Agenzia per la cybersicurezza nazionale

Di cosa parliamo quando parliamo di cybersicurezza

Spieghiamo meglio cosa fa l’Agenzia per la cybersicurezza nazionale

Alcuni pensano che la cybersicurezza sia un fatto di hacker, nerd, ingegneri del software e basta, ma non è così.

L’elemento tecnico e ingegneristico nella cybersecurity è cruciale, ma la cybersecurity è tecnologia, normazione, regolazione, rapporti istituzionali, cooperazione internazionale, industria, geopolitica e diplomazia.

La cybersecurity è tecnologia perché le tecniche di attacco e difesa di reti, sistemi e computer evolvono costantemente. Spesso, la stessa tecnologia, prendiamo l’IA, può essere usata per creare attacchi più devastanti, ma può essere usata per difese più efficaci. In ogni processo di sviluppo tecnologico sono coinvolti matematici, ingegneri, tecnici, giuristi, imprenditori, venditori, formatori, legislatori eccetera.

La cybersecurity è una questione normativa perché, al pari di ogni risultato dell’interazione umana con l’ambiente, naturale o artificiale, va sottomessa a regole, anche quando questo appare difficile, oneroso e impegnativo in termine di tempo e di risorse. Basti pensare allo sforzo normativo europeo e internazionale in tema di certificazione e qualificazione, la risposta al crimine informatico, le linee guida per lo sviluppo sicuro dell’Intelligenza artificiale.

La cybersecurity è fondata sulle relazioni internazionali. Ovvio, perché quando parliamo di cyber parliamo di una superficie digitale da proteggere che non conosce virtualmente confini. Gli effetti di un attacco o di una risposta a un attacco possono andare oltre il target ed esondare dalla zona geografica in cui inizialmente si manifestano. Quindi per fermarli o mitigarli occorre la cooperazione di diverse realtà politiche, istituzionali ed economiche garantendo la resilienza dell’ecosistema cibernetico impattato.

La cybersecurity è geopolitica perché la tecnologia che ne è alla base non può fare a meno di materie prime, componentistica e competenze distribuite ai quattro angoli del pianeta. La competizione per l’accesso ai chip di nuova generazione, lo sviluppo di HPC e Quantum Computing hanno innescato una competizione tra gli Stati. Il motivo? I nuovi computer quantistici, una volta disponibili, saranno in grado di rompere i sistemi crittografici alla base della sicurezza stessa delle tecnologie di comunicazione. Solo per fare un esempio.

La cybersecurity è ricerca, industria e innovazione di processi, prodotti e servizi. Senza l’industria che costruisce tecnologie sicure in un mercato competitivo, senza i vendor, i system integrator, non c’è tecnologia usabile, non ci sono prodotti di consumo a prezzi ragionevoli, non c’è pubblicità, non si arriva all’utente finale. Viceversa, se l’industria non si protegge, se non protegge dati, server, proprietà intellettuale e brevetti, viene meno la sua capacità di competere in un mercato globale.

La cybersecurity è formazione all’uso critico delle tecnologie, perché non può esserci un uso consapevole dei dispositivi tecnologici se non se ne comprendono rischi e opportunità.

Un vecchio modo di pensare ritiene che siano solo gli hacker, etici oppure no, che si occupano di cybersecurity. “Ah, ma c’è il Red Team che, attaccando, testa le difese!”. Oppure: “il nostro blue team si occupa di proteggere i sistemi, facciamo le esercitazioni”. Da soli non bastano più. In real case scenario siamo andati oltre perfino al purple team. Oggi il contrasto agli incidenti e alle minacce informatiche lo fanno i “golden team”, squadre dove ci sono giuristi, specialisti della privacy, linguisti, diplomatici, tecnologici, psicologi, sociologici e hacker.

Dovrebbe essere ovvio, se si pensa che “i dilettanti hackerano i sistemi, i professionisti hackerano le persone” come diceva Bruce Schneier.

Le agenzie nazionali di cybersecurity sono nate quasi spesso in seguito a scelte monocratiche, cioè non per iniziativa parlamentare ma governativa, tuttavia queste agenzie, come ad esempio quella italiana, l’Agenzia per la cybersicurezza nazionale, ha compiti e funzioni attribuitigli dal Parlamento.

E tuttavia, un’agenzia governativa come ACN fa molte cose ma non fa tutto.

CHE COSA FA L’AGENZIA PER LA CYBERSICUREZZA NAZIONALE

ACN non fa contrasto al cybercrime, che è compito della Polizia di Stato con le sue articolazioni specializzate, e lo fanno le altre forze di polizia; ACN non fa intelligence, della raccolta di informazioni si occupano AISE e AISI, coordinati dal DIS; ACN non si occupa della protezione di asset militari, che è compito della Difesa.

L’ACN si occupa di resilienza e protezione cibernetica, in particolare delle infrastrutture critiche nazionali. Protegge i soggetti sotto il Perimetro nazionale di sicurezza cibernetica secondo le modalità previste dalla legge e poi i soggetti NIS, le Telco, e i soggetti costituzionali o di rilevanza costituzionale.

ACN svolge attività operativa di Protezione e risposta agli incidenti e alle crisi cibernetiche. Negli ultimi due anni, ha fatto letteralmente ripartire decine di strutture sanitarie bloccate da ransomware permettendo a radiologia, oncologia, Cup e pronto soccorso di continuare a funzionare.
ACN svolge un’intensa attività di Policy e Regulation. Ad esempio, ACN ha redatto il Regolamento Cloud per mettere al sicuro i dati ordinari, critici e strategici del nostro paese, avviato i laboratori di prova e scritto le linee guida sulla crittografia e per la gestione sicura delle password.
ACN si occupa di sviluppo tecnologico, ad esempio, finanziando le startup del Cyber Innovation Network per favorire lo sviluppo di progetti e prodotti industriali nei campi della robotica, IA, Quantum computing, crittografia, data science, data mining, cybersecurity. Oppure attraendo finanziamenti europei come nel caso dell’AI Factory. Tutto questo nella cornice dell’autonomia strategia nazionale.
ACN si occupa di formazione e ricerca, ad esempio, attraverso l’Agenda di Ricerca e Innovazione, finanziando le borse di studio di dottorato, sottoscrivendo accordi con ANVUR, Mur e Ministero dell’Istruzione e del merito. Tutto questo per favorire l’inserimento nei programmi scolastici e universitari dello studio delle materie Stem e collegate alla cybersicurezza, le relazioni tra i ricercatori, lo sviluppo di una base di competenze e professionalità di carattere nazionale. È noto inoltre il contributo che ACN ha dato dalle sue origini alle iniziative del Laboratorio Nazionale di cybersecurity del CINI per “allevare” i migliori talenti italiani del settore attraverso iniziative come la Cyberchallenge.
ACN si occupa di finanziare la progettazione e realizzazione di una Pubblica Amministrazione sempre più pronta a reagire alla minaccia cibernetica e ha erogato fondi PNRR per innalzare la postura delle PA come Autorità portuali, società in house regionali e agenzie di protezione ambientale (€100 mln), ma ha anche scritto le linee guida e finanziato la realizzazione di CSIRT regionali.
ACN ha realizzato con Confindustria e Generali il Cyber Index PMI strumento di autovalutazione del rischio cibernetico per le PMI e con il mondo delle imprese ha sviluppato un RoadShow territoriale di 8 tappe per parlare di anticipazione del rischio cibernetico da parte delle PMI.
L’Italia, attraverso l’ACN, ha promosso il G7 cybersecurity Working Group durante la presidenza italiana del G7. Sulla piattaforma proposta dall’Italia sono convenuti gli altri sei grandi, l’Ue e l’Enisa che hanno individuato importanti convergenze su tre temi: la protezione internazionale delle infrastrutture critiche, la lotta senza quartiere al Ransomware, la necessità di guidare lo sviluppo sicuro dell’Intelligenza Artificiale. In questa azione di proiezione internazionale ACN coopera con i 61 paesi che partecipano alla Counter Ransomware Initiative, e i 21 paesi che hanno aderito con ACN alla dichiarazione di Bletchley park sullo sviluppo sicuro dell’Intelligenza Artificiale.

Il lavoro dell’ACN, svolto da personale altamente qualificato (il 75% è laureato e il 25% ha un master o un dottorato), è fatto anche dai bravissimi tecnici diplomati (tecnici del software, tecnici dell’hardware, penetration tester, tecnici di laboratorio), assunti tramite concorso, nel 2024 (65 unità), mentre stanno prendendo servizio i vincitori di un altro concorso pubblico per 45 giuristi specializzati in cybersecurity, visto l’incremento delle attività di Policy & Regulation che la legge richiede all’Agenzia, dopo l’entrata a regime della NIS2.
Nel 2025 ci saranno nuovi concorsi.

No, la cybersecurity non è solo un fatto di nerd.

(arturo di corinto)

In vigore la NIS2 dal 16 ottobre

Video istituzionale NIS2 – ACN

Dal 16 ottobre 2024 è entrata in vigore la nuova normativa italiana sulla Network and Information Security (NIS).
L’Agenzia per la cybersicurezza nazionale è l’Autorità competente per l’applicazione della NIS e punto di contatto unico, delineando un percorso graduale e sostenibile per consentire alle organizzazioni pubbliche e private di adempiere ai nuovi obblighi di legge.

Aumentano i campi di applicazione della normativa. I settori interessati diventano 18, di cui 11 altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti, distinguendoli tra essenziali e importanti in relazione al livello di criticità delle attività svolte e del settore in cui operano. Quindi, maggiori obblighi per le misure di sicurezza e per la notifica degli incidenti e più potere di supervisione all’Agenzia e agli organi preposti alla risposta agli incidenti e alla gestione della crisi.

Sono previsti anche nuovi strumenti per la sicurezza informatica, come la divulgazione coordinata delle vulnerabilità, da realizzarsi attraverso la cooperazione e la condivisione delle informazioni a livello nazionale ed europeo.

Il percorso di attuazione L’adeguamento alla normativa NIS prevede un percorso sostenibile con una graduale implementazione degli obblighi.

Il primo passo, per i soggetti interessati, è quello di registrarsi al portale di ACN. C’è tempo dal 1° dicembre 2024 fino al 28 febbraio 2025 per le medie e grandi imprese e, in alcuni casi, anche per le piccole e le microimprese. Per agevolare il recepimento degli obblighi di notifica di incidente e delle misure di sicurezza, gli stessi verranno definiti in maniera progressiva e a valle delle consultazioni nell’ambito dei tavoli settoriali in seguito alle determine del Direttore Generale di ACN che saranno adottate entro il primo quadrimestre del 2025.

È prevista, inoltre, una finestra temporale di implementazione differenziata: 9 mesi per le notifiche e 18 mesi per le misure di sicurezza, decorrenti dalla data di consolidamento dell’elenco dei soggetti NIS (fine marzo 2025). Da aprile 2025 partirà quindi un percorso condiviso di rafforzamento della sicurezza informatica nazionale ed europea.

ITU CYBER SECURITY INDEX 2024

L’Italia è un Paese modello per la sua postura nella cybersicurezza. A dirlo è l’ITU, l’International Telecommunication Union, agenzia delle Nazioni Unite specializzata in ICT, che promuove a pieni voti (100/100) il nostro Paese nel report Global Cybersecurity Index 2024. Con questa pubblicazione, giunta alla quinta edizione, l’agenzia ONU valuta il livello di maturità della cybersicurezza di oltre 190 Paesi, prendendo come parametro 5 aspetti: legale, tecnico, organizzativo, sviluppo delle capacità e cooperazione. L’ITU suddivide i Paesi in gruppi: dai più virtuosi (Tier 1) a quelli in via di costruzione (Tier 5). Il primo gruppo, a cui si accede con un voto minimo di 95/100, è composto dai 46 Paesi che hanno dimostrato un forte impegno nel settore, coordinando le attività del governo con quelle dei privati e dimostrando solidità in tutti e cinque i parametri.

L’Italia è stata quindi promossa per la normativa nazionale sulla cybersicurezza e sul cybercrime, le sue capacità tecniche come la presenza di un CSIRT nazionale, l’adozione di una strategia nazionale e la presenza di un’agenzia governativa specializzata (l’ACN appunto), gli incentivi per lo sviluppo, il miglioramento delle competenze e della consapevolezza. E, infine, per la collaborazione a livello internazionale e con i privati.

Per la rilevazione, ogni Paese ha compilato un questionario tramite il punto di contatto, che per l’Italia è l’Agenzia per la cybersicurezza nazionale. I dati così raccolti sono stati arricchiti e verificati da fonti indipendenti. Il report 2024 è stato realizzato analizzando 30mila url e più di mille pdf, fa sapere l’ITU.

Nonostante il miglioramento globale nella postura di cybersicurezza, l’ITU invita a non abbassare la guardia. Tra le minacce persistenti segnala: i ransomware, gli attacchi informatici – che toccano industrie chiave causando anche interruzioni di servizi – e le violazioni della privacy che riguardano individui e organizzazioni.

La nazionale italiana degli hacker

È stata presentata oggi, in conferenza stampa, la nazionale italiana dei cyberdefender. TeamItaly, questo il nome, parteciperà alla European Cybersecurity Challenge di Torino dal 7 all’ 11 ottobre presso le Grandi Officine Riparazioni.

L’evento, organizzato da Acn e dal Laboratorio nazionale di cybersecurity del Cini vedrà la partecipazione di 38 squadre e due delegazioni ospiti in qualità di osservatori. La ECSC del 2024 è la settima competizione europea che vede competere il Team Italy nelle gare di attacco e difesa e “jeopardy” cioè sfide in parallelo in cui le singole squadre affrontano varie problematiche di sicurezza dalla crittografia alla web Security.

Alla presentazione hanno partecipato il Magnifico Rettore delL’IMT di Lucca, il Prof. Rocco De Nicola, che ha ospitato la conferenza nella sede universitaria; il neo direttore del Laboratorio nazionale di cybersecurity del CINI, professore Alessandro Armando; il vice caposervizio del Servizio Programmi e progetti tecnologici e di ricerca dell’ACN, dottoressa Liviana Lotti; gli allenatori della squadra Mario Polino ed Emilio Coppa.

La magistratura e i social network

La magistratura e i social network

Palazzo Bachelet – piazza Indipendenza 6 – Sala conferenze

Giovedì 16 maggio 2024

Prima sessione – La comunicazione social

Ore 15.30 Saluti istituzionali:

Fabio PINELLI
Vicepresidente del CSM

Marcello BASILICO
Presidente della Sesta commissione CSM

Ore 16.00 Relazione Introduttiva

Luigi FERRAJOLI
già magistrato, Professore emerito filosofia del diritto – Università Roma 3

Ore 16.45 Coffee break

Ore 17.00 Dialogo a due:

Paolo BENANTI
Presidente della Commissione sull’intelligenza artificiale – presidenza CdM

Membro del Comitato ONU sull’intelligenza artificiale

Adriano FABRIS Professore di filosofia morale – Università di Pisa

Direttore del Master in comunicazione pubblica e politica

Coordina Antonio PREZIOSI Direttore TG2

Ore 18.00 Dibattito

Venerdì 17 maggio 2024

Seconda Sessione – Quali limiti alla comunicazione dei magistrati

Ore 9.00-11.00 Presiede Roberto ROMBOLI, Presidente Ufficio studi e documentazione e Vicepresidente della Sesta Commissione CSM

relazioni di

Massimo LUCIANI
Professore emerito di istituzioni diritto pubblico – Università La Sapienza Roma

Giuseppe CAMPANELLI
Professore ordinario di diritto costituzionale – Università di Pisa

Margherita CASSANO
Prima Presidente della Corte di Cassazione

Luigi SALVATO
Procuratore generale presso la Corte di Cassazione

Luigi MARUOTTI
Presidente del Consiglio di Stato

Ore 11,30

interventi programmati Gianluca GRASSO Consigliere della Corte di Cassazione

Michele PAPA Presidente della Nona commissione CSM

a seguire, dibattito

Ore 13.00 Light lunch

Venerdì 17 maggio 2024

Terza Sessione – I magistrati e i social

Ore 14,30 Tavola rotonda

Coordina Arturo DI CORINTO
Giornalista

Nunzia CIARDI
Vicedirettrice generale dell’Agenzia per la cybersecurity nazionale

Andrea MASCHERIN
Avvocato, già Presidente del Consiglio Nazionale Forense

Giuseppe SANTALUCIA
Consigliere Corte di Cassazione – Presidente ANM

Patrizia TULLINI
Professoressa ordinaria di diritto del lavoro – Università di Bologna

Presidenza e relazione finale: Giovanni Maria FLICK già Presidente della Corte costituzionale e Ministro della giustizia

Gruppo di lavoro G7 sulla cybersicurezza

Agenzie e centri per la cybersicurezza insieme per uno spazio cyber più sicuro.

16 Maggio 2024, Ministero degli Affari Esteri e dalla Cooperazione Internazionale, Roma, Italia

Expo Cyber Security Forum

Ruolo e competenze dell’Agenzia per la cybersicurezza

Ruolo e competenze dell’Agenzia per la cybersicurezza nazionale – 14 maggio, Pescara

Arturo Di Corinto

Agenzia per la Cybersicurezza Nazionale

Il tema: l’equazione della cybersecurity non è fatta solo da cybercrime. La protezione delle infrastrutture critiche, la sicurezza nazionale, l’affidabilità e stabilità del sistema finanziario, l’integrità e la sicurezza dei processi democratici sono solo alcune delle questione che rendono strategico l’argomento.

Punto stampa Cybertech2023

Cookie	Durata	Descrizione
connect.sid	1 hour	This cookie is used for authentication and for secure log-in. It registers the log-in information.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
nyt-a	1 year	This cookie is set by the provider New York Times. This cookie is used for saving the user preferences. It is used in context with video and audio content.
nyt-gdpr	6 hours	No description available.
nyt-purr	1 year	No description available.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_5VXPW099ZB	2 years	This cookie is installed by Google Analytics.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.