Correva il 2019. E il decreto che tracciava le regole di cybersecurity per le attività fondamentali per tenere in piedi la vita sociale ed economica dell’Italia, tenute pertanto ad alzare il loro livello di difesa (il cosiddetto perimetro nazionale di sicurezza cibernetica), istituiva un sistema di controllo delle tecnologie da installare nei punti nevralgici delle infrastrutture italiane. Centro di valutazione e certificazione nazionale (Cvcn), questo il nome del laboratorio affidato all’Agenzia per la cybesicurezza nazionale (Acn) incaricato di test e controlli sull’affidabilità di hardware e software. Al quale affiancare una rete di altri centri per tenere il passo con l’analisi, i cosiddetti laboratori di prova. Quattro anni dopo, però, l’impianto di controllo è ancora in costruzione. Perché, a quanto apprende Wired dall’Acn stessa, ancora nessun laboratorio di prova è stato accreditato e quindi ammesso ad affiancare il Cvcn nel suo lavoro.
Per capire come siamo arrivati all’impasse attuale, occorre fare un passo indietro. Nel settembre 2019 il primo governo guidato da Giuseppe Conte (maggioranza Lega più Movimento 5 Stelle) approva il perimetro di sicurezza nazionale cibernetica. La legge identifica pubbliche amministrazioni, aziende e infrastrutture che devono alzare al massimo le difese informatiche perché un loro blocco potrebbe mettere a serio repentaglio la tenuta dello Stato. Come banche, reti di telecomunicazioni o impianti di energia. Gli operatori sono tenuti ad adottare standard più rigidi quando scelgono i fornitori degli appalti e a sottoporre le tecnologie adottare ai controlli del Centro di valutazione e certificazione nazionale (Cvcn), all’epoca istituito presso il ministero dello Sviluppo economico (Mise). E già immaginato da un decreto del 2017.
Passa un anno e la macchina si inceppa. Perché il Mise non pubblica il bando per assumere i 77 tecnici necessari a rinforzare il Cvcn e far fronte ai controlli. Siamo nel pieno degli investimenti sul 5G ma anche nel mezzo di una guerra mossa da Stati Uniti e Unione europea a Huawei e Zte, i due colossi cinesi delle telecomunicazioni, per la presenza della loro tecnologia nei gangli delle reti 5G occidentali. La scelta italiana è quella di non escludere gli operatori del Dragone, ma di controllare hardware e software prima dell’installazione. Peccato manchino i controllori che, peraltro, oltre al 5G devono occuparsi dei 465 operatori dei servizi essenziali (ose), ossia le aziende che forniscono servizi fondamentali per la vita di tutti i giorni, tenute a rispettare i più alti standard di sicurezza informatica, come impone la direttiva europea Nis.
Passa un altro anno e il perimetro si allarga. Altre 223 funzioni essenziali vengono incluse. E il Cvcn? Sparito dai radar. E così arriviamo al 28 giugno 2022. Quando la neonata Agenzia per la cybersicurezza nazionale si fa carico di avviare il centro di controllo finora rimasto lettera morta, con un organico di una 50ina di persone.
E così arriviamo al 2023. Quando Acn mette mano al secondo tassello del piano. Ossia la creazione dei laboratori di prova. Al bando, lanciato nel 2022, partecipano 38 progetti ma solo a fine maggio viene stabilita la graduatoria finale, con 27 vincitori. Per 15 proposte Acn mette a disposizione 2,477 milioni di euro per finanziare per intero i progetti. In questo campo rientrano i laboratori di prova proposti da Infoteam service, Deep Lab, Sistemi e automazione, Stone security, Atsec information, E-trace, Imq, Telsy (società di cybersecurity della galassia Tim), Mpg, Sababa Security, Innovery, InnovaPuglia (in-house dell’innovazione della Regione), Ancharia, Mon5 e Soter. I ticket si collocano tra 175mila e 200mila euro massimi, salvo i 33mila dati ad Atsec, i 33mila per Imq e i 74mila per Stone.
Fonte : Wired