Atti della Giornata di studioSolamenteRelazioni

Giornata di studio su:
La Global Digital Transformation e la Sicurezza integrata: come sono
conciliabili?
Forum Hotel, Roma, 11 novembre 2016
Atti dei lavori
1 / 23
ANSSAIF – CESTUDIS Atti dei lavori – La global digital transformation
Sommario
La Global Digital Transformation e la Sicurezza integrata: come sono conciliabili? ......................................... 1
Sintesi ........................................................................................................................................................... 3
Ing. Anthony Cecil Wright, ANSSAIF ............................................................................................................. 6
Gen.le Luigi Ramponi, CESTUDIS .................................................................................................................. 8
Ing. Alessandro Ferrando, CESTUDIS .......................................................................................................... 12
Ing. Fabio Merello, PWC ............................................................................................................................. 14
Ing. Stefano Bordi, Leonardo-Finmeccanica ............................................................................................... 15
Dott. Alessandro De Angelis, Amministratore Unico RBS ........................................................................... 16
Dott. Antonio Affinita, DG MOIGE .............................................................................................................. 17
Prof.ssa Licia Cianfriglia, ANP ..................................................................................................................... 18
Dott. Elio Ciaccia, Forum MyBeS ................................................................................................................ 20
Dott. Raffele Barberio, Direttore KEY4BIZ .................................................................................................. 22
Generale Luigi Ramponi, intervento conclusivo. ........................................................................................ 23
2 / 23
Sintesi
Non esistono solo i virus e gli attacchi DoS, al cybercrime si aggiunge la cyberwar, agli eventi naturali la
minaccia terroristica: dagli attentati, al riciclaggio di denaro, al finanziamento al terrorismo senza
dimenticarci delle frodi, della corruzione e degli incidenti in azienda.
Le possibili conseguenze, come si può facilmente immaginare, si concretizzano con il blocco della
produzione e dell’operatività web, con la perdita di dati, con la perdita di reputazione e pesanti perdite
economiche.
Tra tutte la minaccia, in fase progressivamente espansiva, è quella del terrorismo 1 nel quale lo sviluppo
della cibernetica ha creato un nuovo spazio dove possono svilupparsi attacchi non solo terroristici in senso
stretto ma anche di origine criminale o di spionaggio sino a giungere a forme di vera e propria cyberwar.
Appare logico e necessario avviare, per tempo, una conversione dello strumento di difesa verso una
maggiore disponibilità di sistemi e capacità operative idonee a eliminare l’asimmetria ormai in essere tra le
nuove minacce e le potenzialità di contrasto, in maniera progressiva, mantenendo quanto necessario delle
strutture tradizionali.
Il costo di tali trasformazioni può agevolmente essere coperto dalla riduzione di spesa sugli armamenti
ottenuta eliminando o riducendo il numero di reparti - sistemi d’arma, mezzi e strutture non più idonei o
necessari per contrastare l’attuale livello e tipologia di minacce.
In ambito, bisogna anche considerare che da almeno vent’anni la minaccia convenzionale è assai decaduta
ed altrettanto ha fatto quella nucleare; il conseguente impegno in operazioni internazionali ha assorbito al
massimo un 20% della forza convenzionale disponibile, integrato da un 40% in rimessa a punto e
addestramento, con progressiva diminuzione della esigenza di impegno. L’attuale orientamento della Nato
tende verso un impiego di supporto alle forze locali, anziché ad un impiego sul terreno di proprie forze, il
che riduce l’esigenza di una entità di forze pari a quella tuttora disponibile.
Oltre a quanto esposto in precedenza esistono diverse strade per raggiungere un punto di allineamento tra
l’attuale modo di gestione delle forze armate e quello capace, in modo ottimale, anche di contrastare le
nuove minacce:

realizzazione di una capacità di difesa contro attacchi cibernetici, in armonia con le disposizioni interne
previste dal DPCM del 24 gennaio 2013: ”direttiva recante indirizzi per la protezione cibernetica e la
sicurezza informatica nazionale”, la Direttiva europea NIS e le disposizioni NATO;
 unificazione, sotto un unico comando, delle operazioni antiterrorismo;
 acquisizione di una capacità proattiva e preventiva nei confronti delle sorgenti di attacco cibernetico
con il potenziamento della capacità di attività di intelligence anche per il contrasto terroristico,
sostenuto dalla triplicazione delle risorse attualmente loro destinate;
 una assai più elevata integrazione operativa tra le unità delle Forze Armate e quelle di Polizia in chiave
antiterrorismo;
 aumento di capacità addestrative da impiegare a favore di Forze armate dei paesi in situazione critica,
secondo i nuovi orientamenti di “no boots on terrain”.
Tali considerazioni si possono riassumere con una frase: “Deve cambiare il nostro modo di fare difesa,
meglio 1000 ingegneri informatici che 1000 soldati”.
1
Molto ipotetica e remota appare anche la minaccia vettoriale con testate di distruzione di massa.
3 / 23
Lo sviluppo pervasivo delle tecnologie richiede conoscenza e coscienza dei rischi connessi. Bisogna,
pertanto, che nelle organizzazioni si diffonda la cultura del rischio, a tutti i livelli: dal vertice aziendale
all’ultimo degli addetti. Ma anche il cittadino, con i suoi comportamenti informatici poco affidabili, va
educato al fine di ridurre i rischi e gli oneri indiretti sulle strutture di presidio e contrasto.
Ne deriva che la sicurezza deve essere dominio di tutti e non di pochi esperti e che le diverse “Sicurezze”
(sul lavoro, sistemi informativi, sicurezza fisica, business continuity) esigono un coordinamento a livello
apicale.
In buona sostanza, occorre diffondere conoscenze in grado di indurre anche nell' “uomo della strada”
quell'approccio "olistico" alla sicurezza che tutti gli esperti del settore vanno predicando ormai da molto
tempo.
L’esperienza nel mondo imprenditoriale dimostra che gli investimenti economici in sicurezza ritornano
indietro sia perché l’azienda sa come prevenire ed affrontare i rischi e sia perché il cliente lo apprezza.
Bisogna continuare in questa strada imponendo l’adeguamento alle norme internazionali in materia di
sicurezza a tutti ma anche facilitandone l’applicazione con la defiscalizzazione dei relativi oneri. Bisogna
anche evitare, perché molte volte accaduto, che le aziende si rivolgano a professionisti del settore non
adeguatamente preparati in quanto il risultato atteso diventa, in realtà, puramente teorico. Lo stesso vale
anche per la Pubblica Amministrazione, dove esistono le norme in materia ma le stesse andrebbero
semplificate per renderle adeguatamente applicabili. Solo successivamente, andrebbero definite e
comminate le sanzioni per chi non ne ottempera.
Da questo tavolo di lavoro è emersa una domanda "forte" di acquisire conoscenze, per essere alla pari e
poter guidare le nuove generazioni dei nativi "digitali" (in particolare da parte della scuola e della famiglia),
ma ciò che probabilmente non è ancora stato percepito è che la velocità di evoluzione della tecnologia è
tale che non ci si può fermare alle nozioni apprese, ma l'aggiornamento deve essere continuo.
Dobbiamo renderci conto che viviamo in un mondo saturo di informazioni e dobbiamo imparare a
conviverci ed anche i giovani vanno preparati in tal senso, si deve spiegare loro come orientarsi, dove
trovare fonti valide d’informazione, come utilizzarle ed interpretarle. Dobbiamo indirizzarli in modo che
possano capire che bisogna passare da un mondo fondato sulla “quantità” ad uno fondato sulla qualità.
La scuola e le università devono preparare i giovani alle competenze e conoscenze oggi richieste. Si stima in
1,5 milioni l’esigenza delle nuove professioni nei prossimi tre anni ma non dobbiamo neanche dimenticarci
di quei giovani che abbiamo nel tempo preparato e che nella maggior parte rimangono senza occupazione
passato il periodo di impiego generalmente trascorso2 in ambienti stranieri complessi. Il diretto riferimento
è nel campo militare Italiano, nei confronti dei nostri militari a contratto. Cosa è possibile fare per loro
(perché non utilizzarli ad esempio per proteggere i lavoratori italiani all’estero)?
Per la preparazione scolastica le norme ci sono e quindi spetta alle scuole, con i docenti, rispettarle ed
aggiornarsi.
2
Quattro anni di contratto.
4 / 23
In relazione a quanto esposto, si può brevemente suddividere e riassumere il tema trattato della
“trasformazione globale digitale e la sicurezza integrata” in tre formulazioni:
problematiche:
“La mancanza di una visione olistica sulla sicurezza e di una scarsa consapevolezza dei rischi connessi,
ancora terreno di pochi eletti, ne impedisce, di fatto, una coerente ed omogenea gestione”.
proposte:
“Avviare per tempo una conversione dello strumento di difesa e di crescita verso nuove capacità operative,
raccordate e gestite da una sola direzione operativa, che coinvolga non solo le forze armate ma le Istituzioni
come la scuola, l’università e le imprese. Risulta strategico far crescere la conoscenza e la consapevolezza di
tutti in modo armonizzato sia per ridurre le perdite a fronte di accadimenti della specie e sia per preparare e
specializzare le nuove generazione alla gestione della trasformazione digitale”.
conclusioni:
“C’è un forte bisogno di senso (concentrare le iniziative e gli investimenti per costruire la coscienza comune)
e di sicurezza (sviluppo etico, utilizzo, contrasto).”
5 / 23
Ing. Anthony Cecil Wright, ANSSAIF
Buongiorno a voi tutti. Benvenuti a questa giornata di studio che abbiamo organizzato assieme a CESTUDIS.
Ringrazio di questo il suo presidente, il generale Luigi Ramponi.
Abbiamo pensato di raccogliere attorno ad un tavolo soltanto alcuni dei nostri soci e followers, ossia alcuni
professionisti che possono contribuire a far sì che in questa mattinata riusciamo a raccogliere quelle idee,
quei suggerimenti, dettati dalla nostra esperienza, che vogliamo proporre alle parti interessate al fine di
dare il nostro piccolo contributo al nostro Paese in questo momento di grandi cambiamenti, ma anche di
grandi pericoli.
Che cosa sta avvenendo? La digital global transformation è uno dei principali trend che sta coinvolgendo
tutti i settori. Ci sono delle grandi opportunità di business ed anche nuove professioni; tra le prime, cito ad
esempio l’Internet of Things, le smart cities, i nuovi prodotti per conoscere e fidelizzare il cliente, ecc.
Queste opportunità quali requisiti presentano? Ne cito alcuni: realizzare prodotti progettati etici e sicuri;
cambiare le modalità di lavoro in quanto richiedono flessibilità, agilità, cooperazione tra le diverse business
unit in una stessa organizzazione, collaborazione fra colleghi, e, non ultimo, una doppia velocità della IT. A
questo proposito mi viene in mente un motto degli anni 80 citato da Tom Peters nel suo famoso libro “alla
ricerca dell’eccellenza”: pronti! Fuoco! Puntate! (Vedo il generale stupirsi…).
Oppure quello assegnato all’imperatore Augusto: “Festina lente”. Veloci ma con prudenza.
A questo cambiamento, che chiamerei epocale, si sovrappone un’esigenza di riduzione radicale dei costi e,
data l’urgenza per le aziende di avere queste competenze e abilità sin da ora, acquisirle dall’esterno tramite
anche acquisizioni o fusioni di aziende. Ciò chiaramente ha un impatto sui lavoratori e sui giovani.
Esiste ancora un terzo incomodo: la sicurezza!
Esistono cioè delle minacce che possono impedire di ottenere i benefici attesi da questa trasformazione
epocale. Fra queste minacce viene in mente di citare subito il cybercrime, ma non è l’unica minaccia.
Il terrorismo, con tutte le sue possibili sfaccettature e modalità di attacco, non appare preso in dovuta
considerazione.
Terrorismo e disagio sociale possono incrementare il rischio derivanti da attacchi dall’interno, dai cosiddetti
“insider”, con conseguenze disastrose..
Tanti sono gli interrogativi che dobbiamo porci:




le organizzazioni vuoi della pubblica amministrazione, vuoi private, affrontano la sicurezza in modo
olistico?
Nelle piccole e medie imprese gli imprenditori, i dirigenti e i lavoratori sono preparati ai sempre più
sofisticati attacchi tesi a rubare brevetti, offerte in corso di formulazione per la partecipazione a
gare d’appalto, dati riservati quali le condizioni praticate ai clienti, le fonti di approvvigionamento,
eccetera?
Vi sono investimenti per adeguare la cultura del rischio ai nuovi scenari all’interno della propria
organizzazione?
I giovani? La scuola li sta preparando? I docenti sono pronti? E le famiglie?
La nostra esperienza presso alcune scuole ci ha dato indicazioni negative. Abbiamo riscontrato qualche caso
di eccellenza, ma in generale una elevata impreparazione dei docenti e dei genitori. In particolare, questi
6 / 23
ultimi hanno in prevalenza disertato gli incontri con noi. Vi saranno state certamente delle serie
motivazioni, ma noi parlavamo di protezione dei figli dai pedofili o dal bullismo, o della loro protezione
dalle nuove frodi. Peccato.
Ecco quindi la motivazione che ci ha spinto a riunirci in pochi attorno ad alcuni illustri relatori per cercare di
mettere nero su bianco i nostri suggerimenti alle istituzioni ed ai cittadini.
A questo tavolo siede anche il presidente di CESTUDIS, il Generale Luigi Ramponi, una grande persona,
pragmatica, di grande successo e, a questo proposito, vi suggerisco di leggere la sua autobiografia uscita
pochi mesi fa e che ho letto con piacere (è piaciuta anche a mia moglie!).
Cedo ora la parola al Generale.
Adobe Acrobat
Document
7 / 23
Gen.le Luigi Ramponi, CESTUDIS
1. MINACCIA TERRORISTICA
Costituisce la minaccia di gran lunga più pericolosa e immanente nei confronti della società nazionale
ed ha forti possibilità di manifestarsi con attacchi in territorio nazionale. Il terrorismo è una forma di
lotta i cui procedimenti sono, di norma, adottati dal più debole dei due contendenti, che di solito non
dispone di una importante organizzazione militare. E’ una forma di lotta antichissima che in tempi più
recenti, è stata adottata nelle lotte per l’indipendenza dai domini coloniali o nelle lotte razziali o
religiose. Non costituisce di per sé una vera e propria entità anche se, generalmente, si usa parlare di
terrorismo e basta. Deve sempre essere qualificato da un aggettivo che ne indica l’origine e lo scopo. I
procedimenti e gli obiettivi degli attacchi invece sono più o meno gli stessi, condotti con maggiore o
minore ferocia. Le sue possibilità di colpire pressoché chiunque e dovunque, l’economicità della sua
organizzazione, la pratica impossibilità da parte del colpito di effettuare ritorsioni con i mezzi
tradizionali a disposizione, anche per la dispersione e il facile occultamento dell’origine della minaccia,
la conseguente impossibilità di adottare una strategia della deterrenza, le ispirazioni etiche dei suoi
combattenti, spesso disponibili al sacrificio della vita e quindi non frenati da nessuno spirito di
conservazione, rendono tale minaccia difficilmente contrastabile da parte dei pur molto più potenti
mezzi a disposizione dell’aggredito e, come si suole dire, rendono il conflitto asimmetrico. Le armi, i
mezzi, i procedimenti di cui può avvalersi il terrorismo per portare i suoi attacchi sono i più svariati e
vanno dal sequestro di persona all’attentato dinamitardo, all’aggressione armata, all’uso di aggressivi
chimici, biologici o radiologici ad attacchi nelle spazio cibernetico, a tutti i tipi di attacco di dimensione
limitata o molto grande che, purtroppo, specie nei più recenti decenni, si stanno verificando nel
mondo. La minaccia terroristica oggi e nel prossimo prevedibile futuro, nei confronti del mondo
occidentale, è costituita da quella di origine Jihadista e Alqaedista, con carattere religioso razziale e
quindi di estrema pericolosità e ferocia.
Recentemente si è costituita un'entità politico/territoriale, in una ampia area di parte dell’Iraq e della
Siria, che si è autonominata Stato Islamico di Siria e IRAQ (ISIS) e successivamente Stato Islamico (IS o
Daish), con una vera e propria struttura governativa che garantisce il controllo di tale vasta area
territoriale. L’IS segue la linea oltranzista di Al-Queda e considera la Jihad globale un dovere di ogni
mussulmano. Avversa gli attuali stati mussulmani, rifacendosi all’Islam delle origini, per aver deviato da
quello che chiama “Islam Puro”, per restaurare il quale ha costituito un suo califfato. Esso costituisce
un'importante fonte di minaccia terroristica dichiarata, svolge una propaganda di proselitismo
diffusissima nei mass media, conduce azioni di carattere terroristico di una ferocia estrema. Può
diventare nel tempo l’origine di una strategia terroristica con attacchi a sciame nei territori
dell’occidente. Nei suoi confronti l’azione di contrasto assume due connotazioni; la prima: la condotta
di una vere e propria guerra convenzionale sul territorio occupato dall’IS e contro i suoi tentativi di
ampliamento, la seconda: lo sviluppo di una attività di contrasto agli attacchi terroristici condotti nei
paesi considerati nemici dall’IS. Lo sviluppo delle operazioni condotte da parte della coalizione guidata
dagli USA e da quella Russo-Siriana, hanno raggiunto grande successo e ridotto di molto la forza e la
minaccia da parte del Califfato.
Nei confronti della minaccia terroristica, le capacità operative degli arsenali oggi esistenti in Italia, in
Europa, nella Nato, sono assai poco efficaci. Da qui l'asimmetria del conflitto. Se si vuole contrastare
efficacemente tale minaccia, si deve eliminare tale asimmetria. Si deve diventare capaci di disporre di
8 / 23
strategie, dottrine, procedimenti d’impiego e strumenti bellici, idonei a contrastare tale minacce in
maniera simmetrica.
A tale scopo serve una nuova strategia basata su prevenzione, protezione e resilienza. Sono strumenti
in molti casi simili a quelli come poi vedremo in seguito, concettualmente adatti alla difesa contro
attacchi cibernetici, seppur assolutamente diversi in termini procedurali e tecnici.
Per sviluppare efficacemente una strategia della prevenzione, al di là delle iniziative di carattere
politico/economico/diplomatico/religioso che debbono certamente essere perseguite a monte, ma che
esulano dal presente contesto, sono indispensabili:
-
una fortissima capacità d'intelligence;
un'elevata disponibilità di forze speciali;
una buona capacità di presenza, di sorveglianza e di proiezione di forze terrestri, aeree e navali per
colpire le origini e le basi della minaccia terroristica;
una sicura capacità di intercettazione di attacchi vettoriali (pilotati, non pilotati, missilistici) e non
convenzionali;
un efficiente sistema interno di protezione delle strutture critiche e di rilevamento interno delle
minacce;
un elevato coefficiente di resilienza delle strutture critiche;
una forte capacità di intervento nel caso di attacco subito.
Per poter attuare una strategia basata sulla prevenzione è indispensabile poter conoscere in anticipo
l’intenzione di minaccia avversaria, proprio per poter prevenire l’attacco. L’arma della conoscenza è
l’attività d'intelligence che deve essere svolta da una capillare presenza di informatori, inseriti nelle
strutture dell’avversario (HUMINT) da una attività di intelligence virtuale e con la piena utilizzazione
delle capacità SIGINT dei servizi di intelligence.
Gli interventi preventivi, condotti sulla base d' informazioni acquisite, sono competenza delle forze
speciali dotate di preparazione ed equipaggiamenti adeguati e tali da reggere bene il confronto con i
terroristi. La presenza in Europa, come in Italia, di reparti di forze speciali è assolutamente inadeguato.
La capacità di proiezione di forze terrestri, navali ed aeree per colpire, nel caso di necessità, le sorgenti
del terrorismo o le minacce portate fuori dal territorio Italiano ai cittadini o agli interessi nazionali
appaiono sufficienti, specie nella considerazione della nostra appartenenza alla Nato.
Il sistema interno di protezione e di resilienza delle strutture critiche e di intervento post attacco è, in
ambito nazionale, di un livello tale da dichiararsi precario, fermo restando che è impossibile
proteggere tutto e tutti da un attacco terroristico. Proprio per questo risulta ancora una volta esaltata
l’attività di intelligence, svolta nell’ambito dei possibili centri di ispirazione o appoggio ad attentati
terroristici , per una più efficace strategia di prevenzione e interventi preventivi.
2.
PROPOSTE CONCLUSIVE
Considerando che:
-
da
almeno vent’anni, la minaccia convenzionale è assai decaduta e altrettanto ha fatto quella nucleare;
9 / 23
l’impegno in operazioni internazionali ha assorbito al massimo da un 20% della forza convenzionale
disponibile, integrato da un 40% in rimessa a punto e addestramento, con progressiva diminuzione della
esigenza di impegno di forze;
l’orient
amento attuale della Nato tende verso un impiego di supporto alle forze locali, anziché ad un impiego
sul terreno di proprie forze; il che riduce l’esigenza di una entità di forze pari a quella tuttora disponibile,
mentre aumenta l’esigenza di forze di supporto.
la
minaccia, in fase progressivamente espansiva, è quella del terrorismo e di una ipotetica anche se remota
minaccia vettoriale con testate di distruzione di massa;
lo
sviluppo della cibernetica ha creato un nuovo spazio nel quale possono svilupparsi attacchi di origine
terroristica, criminale, di spionaggio, sino a giungere a forme di vera e propria cyberwar;
appare logico e necessario avviare per tempo una conversione dello strumento di difesa verso una
maggiore disponibilità di sistemi e capacità operative idonee a eliminare l’asimmetria tra le nuove
minacce e le potenzialità di contrasto, in maniera progressiva, mantenendo quanto necessario delle
strutture tradizionali.
Tale conversione dovrebbe tendere alla realizzazione di:
-
-
-
-
-
-
potenzi
amento della capacità di attività di intelligence, per il contrasto in ambito cibernetico e antiterrorismo,
sostenuto dalla triplicazione delle risorse attualmente loro destinate;
triplicaz
ione delle unità di forze speciali;
increm
ento delle capacità di difesa antimissile
disponi
bilità di velivoli non pilotatati da ricognizione e attacco, assai superiore a quella attuale, sia per
operazioni d’attacco, sia per il controllo d’area terrestre e marittimo;
elevata
disponibilità di naviglio per operazioni di controllo d’altura limitata e controllo delle coste, specie in
funzione anti immigrazione irregolare;
maggio
re disponibilità di reparti elicotteri per aderenti e tempestivi interventi di forze speciali;
una
assai più elevata integrazione operativa tra le unità delle Forze Armate e quelle di Polizia in chiave
antiterrorismo;
unificaz
ione, sotto un unico comando, delle operazioni antiterrorismo;
aument
o di capacità addestrative da impiegare a favore di Forze armate dei paesi in situazione critica, secondo
i nuovi orientamenti di “no boots on terrain”.
realizza
zione di una capacità di difesa contro attacchi cibernetici, in armonia con le disposizioni interne previste
10 / 23
dal DPCM del 24 gennaio 2013:”direttiva recante indirizzi per la protezione cibernetica e la sicurezza
informatica nazionale”, la Direttiva europea NIS e le disposizioni NATO;
acquisiz
ione di una capacità proattiva e preventiva nei confronti delle sorgenti di attacco cibernetico.
Unitamente ad altre iniziative con specifico orientamento riferito al contrasto delle minacce reali.
Il costo di tali trasformazioni, da attuarsi progressivamente, può agevolmente essere coperto dalla
riduzione di spesa ottenuta eliminando o riducendo il numero di reparti, sistemi d’arma, mezzi e strutture
non più idonei o necessari per contrastare l’attuale livello e tipologia delle minacce.
11 / 23
Ing. Alessandro Ferrando, CESTUDIS
Io sono un ingegnere elettronico dello staff tecnico del Centro Studi Difesa e Sicurezza presieduto dal
Generale Luigi Ramponi e dal 1994 ho fatto parte di team multinazionali di progettazione di sistemi di
combattimento e relativi sistemi missilistici di difesa di punto e di area per l’esercito e la marina militare
italiana e francese. Nel 2009 ho iniziato ad occuparmi della sperimentazione di nuovi paradigmi di
rilevazione delle minacce informatiche e di comando e controllo della risposta “semi-automatica” ed
”automatica” ad attacchi informatici per la rete DIFENET dello Stato Maggiore della Difesa traslando
l’esperienza maturata nei sistemi di comando e controllo della guerra convenzionale alla guerra cibernetica.
Il 19 Luglio rappresenta una data storica per la difesa cibernetica in quanto è stata pubblicata sulla Gazzetta
Ufficiale Europea la Direttiva 2016-1148 detta anche Direttiva NIS (Network Information Security) che
delinea un sistema unitario Europeo di difesa cibernetica dove ogni Stato Membro metterà a punto una
propria strategia che verrà approvata dalla Commissione Europea.
La Direttiva NIS che dovrà essere recepita nell’ordinamento nazionale:





obbliga tutti gli Stati membri ad adottare una strategia nazionale in materia di difesa cibernetica;
istituisce un gruppo di cooperazione;
crea una rete di CSIRT;
stabilisce obblighi di notifica degli incidenti informatici per gli “operatori di servizi essenziali” e per i
“fornitori di servizi digitali”;
obbliga gli Stati membri di designare autorità nazionali competenti e punti di contatto unici.
I settori di appartenenza degli operatori dei servizi essenziali sono in numero di sette e corrispondono a:







energia;
trasporti;
settore bancario;
infrastrutture dei mercati finanziari;
settore sanitario;
fornitura e distribuzione di acqua potabile;
infrastrutture digitali.
Il "servizio digitale" corrisponde invece a tre categorie di servizi:



mercati online;
motori di ricerca online;
servizi di cloud computing.
Il lavoro svolto dal centro studi, sotto il coordinamento del Generale Ramponi, ha consentito di definire una
proposta di integrazione delle linee di strategia del DPCM del 24 Gennaio 2013 con la Direttiva NIS.
Il lavoro ha comportato una revisione degli indirizzi strategici e degli indirizzi operativi della sicurezza dello
spazio cibernetico afferenti al DPCM. Il Quadro di governance proposto dal Centro studi, con a capo il
Presidente del Consiglio dei Ministri, prevede un punto apicale di concentrazione e filtraggio dei flussi di
notifica degli incidenti informatici e relativa trasmissione all’Unione Europea degli incidenti che coincide
con il Nucleo di Sicurezza Cibernetica e due punti di concentrazione e filtraggio dei flussi di notifica, facenti
capo al Nucleo di Sicurezza Cibernetica, identificati rispettivamente nell’Autorità Competente per le Aree
Critiche (operatori dei servizi essenziali e fornitori di servizi digitali) e nell’Autorità Competente per la
Pubblica Amministrazione.
12 / 23
L’Autorità Competente delle Aree Critiche viene identificata nel Direttore dell’ISCOM (Istituto Superiore
delle Comunicazioni e delle Tecnologie dell'Informazione) del Ministero dello Sviluppo Economico mentre
l’Autorità Competente della Pubblica Amministrazione viene identificata nel Direttore dell’Agenzia per
l’Italia Digitale.
Considerando il superamento di ogni confine territoriale, da parte dell’origine degli attacchi cibernetici, lo
studio suggerisce lo svincolo dell’attività di intelligence cibernetica da ogni ripartizione di area e quindi la
costituzione dell’Agenzia Informazioni e Sicurezza Cibernetica, l’AISC, alle dipendenze del Dipartimento
delle Informazioni per la Sicurezza alla stregua dell’AISE e dell’AISI.
La direttiva NIS non prevede l’applicazione di quanto disposto alle Piccole Medie Imprese nonostante
quest’ultime possano essere coinvolte indirettamente nell’erogazione dei servizi essenziali oltre a
rappresentare di fatto un “anello debole” della sicurezza cibernetica della filiera di erogazione dei servizi. Il
lavoro del centro studi propone il coinvolgimento delle Camere di Commercio ed un processo di
accreditamento volontario dei sistemi di protezione e risposta nei confronti di attacchi cibernetici delle PMI
ai fini del soddisfacimento di un possibile requisito per l’accesso agli albi dei fornitori di grandi imprese e ed
enti pubblici visibile su visura ordinaria della Camera di Commercio di afferenza per ogni PMI.
Nella piena convinzione che il lavoro svolto dal centro studi sia un utile contributo ad un miglioramento
della futura attività di recepimento della Direttiva NIS nell’ordinamento nazionale sono a ringraziarvi tutti
per la cortese attenzione. Grazie.
Adobe Acrobat
Document
Cliccare sulla immagine
13 / 23
Ing. Fabio Merello, PWC
La cyber security è un abilitatore fondamentale nell’ambito dell’Industry 4.0, la quarta rivoluzione
industriale.
Le aziende si troveranno fra meno di 10 anni a fare cose diverse o in modo molto diverso, lo stesso
approccio alla cyber security dovrà essere necessariamente differente, con una presenza emdedded nel
ciclo di vita di prodotti e servizi (Security by Design)
In questi ultimi anni il budget della sicurezza è rimasto pressoché stabile a livello mondiale (cfr.
presentazione).
Per l’Italia la spesa di sicurezza nelle grandi aziende crescerà quest’anno sin al 70%; all’interno di molte
aziende ci sono progetti di cyber security assessment. Le imprese industriali ragionano in modo sinergico
rispetto all’informatica e alla tecnologia operativa (IT e OT); molto si investe in sensibilizzazione.
A proposito della già citata sensibilità del top management, da parte di chi mi ha preceduto, quando
portiamo dei risultati ai vertici aziendali lo facciamo attraverso un executive summary che presenta la
situazione e le possibili soluzioni basandosi su un approccio risk based, lasciano il rapporto tecnico
all’esame delle strutture tecniche dell’azienda. L’approccio risk based è congeniale alla mentalità del top
management e consente di rendere più comprensibili e condivisibili analisi e risultati.
C’è un grosso problema mondiale in termini di carenza di risorse professionali specialistiche: si stima
l’esigenza nei prossimi tre anni di almeno 1,5 milioni di persone da assumere a livello mondiale. Spesso le
aziende si affidano a risorse esterne. Non si comprende perché nelle scuole superiori pertanto non ci sia
una adeguata sensibilizzazione dei giovani rispetto alla cyber security, in primis in qualità di cittadini e
clienti, ma anche in termini di opportunità professionali. C’è uno scarso orientamento a livello scolastico.
Confermo quanto detto dal precedente relatore: le terze parti sono la fonte numero uno di incidenti di
sicurezza e ci vuole quindi una adeguata attenzione.
Confermo anche che le piccole e medie imprese hanno un’elevata difficoltà ad affrontare il tema
Fornisco qui di seguito due slide di conclusioni (cfr. slide allegate).
Adobe Acrobat
Document
Survey PWC
14 / 23
Ing. Stefano Bordi, Leonardo-Finmeccanica
Ing. Stefano Bordi, Leonardo-Finmeccanica
L’azienda ha ca. 47.000 dipendenti dei quali 37% all’estero (principalmente United Kingdom, Stati Uniti,
Polonia). (cfr. Allegate slide)
Il mio ufficio si occupa di “cyber defence”, tramite il monitoraggio e controllo delle reti aziendali, e di “cyber
resilience”, ossia la capacità di resistere a qualsiasi tipologia di minaccia (sicurezza ICT, assurance e
compliance, cyber security della supply chain, information security). Una recente novità introdotta nella
organizzazione è stata la creazione di una specifica responsabilità che riguarda la sicurezza informatica della
supply-chain che merita grande attenzione in quanto più del 50% dei ricavi derivano proprio dalla filiera e
questa può presentare grossi rischi, come anche segnalato da chi mi ha preceduto.
Negli Stati Uniti, secondo un recente rapporto del world economic forum, tra i primi due rischi vi è la cyber
security: nessun altro Paese ha la stessa percezione degli USA.
Ricordiamo una famosa frase: vi sono due tipi di società: quelle attaccate e quelle che lo saranno!
Il cybercrime, in effetti, è in costante crescita in particolare dal mese di settembre 2015. Nel nostro caso
abbiamo avviato una forte campagna interna di sensibilizzazione di tutto il personale, incluse le segreterie
particolari e ciò ha permesso di evitare alcuni eventi dannosi, tra i quali un attacco di phishing altamente
sofisticato.
Con il top management chiaramente usiamo un linguaggio meno tecnico e più vicino al business e
recentemente abbiamo elaborato ed inviato il primo rapporto annuale di cyber security che è stato
particolarmente apprezzato.
Ciò che è importante, è che in azienda vi deve essere una diffusa cultura del rischio; ossia, ad esempio, ogni
collega si deve porre la domanda “sto facendo una cosa corretta per proteggere la mia informazione?”.
Un suggerimento: bisogna fare sistema, ossia rinforzare la partnership fra il pubblico ed il privato.
A livello aziendale, la cyber sicurezza è stata posta sotto la sicurezza aziendale mentre prima era
nell’ambito ICT. Io stesso provengo dal quel settore, ma concordo con la scelta fatta che facilita la crescita
complessiva della cultura del rischio di una organizzazione anche grazie al confronto tra differenti punti di
vista.
Adobe Acrobat
Document
15 / 23
Dott. Alessandro De Angelis, Amministratore Unico RBS
Buongiorno. Innanzitutto una precisazione, riagganciandomi alle osservazioni fatte poco fa.
La legge europea garantisce che un eventuale prelievo fraudolento venga rimborsato, con un eventuale
massimo forfettario di € 150 (Decreto Legislativo 27 gennaio 2010, n. 11, denominato “ Attuazione della
direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive
97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE ”.). Per il Cliente quindi
non ci sono problemi. Se la banca nega il rimborso, si rivolga all’Arbitro Finanziario.
sicurezza: budget.
Racconto brevemente la mia esperienza.
Ho ricoperto incarichi dirigenziali prima al Diners’ (ove sono stato anche Direttore Generale) e poi in banca.
Mi occupo dagli anni ’80 di carte di credito. Ora ho affrontato da imprenditore una nuova aventura: un call
center che offre servizi a banche ed assicurazioni.
Quando ho visto che l’80% delle frodi proviene dall’interno di una banca, ho affrontato il problema in modo
sistemico.
In azienda abbiamo affrontato investimenti per fare corsi di formazione. I soldi non li avevo ed infatti sono
andato in perdita. Poi vi spiego le motivazioni.
Le uscite hanno riguardato per 100 la consulenza, metodologia e processi di tipo informatico; e 100 sono
stati spesi in informazione e formazione.
Se entrate da noi, vedrete le scrivanie libere da qualsiasi matita, penna, telefonino, ed altro. Ciò in quanto
gli operatori non devono prendere appunti sui vostri dati. Non è stato semplice. Potete immaginare le
rimostranze delle organizzazioni sindacali. Ma ce l’abbiamo fatta. Abbiamo sensibilizzato tutti, anche i
sindacati. E chi sbaglia, paga.
La gente non spiega a tutti perché deve partecipare collettivamente in modo consapevole alla sicurezza.
Non deve essere la sicurezza affidata a pochi esperti, in quanto il cittadino può avere dei comportamenti
inaffidabili e quindi deve essere educato al fine di ridurre i rischi.
Vi posso garantire che tutti i soldi spesi sicurezza tornano indietro.
Siccome gli attacchi sono sempre più sofisticati, la sicurezza deve essere tale da intervenire
istantaneamente per individuare la possibile frode. Il personale quindi deve essere molto ben preparato ed
avere una buona formazione sulla sicurezza.
Un’altra cosa dettata dall’esperienza: il Cliente sa riconoscere nella qualità del servizio il differenziale di
prezzo.
Lamento, in ultimo, che la stampa a volte è fuorviante rispetto a questo problema in quanto trattasi di un
call center e fa confusione con coloro che telefonano continuamente a delle povere persone anziane per
sollecitare dei contratti.
RBS è un’altra cosa.
Grazie.
16 / 23
Dott. Antonio Affinita, DG MOIGE
MOIGE e ANSSAIF, come sapete, collaborano su temi molto caldi: dall’adescamento al bullismo.
Con il cyber bullismo, sappiamo, ci sono i morti! Il tema della sicurezza non è solo una questione
economica, ma sostanziale. Finché crederemo che la Rete è virtuale, avremo queste problematiche. La Rete
è reale! Il Web ha trasferito in sé tutto quello che è reale. È uno strumento del mondo reale.
Tante sono le preoccupazioni.
Uno dei problemi è l’incapacità dei genitori di controllare il tempo che i figli dedicano alla Rete. Pensiamo ai
minori che già accedono ai social network a 13 anni, con tanto di contratto firmato ed accettato! Quale
azienda si sognerebbe di chiedere ad un minore un contratto, oltre tutto nel quale si chiede al minore di
dare autorizzazione di utilizzare i contatti per tutta la vita e di essere monitorato.
Alle proteste dei genitori per un filmato di bullismo, Facebook ha risposto che era tutto regolare. Dopo una
grancassa, dopo 15 giorni, lo hanno finalmente tolto dalla Rete!
Questa è una sfida globale dove anche i giovani hanno un limite.
Negli Stati Uniti i morti per suicidio sono pari al numero dei giovani morti sulle strade.
Il bullismo esiste anche sugli adulti, ma questi però sanno gestirlo. Gli adulti hanno gli strumenti per gestire
questi fatti, al contrario dei giovani. Ci vuole un utilizzo corretto della Rete. Secondo una nostra indagine, i
giovani usano la Rete per lo studio solo per un 10º del tempo, in quanto l’utilizzo prevalente è per attività
ricreative.
Un altro aspetto è quello relativo alle fonti di informazione; oggi per i ragazzi la fonte principale è
Wikipedia. Bisogna spiegare invece ai giovani dove e come trovare le fonti di informazione. Siccome siamo
sommersi da dati, dobbiamo far loro apprendere come reperirli, leggerli ed interpretarli.
Grazie.
17 / 23
Prof.ssa Licia Cianfriglia, ANP
Ho ascoltato con estremo interesse le relazioni che mi hanno preceduta. È emerso un quadro complesso: la
trasformazione digitale e le problematiche connesse alla sicurezza. È stata più volta evocata la mancanza
delle competenze professionali necessarie, nonché un disallineamento del mondo della scuola e della
università rispetto alle esigenze delle imprese e della pubblica amministrazione di questo Paese. Siamo in
una condizione nella quale non si riesce a far dialogare coloro che lavorano all’interno del sistema
educativo con coloro che si impegnano nel sistema imprenditoriale.
Cerco ora di fornire sinteticamente il quadro della situazione attuale.
I ragazzi usano in modo crescente gli strumenti tecnologici e la scuola nella generalità dei casi non è
preparata a promuovere la costruzione delle competenze digitali in ragazzi che spesso sono più avanti dei
docenti ai quali è affidata la loro formazione. Quale è il gap fra le competenze degli insegnanti e la
tecnologia a disposizione della scuola, ed invece le inclinazioni e le richieste che vengono dagli studenti?
Vi è carenza di informazioni aggiornate, ed è anche per questo che come ANP abbiamo promosso due
survey, in collaborazione con le Università Link Campus di Roma e Politecnico di Milano, per indagare
rispettivamente quali siano gli usi delle tecnologie digitali nei processi della didattica e dell’organizzazione
scolastica. In attesa degli esiti di questi lavori, posso intanto citare alcuni dati di cui disponiamo.
Secondo il GlobalWebIndex il 78% degli accessi alla rete avviene attraverso dispositivi mobili. I ragazzi tra i
16 ed i 24 anni mediamente passano quasi quattro ore al giorno in linea su smartphone o tablet, nell’83%
dei casi sui social network, prevalentemente su Facebook, Messenger, WhatsApp.
L’indagine INDIRE condotta nel 2015 sulle “Competenze digitali di studenti e docenti nelle regioni PON”,
relativa agli investimenti del Programma PON 2007/2013 mostra che circa il 30% delle scelte dei docenti ha
riguardato percorsi formativi sui sistemi digitali. Gli insegnanti pertanto esprimono in modo chiaro
l’esigenza di essere formati ed hanno difficoltà ad integrare l’uso delle tecnologie nella didattica quotidiana.
Per quanto riguarda gli alunni, spesso in grado di un uso autonomo delle risorse digitali, quando usano in
classe software creativi dichiarano di pubblicare i propri contenuti nel 44% dei casi anche da casa.
Si deve considerare che in Italia vi sono circa 8000 scuole, con circa 40.000 plessi. Il 70% è connesso alla
rete, ma le connessioni spesso non sono adeguate per la didattica digitale. L’uso prevalente attuale è per
fini amministrativi e solo il 16,5 % delle scuole usa forme centralizzate di piattaforme per la didattica. Poco
più della metà delle scuole colloquia digitalmente con le famiglie. Il processo di dematerializzazione,
obbligatorio per legge da qualche anno, procede con difficoltà. I registri elettronici sono utilizzati dal 73,6%
dei docenti, il 68% delle scuole non ha adottato un sistema informatico di gestione documentale, l’80% non
possiede un sistema di conservazione sostitutiva a norma.
Da questo scenario si può comprendere senza difficoltà come nella scuola vi sia ancora molto da fare
rispetto a ad una seria e generalizzata appropriazione delle competenze digitali. La consapevolezza, poi,
rispetto alle problematiche di sicurezza è un passaggio ulteriore e di maggiore complessità realizzativa: è
come se la scuola fosse rimasta fuori da questo processo di trasformazione digitale generale di cui oggi
stiamo ragionando. Ci sono esperienze di eccellenza in cui si sono costruite progressivamente realtà
significative, ma la trasformazione dell’intero sistema educativo è ancora lontana.
Due azioni importanti sono state avviate l’anno scorso, nell’ambito della riforma varata con la Legge
107/2015: l’alternanza scuola-lavoro, che è un utile metodologia didattica che può aiutare a correggere il
disallineamento tra la preparazione dei ragazzi e le richieste del mondo del lavoro, e il Piano nazionale
Scuola Digitale. Queste, insieme alla formazione obbligatoria per i docenti, ci auguriamo possano incidere
18 / 23
positivamente sulla situazione generale. Voglio fare un breve cenno quantitativo anche sul personale
coinvolto, per chiarire meglio il quadro degli interventi necessari: circa 750.000 docenti e circa 250.000
unità di personale amministrativo e tecnico, poco più di 7000 dirigenti. L’investimento necessario su un tale
numero di persone è enorme.
Circa i ragazzi, l’alternanza scuola-lavoro ha riguardato nell’anno passato circa 500.000 studenti delle classi
terze della scuola secondaria di secondo grado, quest’anno la previsione è di impegnare in percorsi di
alternanza un milione di studenti. A questo proposito, devo evidenziare che organizzare la formazione in
questa modalità, per almeno 400 ore nel triennio degli istituti tecnici e professionali e per almeno 200 ore
nei licei, è obbligatorio per le scuole e non per le aziende. Si può facilmente immaginare quanto sia
complicata l’attuazione.
Tornando alla formazione dei docenti, data la situazione di partenza e i numeri in gioco, è necessario un
forte coinvolgimento e, a mio parere, un maggiore coordinamento dal centro con le singole realtà che
hanno la loro autonomia. Bisogna anche tenere conto che l’età media dei docenti supera i cinquant’anni di
età e che motivarli al cambiamento di pratiche consolidate è un lavoro lungo, che va condotto con
costanza, per il quale è finora mancato un investimento forte anche sui dirigenti della scuola. C’è una
resistenza generale al cambiamento che può essere compresa: le competenze digitali si acquisiscono con la
pratica e il personale della scuola non è mai stato sollecitato in passato ad aggiornare la sua professionalità;
ora si sente in difficoltà, inadeguato alla sfida del digitale e in cerca di motivazione per lo sforzo che gli
viene richiesto. Questo in un contesto in cui i docenti oggi, dobbiamo ammetterlo, non godono di una
elevata reputazione sociale e neppure di un riconoscimento retributivo al pari delle medie europee.
E’ necessario, a mio parere, fare un investimento di responsabilità sui dirigenti delle scuole, in modo che
possano realmente essere motori del cambiamento, adeguatamente sostenuti e svincolati da lacci e vincoli
burocratici. Bisogna dare pieno riconoscimento alla figura direzionale a scuola, fornendo una maggiore
capacità decisionale e strumenti per un’autonoma organizzazione e per il miglioramento dell’istituzione in
cui operano.
D’altra parte, sono convinta che per un cambiamento significativo del sistema educativo che c’è bisogno
anche della collaborazione di una pluralità di soggetti, dunque ben vengano queste occasioni di confronto
per ragionare sulle reali difficoltà nella nostra scuola e condividere possibili soluzioni.
Grazie.
19 / 23
Dott. Elio Ciaccia, Forum MyBeS
Elio Ciaccia, Forum MyBeS
il mio intervento in questa giornata in cui si parla di trasformazione digitale globale ha lo scopo di offrire un
orizzonte più vasto al tema della sicurezza, vedendo la sicurezza come un patrimonio condiviso e in
connessione con la sostenibilità dello sviluppo.
Attualmente viviamo come se avessimo un pianeta in mezzo e, qualora dovessimo proseguire con questo
ritmo, nel 2050 ci vorrebbero almeno tre pianeti per soddisfare la domanda di beni e servizi. Qualora
dovessimo in Italia continuare a consumare a questo ritmo la riserva di risorse naturali che ci è stata
lasciata, ci vorrebbero quattro Italie e mezza per soddisfare la domanda. Come si comprende, questa
situazione non è sostenibile, non è equa. Bisogna ripensare le politiche e i sistemi di produzione e di
consumo per passare da un mondo fondato sulla quantità ad un mondo che assuma come valore la qualità
della vita, dei rapporti tra gli uomini, dei rapporti tra l’uomo ed il pianeta.
Quale ruolo In questo processo di transizione può avere la trasformazione globale digitale?
Nella difficile e non breve transizione da un’economia lineare ad un’economia circolare le innovazioni
avranno un ruolo chiave e segnatamente quelle della Global digital transformation vieppiù se la sicurezza
ne è elemento costitutivo.
C’è una grande domanda di senso nella transizione. E le sicurezze attese sono tante.
Mi sovviene a tal fine una indicazione di azione offerta recentemente ed in altra contesto da Nando
Pagnoncelli: occorre “formare informando” per “favorire un processo di apprendimento, non solo per
l’opinione pubblica, ma anche per le classi dirigenti”. Nella ridefinizione del ciclo di produzione di beni e
servizi, infatti, abbiamo già individuato e messo in relazione le fasi necessarie per passare da una economia
lineare ad una circolare. Un uso sapiente delle tecnologie può permettere di garantire che ciò avvenga e
che in questo siano garantiti i necessari livelli di sicurezza.
La transizione di cui stiamo ragionando è, però, di portata epocale ed ha una ineludibile esigenza di un
livello educativo di più ampio respiro.
Per questo, citando la enciclica “Laudato si”, occorre avere presente che “ogni cambiamento ha bisogno di
motivazioni e di un cammino educativo…”. E la partenza è “puntare su un altro stile di vita” che apre anche
la possibilità di “esercitare una sana pressione su coloro che detengono il potere politico, economico e
sociale”.
Influire sui processi decisionali è, infatti, possibile nel momento in cui c’è una consapevolezza formata
attraverso un percorso educativo, che va fatto.
Dice Zygmunt Bauman: “Nella storia umana non era mai capitato che gli educatori si imbattessero in una
sfida paragonabile a quella rappresentata dalla svolta attuale. Semplicemente, non ci eravamo mai trovati
in questa situazione prima d’ora. L’arte di vivere in un mondo più che saturo di informazioni dev’essere
ancora appresa. Proprio come quella, ben più ardua, di preparare gli esseri umani a vivere una tale vita.”.
Noi, assieme a ANP - qui rappresentata dalla professoressa Cianfriglia - abbiamo in atto da più anni una
iniziativa rivolta agli studenti, che sono e saranno sempre più coinvolti nella transizione. E’ rivolta a quelli
delle classi delle secondarie di secondo grado, ove vi è l’alternanza scuola-lavoro, perché possano liberare
le loro energie creative e far sì che l’alternanza scuola lavoro non sia vissuta come una sorta di preaddestramento al lavoro che c’è, ma li apra al futuro. In pratica, stabilire un nesso fra alternanza scuola
lavoro e capacità di pensare il futuro.
20 / 23
Come?
Lanciando ogni anno (siamo alla 6° edizione) il Concorso “Lo Sviluppo locale che vorrei, equo e sostenibile”
al quale le classi partecipano con una proposta progettuale di una attività produttiva o di servizio, pubblica
o privata, volta ad uno sviluppo responsabile e sostenibile del proprio territorio, tale da poter rispondere
alle attese dei giovani ed essere attrattiva del loro impegno.
Una iniziativa che condividiamo nel Forum MyBES, il quale ha scelto come tag “Sostenibilità E’ Benessere”.
Il “Forum per la promozione dello sviluppo equo e sostenibile” è un luogo significativo al quale partecipa
anche ANSSAIF, assieme a CIDA, ABI, Rete delle Professioni tecniche e scientifiche, Rappresentanze
sindacali ed altri soggetti associativi.
In più sedi di afferma che dal 2008 siamo passati in un’altra era geologica. Un altro mondo. Per non
soccombere alle sfide ci vuole un impegno corale, non solo a livello istituzionale, ma anche della società
civile e questa deve svolgere un ruolo fortemente attivo ed il Forum è uno strumento.
Tornando alle premesse la conclusione è che dobbiamo dare un’anima alla Global digital transformation
della quale la sicurezza è un elemento imprescindibile.
Adobe Acrobat
Document
21 / 23
Dott. Raffele Barberio, Direttore KEY4BIZ
Mi è stato chiesto di dire due cose in conclusione, come “terzo”.
Sono stati fatti tanti interventi assai interessanti; ci sono stati riferimenti a contesti aziendali nella prima
tavola rotonda, e poi nella seconda; questa sembrava non essere connessa alla sicurezza, invece lo è. Dalle
premesse della prima, e dagli interventi, non si può parlare di cyber sicurezza, se non si parla anche di
responsabilità e consapevolezza, della società, della popolazione.
Un suggerimento: nel parlare diciamo “la trasformazione digitale”. È sbagliato perché la trasformazione è
già alle spalle. Internet è una cosa “vecchia”. Ed è data per scontata (provate a togliere l’energia elettrica a
livello mondiale per un’ora e crollerebbe l’economia mondiale!).
I giovani. Questi hanno processi cognitivi diversi da noi. Un esempio: noi leggevamo i libretti di istruzione.
Per i giovani oggi non servono; non si legge il libretto. Sono intuitivi. C’è pertanto un modo di apprendere
che è cambiato.
La trasformation non è andare da qui a lì, ci sono milioni di sfumature. Il punto di arrivo è sempre più
avanti. Siamo costretti a correre. E’ come il famoso esempio di Achille e la tartaruga. Siamo costretti a
cambiare in continuazione.
La sicurezza è essenziale. Qui saranno gli investimenti dei prossimi anni. E la sicurezza permette la crescita.
C’è bisogno di una programmazione, di responsabilità. Le classi dirigenti devono guardare con
responsabilità e consapevolezza alla sicurezza. Ad esempio, la crisi economica del NE italiano di 12-13
anni fa, si dice che è stata anche dovuta al fatto che sono stati violati i brevetti, le ricerche, di quel distretto.
A quella delle aziende, si aggiunge la sicurezza delle nazioni. Sicurezza dei prodotti, delle aziende, delle
nazioni. Bisogna proteggere i dati delle persone, i soldi, i brevetti, i bambini…
Un’altra considerazione.
L’Europa è in crisi di leadership che sembra incolmabile. Gli USA in crisi di debito e di leadership.
Non c’è sicurezza se non c’è una leadership. Siamo in un paese che fa ancora confusione fra cyber sicurezza
ed intelligence. E stanzia solo 150 milioni per la sicurezza della nazione, come citato dal Generale.
C’è qualcosa che non va in questo Paese. C’è carenza di leadership. Le aziende hanno in genere una
consapevolezza più elevata. Ma fanno fatica a spiegarlo ai dirigenti. E le aziende ne soffrono.
Allora, sottolineo alcuni elementi.
La responsabilità e la consapevolezza, che più spesso sono emersi, sono quelli che potrebbero dare un
impulso.
ANSSAIF e CESTUDIS suggerisco che realizzino un documento in modo da sollecitare alla responsabilità i
politici, i ministeri, e la cultura. Tutto ciò che è personale deve essere protetto. Produrre un documento
che metta insieme un vademecum di suggerimenti.
Il decisore politico deve essere sensibilizzato.
Mi permetto di fare un invito: mi piacerebbe ospitare sul mio giornale coloro che vogliono aggiungere un
loro contributo a quanto oggi ci siamo detti. Cedo ora la parola al Generale Ramponi.
22 / 23
Generale Luigi Ramponi, intervento conclusivo.
Devo fare due precisazioni, altrimenti rischiate di uscire disinformati da questo convegno.
In Italia dal 2013 c’è un decreto che stabilisce la via per garantire la sicurezza cibernetica. Nessuno gli ha
fatto riferimento!
In giugno il Parlamento europeo ha approvato la normativa NIS della sicurezza europea. Che dovrà
diventare operativa entro il 9 maggio 2018. Nessuno ne ha fatto riferimento!
Se voi non partite dalla legge e nei convegni dite solo quello che pensate, non arriviamo a nulla! Dobbiamo
prima vedere cosa dicono le leggi!
Avete parlato dell’esigenza di formazione. Ebbene, il DPCM e la normativa in via di definizione prevedono la
formazione. Quindi, prima bisogna andare a vedere le norme cosa prevedono.
Ogni volta che vado ad un seminario sento discutere sulle possibili soluzioni; a titolo di esempio, nel
recente dibattito al Senato non è stata trattata la direttiva europea né il DPCM. C’erano cinque deputati,
c’erano tanti esperti, ma non si è parlato delle normative.
Da questo convegno bisogna uscire sapendo che vi sono le norme sulla sicurezza e che in Europa è in
emanazione una legge in linea con la direttiva. Nei convegni bisogna incominciare da lì, dalle norme
23 / 23