(AGENPARL) – Roma, 26 aprile 2022 – Nella splendida cornice del palazzo sito a Largo Susanna, ex sede del Dipartimento delle informazioni per la sicurezza (Dis), ho intervistato il Professore Roberto Baldoni, Direttore generale dell’Agenzia per la Cybersicurezza Nazionale. Ho dovuto attendere diverso tempo per l’incontro, a causa dell’evolversi della situazione internazionale che ha imposto continui rinvii. Finalmente sono riuscita ad incontrare il Direttore generale, che mi ha accolta benevolmente nel suo studio, concedendomi una simpatica ma intensa chiacchierata sull’attuale situazione. Il colloquio è stato molto cordiale, anche grazie alla disponibilità del Direttore. In maniera chiara ed esaustiva ha esaudito le mie curiosità attraverso le domande, nonostante le problematiche e la terminologia tecnica usata dal Professore legate ad un settore della cybersecurity che è molto complesso e al tempo stesso riservato.

D: Considerando la situazione che stiamo vivendo in questo periodo, quindi dello scoppio della guerra in Ucraina, quando sono partiti i primi attacchi cibernetici nello scenario ucraino? Che misure di sicurezza sono state raccomandate dall’Agenzia per proteggere dati e piattaforme sensibili? Quali infrastrutture sono state colpite maggiormente da questo attacco cibernetico?

R: Gli attacchi cibernetici sono iniziati prima dello scoppio della guerra in Ucraina. Noi abbiamo cominciato a diramare comunicazioni verso l’esterno, quindi verso aziende, pubbliche amministrazioni, a volte anche comunicati stampa aperti a tutti a partire dal 14 gennaio. Il 14 gennaio c’è stata la prima campagna di attacchi sullo scacchiere ucraino che hanno riguardato sia attacchi DDoS, ovvero quegli attacchi che impediscono l’accesso a siti web istituzionali da parte degli utenti, sia attacchi che utilizzavano dei “wiper”, ovvero malware che cancellano le informazioni dei sistemi informativi penetrati. Un secondo attacco molto forte si è verificato il 14 febbraio. Su entrambi c’è stata una pronta risposta da parte di tutte le Agenzie di cybersecurity europee e del CISA americano che hanno provveduto a condividere informazioni su come proteggersi sia sotto forma di misure di sicurezza aggiuntive sia sotto forma di indicatori di compromissione che permettono all’azienda o alla pubblica amministrazione di vedere se già il malware è all’interno dei loro sistemi informativi.

Oggi l’Agenzia fornisce ai soggetti del “perimetro di sicurezza nazionale cibernetica”, ovvero le principali infrastrutture critiche, 2 bollettini giornalieri e, l’ACN ha già distribuito oltre 2000 indicatori di compromissione e pubblicato 4 comunicazioni pubbliche. Tali comunicazioni servono per allertare tutta la popolazione, in particolare quando ci sono dei settori a rischio che noi non riusciamo a raggiungere. Un esempio di comunicazione pubblica è stata quella relativa alle aziende italiane che hanno delocalizzato in Ucraina. Era importante sensibilizzare queste aziende nazionali sulla pericolosità alla quale erano esposte. Poiché se viene violata da un attacco informatico la filiale ucraina, è altamente probabile che il malware si propaghi anche nella sede italiana poiché la sede e la filiale utilizzeranno gli stessi strumenti di sicurezza e di autenticazione. Questo rappresenta un tipico effetto collaterale.

D: Quando terminerà la guerra tradizionale, terminerà anche la guerra cyber?

R: Quando finirà il conflitto ucraino con le armi, la cyberguerra continuerà e probabilmente sarà ancora più intensa rispetto alla situazione pre-guerra tradizionale. Infatti, oltre al cybercrime, che continuerà il trend precedente al conflitto, avremo una escalation di azioni tra i due blocchi che si saranno formati al termine delle ostilità e che perseguiranno obiettivi di spionaggio e propaganda.

D: Ha citato il cybercrime, a livello nazionale quali sono i settori più esposti?

R: Oltre ai settori classici come il governativo, l’energetico, le telecomunicazioni e il settore finanziario, le infrastrutture sanitarie nazionali sono certamente molto esposte poiché mediamente la cura che si pone all’aggiornamento del sistema informatico che sottintende i servizi sanitari è in genere molto bassa. Questo si traduce in sistemi informativi dove sono presenti vulnerabilità anche semplici da sfruttare per un attaccante. Per questa ragione abbiamo iniziato dialogo con le Regioni per sviluppare attraverso il PNRR (Piano Nazionale di Ripresa e Resilienza) delle progettualità che possono aumentare la resilienza di queste infrastrutture digitali. Purtroppo, i fondi stanziati dal PNRR su questo punto non permetteranno di coprire tutte le necessità, stiamo cercando di trovare nuove risorse da impiegare in tal senso per la PA.

D: Il DPCM del 16 settembre 2021 è relativo alla modalità di trasferimento di funzioni, beni strumentali e documentazione dal DIS (Dipartimento delle informazioni per la sicurezza) all’ACN. Professore, ci potrebbe spiegare meglio in cosa consiste questo passaggio di beni e funzioni?

R: Questo passaggio è avvenuto ad ottobre e oltre al trasferimento di funzioni e beni c’è stato il trasferimento delle persone che lavoravano presso il Dipartimento. Sicuramente questo passaggio ci ha permesso di essere molto rapidi nell’avvio della operatività dell’Agenzia. Di fatto è stato uno spin-off che ci ha permesso di continuare a lavorare mentre ci trasferivamo nell’ACN. Formalmente l’ACN è nata il 1° settembre con solo il sottoscritto come “dipendente”, dopodiché abbiamo progressivamente acquisito le funzioni che erano svolte dal DIS. Dal 27 dicembre, grazie ai regolamenti approvati dal Parlamento, siamo diventati una P.A. con piena autonomia, ovvero un’organizzazione di diritto pubblico, mentre prima eravamo un gruppo di persone distaccate da altre pubbliche amministrazioni ma non eravamo una vera e propria organizzazione autonoma. Da notare come i regolamenti organizzativi e del personale siano stati realizzati in meno di 4 mesi includendo 16 passaggi parlamentari. Per l’Italia credo che questo sia un bel record, nel senso che organizzazioni simili in passato ci hanno messo un paio di anni per approvare i regolamenti organizzativi.

D: La piena operatività che avete raggiunto in tempi record permetterà dunque di affrontare le sfide che con la pandemia ed il conflitto hanno aumentato in modo esponenziale?

R: Esatto. Dovevamo crescere velocemente perché già la pandemia aveva alzato notevolmente il numero degli incidenti. Infatti, mentre prima di essa si lavorava all’interno delle organizzazioni, poi siamo stati costretti a lavorare tutti da remoto. Il lavoro da casa significa che tutta una serie di funzionalità e servizi informatici sono stati presi dall’interno dell’organizzazione e portati fuori aumentando la superficie di attacco. Se questa operazione non è stata fatta a regola d’arte, questo crea diverse vulnerabilità che possono essere sfruttate da attaccanti per compiere crimini informatici. La guerra ha aggiunto altri elementi di criticità al quadro descritto, come gli effetti collaterali degli attacchi effettuati nello scenario di crisi, per cui l’Agenzia, nata in questo momento, ha dovuto subito affrontare questo complesso scenario.

D: Agenzia che, come ha ricordato recentemente sconta un ritardo rispetto agli altri Paesi?

R: Un’Agenzia simile è quella nata nel 1991 in Germania e ha 1200 persone. L’agenzia francese è nata nel 2006 e ha circa 1100 persone. Noi siamo nati il 27 dicembre e abbiamo ad oggi 80 persone. L’obiettivo è arrivare alla fine del 2023 con 300 persone e alla fine del 2028 con 800 persone. Le azioni per rispondere alle problematiche legate alla messa in sicurezza delle infrastrutture digitali hanno bisogno anche di persone, di scala dell’organizzazione per essere efficaci. Però, pur scontando il citato ritardo, abbiamo un piccolo vantaggio: abbiamo studiato a lungo i problemi e i conflitti di competenze che hanno Agenzie simili alla nostra in altri Paesi e abbiamo cercato di evitarli o risolverli alla base normativa.

D: A proposito del personale specializzato nella sicurezza informatica, sul vostro sito a partire dal 25 febbraio avete aperto al pubblico la possibilità di candidarsi per lavorare nell’Agenzia. Quali sono i requisiti che i cittadini devono avere per candidarsi? Dall’ultimo concorso che si è concluso il 25 marzo, che risposta avete avuto?

R: Sono entusiasta perché abbiamo avuto un’ottima risposta. Consideri che in meno di 50 giorni dalla nostra nascita come P.A. autonoma, siamo riusciti a indire la prima sessione di concorsi, circa mille domande per una sessantina di posti e a maggio cominceranno le prove per portare i ragazzi in Agenzia speranzosamente a luglio. Continueremo a fare ondate di concorsi per assumere sempre più i ragazzi e le ragazze diplomate e laureate con competenze avanzate nei settori della cybersecurity, anche orientati all’AI, alle reti di telecomunicazioni di nuova generazione, ai chip fino alle computazioni quantistiche. Questo tipo di professionalità è molto difficile da reperire sul mercato. Recenti studi dicono che noi abbiamo circa 3 milioni sul pianeta di posizioni della cybersecurity che non sono coperte. Principalmente ci riferiamo a matematici, ingegneri, informatici, fisici, crittografi, tecnici specializzati che sfornano le nostre università. Purtroppo, i nostri giovani negli ultimi 20 anni hanno abbandonato il nostro paese e ora si trovano all’estero soprattutto in Gran Bretagna, Germania, Francia e Stati Uniti d’America e l’ACN sta cercando le opportunità per farli rientrare. Stiamo cercando di organizzare un’ambiente di lavoro fortemente attrattivo, perché abbiamo bisogno di gente competente e motivata, e nello stesso tempo il Governo e il Parlamento hanno attribuito all’Agenzia adeguati stipendi e opportuni sgravi fiscali per chi rientra dall’estero per rendere appetibile un rientro.

D: Quali sono gli attacchi più frequenti e/o più pericolosi, e dove l’IT è più esposta?

R: Noi abbiamo una situazione in Italia, per quanto riguarda la difesa cibernetica a macchia di leopardo. Non esistendo un’Agenzia come in altri Paesi, non c’è stato il tempo di creare la necessaria consapevolezza nella società civile, a partire dai cittadini per arrivare alle imprese, alle pubbliche amministrazioni. Sostanzialmente non c’è mai stata una consapevolezza del rischio cyber e della sua corretta gestione. Questo ha portato alcune PA ed aziende, quelle più internazionalizzate ad esempio, a fare importanti investimenti, mentre molte altre sono rimaste indietro. L’Agenzia nasce proprio per far diminuire, drasticamente, queste sperequazioni e far sì che sia una situazione più omogenea alzando il livello delle difese di coloro che sono rimasti indietro. Per quanto riguarda gli incidenti informatici nella pubblica amministrazione, sono soprattutto gli ospedali, dal punto di vista numerico, che sono stati maggiormente colpiti.

D: Come interviene l’Agenzia in caso di attacco?

R: Una volta che si verifica l’incidente, noi aiutiamo in due modi la vittima. Il primo intervento serve a capire da dove è entrato l’attaccante, dove si è annidato e infine come espellerlo dal sistema informatico. Il secondo step è ripristinare i sistemi nel più breve tempo possibile e riattivare i servizi interrotti. Breve tempo che può essere nell’ordine di giorni o settimane per il riavvio di tutti i servizi. Più grande è la pubblica amministrazione o l’azienda, più è distribuita sul territorio, più complessa è la sua infrastruttura digitale e il suo numero di servizi erogati, più tempo prende l’esecuzione dei due step. Quindi meglio prevenire!