Si è dimesso, in un grigio pomeriggio invernale il direttore dell’Agenzia per la Cyber sicurezza nazionale (Acn) Roberto Baldoni.
L’Acn regola la Cyber Security italiana che porta in dote un fondo di 623 milioni di euro del Piano di Ripresa e Resilienza(Pnrr), assegnati dal Governo di Giorgia Meloni a questo settore strategico.
Viene succeduto al controllo del volante dal prefetto di Roma Bruno Frattasi, che è stato investito dalla carica durante il consiglio dei ministri svoltosi a Cutro, in Calabria.
Il sottosegretario Alfredo Mantovano, delega ai servizi segreti, si è interessato subito di ciò che accadeva al vertice dell’Acn. L’Agenzia per la cybersecurity infatti definisce regole, scrive standard, assegna appalti.
C’è infatti curiosità intorno a questo avvicendamento, nessuno è infatti convinto che i recenti fatti di cronaca che hanno visto l’Italia in grande difficoltà sotto l’aspetto della sicurezza server, (più ascrivibili ad Accenture, società di consulenza che proprio con la pubblica amministrazione ha un contratto per fornire questi servizi, che all’amministrazione dell’agenzia) siano la vera causa del cambio di guida ma molto più lo siano i milioni che l’Agenzia deve maneggiare. E il modo in cui saranno utilizzati.
Il Denaro
La regola del “follow the money vale piu di ogni altra in questi casi e quindi proviamo ad analizzare partendo dal dato numerico.
623 milioni di euro fino al 2026 e di tale somma 174 servono per il management dell’ente stesso, e la sua operatività (circa 650 le persone ancora da assumere) e per le “capacità nazionali di prevenzione, monitoraggio, risposta e mitigazione di minacce cyber”, questo si apprende dai documenti di strategia pubblicati lo scorso anno.
Il Centro di valutazione e certificazione nazionale (Cvcn) ovvero l’organismo incaricato di verificare la sicurezza informatica delle tecnologie impiegate nelle reti di telecomunicazioni e la parte della pubblica amministrazione, che si avvale di una rete di laboratori privati e di università che riceveranno altri 147,3 milioni per certificare questi lavori.
301,7 milioni, saranno investiti nel rafforzamento delle difese cibernetiche degli enti pubblici.
L’Agenzia, ha già cominciato a spendere i questi soldi.
15 milioni di euro già l’anno scorso, per esempio, con un bando per finanziare i laboratori di screening delle tecnologie degli enti centrali.
Più semplicemente creare un team di esperti di analitiche statistiche software, strumenti professionali per l’analisi statica del codice sorgente, per la scansione di vulnerabilità nei principali software in uso presso la PA per i ministeri e altri gangli importanti dello Stato e per “l’esecuzione di vulnerability assessment e penetration test di applicazioni web, laboratori di analisi e processi operativi”, come si legge sul bando.
Screening di tecnologia
Per un paese come l’Italia, che in casa non produce la tecnologia di cui ha bisogno, arruolare scrutatori che verifichino l’affidabilità di quanto sopra descritto è cruciale per assicurarsi di conoscere la natura di hardware e software a cui si appoggia.
Che fine hanno faranno questi fondi? Spetterà al nuovo numero uno dell’agenzia decidere come assegnare i fondi e stimolare la creazione dei laboratori.
Un esempio? Le telecamere di sorveglianza cinesi acquistate dalla pubblica amministrazione.
Quando Consip, la centrale acquisti dello Stato, ha lanciato l’ultimo bando, Acn ha richiesto tre requisiti.
Primo: “Assenza di servizi e funzionalità, non esplicitamente documentati dal produttore, in grado di comunicare verso reti esterne e/o interne”. Secondo: “Possibilità di disabilitare, da parte dell’amministratore di sistema” eventuali servizi che comunicano verso l’esterno, anche per funzioni di aggiornamento.
Terzo: avere “un security assessment (inclusivo di penetration test), eseguito sull’ultimo aggiornamento disponibile del software/firmware”, anche di laboratori terzi, meglio se nell’Unione europea, che certifichi il prodotto. Le telecamere di Dahua personalizzate da un’azienda italiana sono state messe alla prova e alla fine l’hanno spuntata.
Il futuro del cloud nazionale
Enormi sono i fondi che di pendono dall’agenzia della Cyber Sicurezza.
Molti di più di quelli che la sola agenzia maneggia.
Pensiamo al fatto che le compagnie di telecomunicazioni debbano presentare al Cvcn il loro piano di investimenti e di acquisti. O a Serics, la fondazione per la cybersecurity con 116,36 milioni di euro in dote per progetti di ricerca, a cui l’Acn guarda con molto interesse. Il campo su cui si gioca la battaglia della sicurezza è estremamente incerto e difficile da districare fin dalle sue basi. Gli attacchi alla sicurezza possono arrivare da milioni di siti web insospettabili
Il problema della sicurezza e della vulnerabilità nel web è infatti ancora largamente sottovalutato e il tessuto del web è infarcito di siti web di piccole aziende insospettabili che vengono regolarmente Hackerati per essere utilizzati per condurre attacchi Phishing o di altra natura.
Quindi se non ben spesi questi soldi potrebbero sembrare addirittura pochi.
Sotto l’ex governo di Mario Draghi l’allora ministro per l’Innovazione Vittorio Colao creò il progetto del Polo strategico nazionale (Psn), l’infrastruttura cloud in cui far confluire i dati strategici della pubblica amministrazione. La strada è tutt’altro che in discesa. Da un lato la gara da 4,4 miliardi si rivela un boomerang, perché a spuntarla, almeno all’inizio, è la cordata di Fastweb e Aruba che si oppone a Leonardo, Tim, Sogei (la società informatica di Stato controllata dal Mef) e Cdp Equity (dentro Cassa depositi e prestiti).
Queste ultime, esercitando il diritto di prelazione, ottengono la commessa. Dall’altro perché, siccome l’Italia non ha tecnologia proprietaria in materia, il core business lo mettono Google (con Tim, che ha creato la società dedicata al cloud, Noovle), Microsoft e Oracle. E quando di mezzo ci sono i colossi del cloud a stelle e strisce, in Europa si drizzano le orecchie perché Washington, in base al Cloud Act, può pretendere che le sue aziende aprano i server per questioni di sicurezza nazionale.