo la rete di risposta europea CyCLONe. In questo contesto la struttura di cyber difesa italiana si è quindi attivata in tutte le sue componenti per fronteggiare la minaccia posta dall’attacco alle infrastrutture critiche del Paese.

Embed from Getty Images

Fig. 1Il cyberspazio è una dimensione pervasiva e altamente interconnessa

L’ARCHITETTURA DI DIFESA CIBERNETICA

Gli attori responsabili della difesa cibernetica italiana sono il Dipartimento di Informazione e Sicurezza (DIS), il Computer Security Incident Response Team (CSIRT) e il Nucleo di Sicurezza Cibernetica (NSC). Inoltre con compiti consultivi e di indirizzo strategico opera anche il Comitato interministeriale per la sicurezza della Repubblica (CISR), coadiuvato da un organismo di supporto tecnico (CISR tecnico).
Il DIS, esattamente come per il Sistema di Informazione e Sicurezza della Repubblica (Intelligence), si colloca al centro dell’apparato di difesa cibernetico tra NSC e CSIRT. Il suo ruolo di governance e pianificazione della difesa cyber lo impegna in due modalità differenti: da una parte affida la risposta e la prevenzione a livello tecnico degli attacchi al CSIRT (Computer Security Incident Response Team), dall’altra presiede il NSC, organo preposto alla pianificazione della risposta cibernetica e alla gestione delle crisi informatiche. La scelta di posizionare DIS come pivot-cibernetico rivela come la cultura strategica della cybersecurity e del cyberwarfare resti strettamente ancorata all’intelligence più di ogni altra branca.
Il NSC inquadrato all’interno del DIS e presieduto da un Vice Direttore generale del DIS, designato dal Direttore generale si compone dei seguenti membri: un consigliere militare e un rappresentante rispettivamente del DIS, dell’AISE, dell’AISI, del Ministero degli Affari Esteri, del Ministero dell’Interno, del Ministero della Difesa, del Ministero della Giustizia, del Ministero dello Sviluppo Economico, del Ministero dell’Economia e delle Finanze, del Dipartimento della Protezione Civile e dell’Agenzia per l’Italia Digitale. L’attività del Nucleo si sostanzia in due categorie d’azione. Da una parte opera nel campo della prevenzione e della preparazione della risposta operativa cibernetica – in questa attività è supportato dall’unità per l’allertamento e la risposta a situazioni di crisi cibernetica attiva 24 ore su 24, 7 giorni su 7, – dall’altra parte svolge compiti di raccordo tra il sistema di difesa italiano e apparati cyber alleati agendo come punto di riferimento nazionale per i rapporti con l’ONU, la NATO, l’UE, altre Organizzazioni internazionali e altri Stati alleati.
Il CSIRT anch’esso costituito in seno al DIS svolge attività di primo intervento e preallarme. Nell’alveo dei suoi compiti troviamo: intervento rapido in caso di attacco, monitoraggio degli incidenti, divulgazioni di informazioni alle parti coinvolte da impatti cibernetici, cooperazione con gli altri CSIRT e promozione della cyberawareness tramite il suo canale Telegram (http://t.me/CSIRT_italiano). Il CSIRT ha iniziato le proprie attività il 6 maggio 2020, dopo il recepimento della direttiva europea NIS (Network and Information Security), inserendosi nella rete di risposta europea CyCLONe. 
L’ultimo componente del sistema di difesa è il CISR, organo collegiale deputato a svolgere funzioni di coordinamento e supervisione. Il suo compito è quello di verificare che l’intero apparato di difesa provveda al mantenimento del Perimetro di Sicurezza Nazionale Cibernetica. Lo svolgimento delle attività in campo cyber è garantito dal supporto di un organismo tecnico, detto “CISR tecnico”.

Fig. 2 – Infografica relativa al sistema di difesa cibernetico italiano | Autore: Federico Borgonovo

L’ALTERNATIVA

È interessante notare come l’intero apparato di difesa sia stato del tutto concentrato nelle mani dell’intelligence. NSC e CSIRT sono inquadrati nel DIS e l’organo di supervisione, il CISR, è lo stesso che monitora le attività di intelligence. A tal riguardo l’Autorità Delegata per la Sicurezza della Repubblica Franco Gabrielli ha espresso recentemente la volontà di creare una nuova agenzia unicamente impiegata nel campo della cyber difesa. Questo perché, per quanto il sistema di difesa allo stato attuale funzioni egregiamente, dovrebbe possedere caratteristiche diverse da quelle dell’intelligence. Seguendo la linea tracciata dalla proposta di Gabrielli l’agenzia dovrebbe:

  • Operare trasversalmente nello spazio cibernetico cercando di abbracciare tutte le sue dimensioni dal cyberwarfare al cybercrime mantenendo come focus principale la difesa del perimetro di sicurezza nazionale cibernetica;
  • Dimostrarsi adattabile e capace di rispondere in maniera flessibile alle minacce cibernetiche;
  • Rendersi autonoma dai Servizi Segreti adottando un approccio più in linea con le agenzie di altri Paesi come la CISA per gli USA o la ANSSI per la Francia.

La separazione dai Servizi non deve essere intesa in senso negativo, al contrario la ratio è quella scaricare l’intelligence e renderla meno esposta al fronte cyber e al contempo costituire un’agenzia in grado di scambiare informazioni e competenze all’interno del Paese. In tal modo si aprirebbero diversi scenari di cooperazione con una serie di attori “capacitanti”, per esempio collaborazioni con hacker etici o addirittura coinvolgimento di giovani informatici, per poi giungere a forme di cooperazione integrata tra pubblico e privato. Con ciò detto il comparto intelligence non verrà escluso dal sistema di difesa cibernetico, ma dovrà comunicare e collaborare attivamente con la nuova agenzia. Si prospetta un progetto che guardi seriamente alla difesa del Paese, prendendo spunto da altre agenzie nazionali che basano la loro azione sulla cooperazione pubblico-privato e sull’apertura verso l’esterno del reclutamento. Attacchi cibernetici come quello contro SolarWinds che puntano alla supply-chain per colpire Stati ed Enti governativi stanno aumentando esponenzialmente. In questo contesto estremamente dinamico è fondamentale trarne una lezione in termini di cooperazione e di conseguenza comprendere più attivamente il settore privato nella rete di difesa cibernetica.

Federico Borgonovo & Marco Zaliani

Immagine in evidenza: la cyber fortezza italiana, 2021 – Federico Borgonovo

Federico Borgonovo
Federico Borgonovo

Federico Borgonovo è analista-ricercatore presso l’Italian Team for Security Terroristic issues and Managing Emergencies – ITSTIME. Ha conseguito una laurea in Scienze Politiche per le Relazioni Internazionali presso l’Università Cattolica del Sacro Cuore (UCSC) e un Master in Politiche di Sicurezza (PoliSi) conseguito anch’esso presso l’UCSC di Milano, con una tesi finale intitolata “L’Etnografia digitale su Telegram come Strumento per l’antiterrorismo”. Si è specializzato in etnografia digitale, analisi geospaziali e social network analysis. Le attività su cui è maggiormente focalizzato sono il monitoraggio della propaganda terroristica e la modellazione delle tattiche di reclutamento nell’ambiente digitale; con particolare attenzione alle nuove tecnologie di comunicazione. Le maggior parte dei suoi studi è orientata in particolare al terrorismo islamico e all’estremismo di destra.

Ti potrebbe interessare
Letture suggerite