Il mondo del cyber da oggi si arricchisce di una nuova strategia nazionale di sicurezza, quella italiana. Adottata il 18 dicembre dal Presidente del Consiglio, la nostra prima strategia di cyber-security è stata pubblicata qualche ora fa.
Essa è composta dal Quadro strategico nazionale e dal Piano nazionale, in linea con quanto previsto dal famoso DPCM del 24 gennaio 2013 che, come tutti oramai sappiamo, ha creato il quadro normativo di base.
Ecco, da una lettura molto veloce del Quadro strategico, alcuni punti interessanti dell’elaborazione strategico-dottrinale italiana:

– Innanzitutto la paternità del documento. A pagina 8 si chiarisce che il Quadro Strategico è stato elaborato dal Tavolo Tecnico Cyber istituito nell’ambito del c.d. CISR “tecnico” e che opera presso il DIS. Al tavolo siedono i rappresentanti cyber dei ministeri che formano il CISR (Affari Esteri, Interno, Difesa, Giustizia, Economia, Sviluppo Economico), dell’Agenzia per l’Italia Digitale e del Nucleo per la Sicurezza Cibernetica. Quest’ultimo, ex art. 8 del DPCM, è costituito in via permanente presso l’Ufficio del Consigliere militare di Palazzo Chigi.

– La strategia, si legge a pagina 11, mira “ad accrescere la capacità di risposta del Paese alle presenti e future sfide riguardanti il cyber-space, indirizzando gli sforzi nazionali verso obiettivi comuni e soluzioni condivise, nella consapevolezza che la protezione dello spazio cibernetico è un processo più che un fine, che la continua innovazione tecnologica introduce inevitabilmente nuove vulnerabilità, e che le caratteristiche stesse della minaccia cibernetica rendono la difesa, per ora, di tipo prevalentemente – anche se non esclusivamente – reattivo.”. Si afferma qui, ad esempio, indirettamente un concetto importante e cioè che la strategia è un processo e che la sicurezza assoluta, soprattutto quando si parla di tecnologie in costante evoluzione, è impossibile.

– Il documento adotta le definizioni di spazio e di minaccia cibernetica contenute nel “Glossario intelligence” pubblicato poco più di un anno fa. Vengono quindi individuate quattro macro-categorie di minacce: cyber-crime, cyber-espionage, cyber-terrorism, cyber-warfare.

– Nel documento viene delineato un contesto strategico sostanzialmente coerente con l’attuale dottrina internazionale, ad esempio riguardo alle caratteristiche della minaccia (pag.11), alle vulnerabilità (pag.16), al ruolo centrale degli Stati (pag.13).

– Il Quadro fissa 6 obiettivi strategici (pag.19) da conseguire attraverso 11 indirizzi operativi (pag.20). Anche sotto questo aspetto la strategia di cybersecurity italiana rispetta quelli che sono gli elementi fondamentali di un documento strategico ovvero la definizione di pochi e chiari obiettivi. Come sappiamo, infatti, molti documenti di sicurezza nazionale (cyber e non) si limitano ad esporre generiche affermazioni di principio pressochè prive di qualunque “operatività” e comunque inutili dal punto di vista della conseguente pianificazione strategica.

– Sinteticamente, negli obiettivi strategici si fa riferimento: al miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi dei soggetti istituzionali coinvolti nelle attività di cyber-security; al potenziamento delle capacità di difesa delle Infrastrutture Critiche Nazionali e degli attori di rilevanza strategica per il Sistema-Paese; all’incentivazione della cooperazione tra istituzioni ed imprese nazionali al fine di tutelare la proprietà intellettuale e di preservare la capacità di innovazione tecnologica del Paese; alla promozione e diffusione della cultura della sicurezza cibernetica; al rafforzamento delle capacità di contrasto alla diffusione di attività illegali online; al rafforzamento della cooperazione internazionale nel settore.

Il secondo documento, il Piano nazionale, definisce il percorso operativo e le linee d’azione per l’attuazione dei sei indirizzi strategici di cui sopra.

Come scritto nel Piano:

Con questo ulteriore documento l’Italia si dota di una strategia organica, alla cui attuazione sono chiamati a concorrere non solo gli attori, pubblici e privati, richiamati nel Quadro Strategico Nazionale ma anche tutti coloro che, su base quotidiana, fanno uso delle moderne tecnologie informatiche, a partire dal singolo cittadino.
Tale strategia associa alla sua valenza organica un tratto di flessibilità, indispensabile a fronte delle rapide evoluzioni tecnologiche dello spazio cibernetico e delle relative sfide di sicurezza.La necessità, in sostanza, non è solo quella di essere “al passo con i tempi” ma anche di coglierne le “anticipazioni”, così da prevenire le future minacce atte a minare lo sviluppo economico, sociale, scientifico e industriale, nonchè la stabilità politico-militare del nostro Paese.

Anche il Piano, come il Quadro, è stato elaborato dal Tavolo Tecnico Cyber istituito presso il CISR “tecnico” ed ha un orizzonte temporale di due anni (2014 e 2015). Inutile dire che a questo punto sarà interessante vedere come le amministrazioni coinvolte daranno attuazione alle linee strategico-operative. Prendendo spunto dalle migliori esperienze straniere sarebbe una cosa utile realizzare, fra due anni, una “review” del processo di implementazione dalla quale partire per aggiornare, successivamente, i documenti.

Cosa manca, a questo punto? Direi che a questo punto manca un documento strategico di sicurezza nazionale, una “national security strategy” per intenderci. Il mio modestissimo suggerimento è quello di far tesoro dell’esperienza e delle procedure adoperate per realizzare i presenti documenti adattandole  per la realizzazione di un documento integrato e di livello strategico come quello che oramai hanno tutti i Paesi avanzati, meno il nostro.

Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico