Proposta di Programma di Cybersicurezza per l’Italia nella legislatura 2018-23 (v.1.0)

Sulla scia recenti interessamenti di principali media e forze politiche italiane alla Trustless Computing, seguiti alla ripubblicazione del 16 agosto di un mio commento sulla cybersicurezza sul Blog di Grillo in cui sostenevo la necessità di “promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che sia davvero radicale e all’avanguardia mondiale“, ci siamo sentiti incoraggiati come Open Media Cluster a redigere una proposta di programma come contributo al paese:

PROPOSTA DI PROGRAMMA DI CYBERSICUREZZA PER L’ITALIA 2018-2023 (V.1.0)

Innanzitutto, la seguente frase o paragrafo andrebbe inserito come 1 dei primi 3-5 punti di programma elettorale di partito o lista concorrente alle elezioni nazionale:

L’Italia si doterà di capacità e assetto di cybersicurezza d’avanguardia internazionale, per i sistemi più critici del paese, in ambito civile e militare, pubblico e privato, anche di largo utilizzo. Vi è infatti un potenziale di riduzione i costi e rischi per aziende ed istituzioni, e di sviluppo economico, occupazionale e civile, che può essere realizzato andando a perseguire con decisione il superamento sostanziale dello stato dell’arte di cybersicurezza in alcuni ambiti strategici, quali comunicazioni, sistemi cyberfisici e intelligenza artificale.

IL CONTESTO

MINACCE ED OPPORTUNITÀ PER LA DEMOCRAZIA.
La cybersicurezza delle istituzioni, forze politiche e sociali, cittadini ed imprese sono un enorme e crescente costo e minaccia per il paese, la sua tenuta democratica, e il futuro dell’economia e dell’occupazione. Da rivelazioni degli ultimi anni di Snowden e Wikileaks abbiamo appreso della capacità di stati esteri di monitorare costantemente non solo i cittadini ma i nostri eletti, capi di stato con una risultante effettiva perdita di sovranità dello stato. E dalle recenti elezioni presidenziali in USA e Francia abbiamo appreso dell’enorme influenza che poteri interni ed esterni possono aver di travisare e determinare i risultati delle elezioni. La grave vulnerabilità di ospedali, impianti nucleari e reti elettriche potrebbe portare ad attacchi di criminali, terroristici o di stati ostili con conseguenze molto gravi.

COSTI ED OPPORTUNITÀ PER L’ECONOMIA E L’OCCUPAZIONE.
Il mercato mondiale della cybersecurity è cresciuto di 30 volte in 10 anni, da $3,5 mld a $120 mld, ed arriverà a $220 mld nel 2020. Ciononostante, il costo del cybercrime continua a crescere invece di scendere: sarà quest’anno di $450 mld, ed è stimato da Juniper Research in $8.000 mld da oggi al 2022. Ne deriva che vi è un’enorme domanda di livelli di sicurezza più elevati ad oggi non soddisfatti. Dopo Snowden, Forrester Research stimò in $180 mld il per livelli di privacy che fornitori USA non potevano legalmente e plausibilmente offrire, ma nessuna nazione si è erta alla sfida andando fino in fondo.

CYBERSICUREZZA ED INTELLIGENZA ARTIFICIALE.
L’Intelligenza Artificiale promette enormi possibilità di ridurre malattie e povertà, di aumentare il tempo libero per la famiglia, cultura e svago, di eliminare lavori odiosi, e tanto altro. Ma comporta anche enormi problematiche sociali di breve e lungo termine legate alla loro sicurezza – con rischi largamente riconosciuti che vanno da migliaia di mezzi autonomi fatalmente hackerati fino a future IA avanzate che possano sfuggire al controllo umano –  e legate alla disoccupazione e la redistribuzione della ricchezza da essi generata – tanto che un largo consenso per strutturali politiche di riqualificazione professionale e reddito di cittadinanza si sta consolidando nei principali partiti occidentali, e persino in personaggi come Mark Zuckerberg a Elon Musk. Il veloce avanzare della Intelligenza Artificiale (IA) costituisce attualmente per l’Italia principalmente un enorme rischio di ulteriore marginalizzazione economica e enorme rischio di disoccupazione.  Il mercato dell’Intelligenza Artificiale (IA) è in crescita da soli 643 milioni di $ nel 2016 a $38 mld nel 2025, con una crescita attuale del 62% l’anno, ma che potrebbe esplodere, oppure no, sulla base esclusivamente di avanzamenti nei suoi livelli di cybersicurezza. Infatti, la mancanza di adeguati livelli di sicurezza IA non è solo un enorme potenziale costo sociale, per gravi danni a persone, ma è cruciale per la prevedibile tempistica – e sostenibilità – della effettiva diffusione commerciale di gran parte delle emergenti applicazioni di IA, che per lo più sono privacy-critical (sanità, istituzioni, sicurezza) safety-critical (veicoli autonomi, droni, robot) o integrity-critical (finanza).

IL PROGRAMMA IN SINTESI

Per massimizzare le opportunità e minimizzare i rischi l’Italia dovrebbe:

  1. Stanziare almeno 3 miliardi di euro l’anno in aggiunto alle dotazioni attuali, con copertura da riduzione spesa in armamenti relativamente obsoleti, e riduzione di sovvenzioni settori economici in declino strutturale e/o soggetti ad inevitabile delocalizzazione estera.

    1. Riconoscere le principali cause strutturali della grave vulnerabilità dell’informatica oggi disponibile per sistemi critici.Tali cause sono fondamentalmente due: (1) la non trasparenza e eccessiva complessità dei sistemi, quasi sempre largamente oltre ogni possibile adeguata verifica indipendente; (2) l’enorme investimento di potenti stati da decenni nella compromissione – con ogni mezzo, “alla nascita” e fin dalla fase di design, standardizzazione e fabbricazione – di ogni sistema informatico per assicurarsi che esso sia compromettibile quando necessario per prevenire o perseguire gravi crimini, come ad esempio il trasferimento di larghe somme di petroldollari ad efferati terroristi.

    2. Definire ed adottare nuovi standard e certificazione per sistemi IT in ambiti critici, anche di largo utilizzo dei cittadini, che siano radicalmente più trasparenti, olistici ed affidabili di quelli attualmente vigenti in ambito internazionale, quali Common Criteria, Sogis,FIPS, NIST, ETSI; quando possibile in coordinamento con tali standard, relativi enti, e con altri paesi EU. Essi dovranno coprire ogni elemento critico della filiera software, hardware e di processi, poiché il livello di sicurezza è derivato dall’anello più debole. Comunicazioni sensibili dello stato – incluse in ambito di partecipazione deliberativa dei cittadini, comunicazioni fra eletti e cariche dello stato, vertici della difesa e intelligence, alcuni ambiti della sanità – potranno essere svolte per via telematica oltre una certa data solo se in ottemperanza di tali nuovi standards, gestiti da una aggiornata ISCOM del MISE, o altra idonea struttura. Un percorso chiaro e veloce di armonizzazione con primari standard vigenti (in EU) sarà perseguito con decisione importante, ma non indispensabile se ciò comporta sostanziale riduzione della sicurezza e tempistiche di certificazione.

    3. Adottare un approccio multi-settoriale ed olistico allo sviluppo di capacità d’innovazione, che crei sinergia fra i settori della difesa, sicurezza pubblica, sviluppo economico e partecipazione democratica.

    4. Declinare ed attuare un programma coordinato di incentivi e regolamentazioni. Occorre declinare un programma coordinato di incentivi – alla ricerca, ad investimenti in innovazione, al venture capital, a startup – e di nuove regolamentazioni – come leggi, standard, certificazioni – che facciano leva sui fondi e le notevolissime competenze di ricerca (specie nel Lazio) per stimolare un ecosistema pubblico-privato allineato con gli obiettivi in ambito di difesa, sicurezza pubblica, sviluppo economico e partecipazione democratica.

    5. Promuovere un cluster pubblico-privato dedicato geograficamente concentrato. La Regione Lazio è la 1° regione in Europa per soggetti coordinatori di progetti di ricerca europei sulla sicurezza. Proprio tali forti competenze in ricerca di base, spesso non fruibili da fornitori di medio livello presenti sul territorio, apportano invece un valore aggiunto unico per fornitori IT miranti nel medio termine all’avanguardia mondiale. La regione è anche sede di alcune grandi imprese di difesa, telespazio e IT che in qualche caso mantengono sul territorio eccellenze. Vi è inoltre una vasta iniziativa di soggetti privati a co-investire in un tale cluster pubblico privato, il Trustless Computing Cluster e Campus.

    6. Priorità d’investimento. Terminologia: In termini tecnici, la sicurezza informatica in: Integrità (furto identità, falsificazione di registri, etc), Confidenzialità (violazione privacy e anonimato, doxing) e Disponibilità (ransomware, DDoS, kill switch, etc).

      1. Protezione della Disponibilità dei sistemi critici. L’oscurità e sempre maggiore complessità della quasi totalità dei sistemi ed infrastrutture critiche – e della quasi totalità sistemi di cybersicurezza preposti alla loro difesa – li rende altamente vulnerabili ad attacchi che ne prevengono la continuativa disponibilità per ore, giorni o settimane. Eccetto per scenari militari, è per fortuna un problema che ancora non si è manifestato in larga scala con costi e fatalità rilevanti, nonostante si presti moltissimo a notizie di stampa. Ma è un rischio che è destinato ad aumentare. Fortunatamente, a differenza di compromissioni di confidenzialità e integrità il cui obiettivo è proprio rimanere non scoperte per anni o per sempre, compromissioni della disponibilità sono intrinsecamente pubbliche poiché un tale sistema smette di funzionare. Ciò permette di comparare soluzioni sulla base di risultati ottenuti in ambiti e contesti simili a quelli di applicazione.

        • Sicurezza degli apparecchi o sicurezza della rete? A leggere le notizie di stampa si potrebbe pensare che i principali costi di cybersicurezza siano dovuti ad attacchi alla disponibilità online di certi siti, ad isolati incidenti di spionaggio a personaggi noti, o pubblicazione di credenziali riservate di milioni di persone, o ransomware, ovvero problemi di disponibilità dei dati o sistemi. Quasi sempre le valutazioni di aziende vittime di enormi violazioni di dati degli utenti tornano a valore precedente. E quindi spesso media e governi danno priorità a sistemi di protezione a livello di rete piuttosto che a livello di apparecchio finale client o server (“endpoint”). Ma studi recenti evidenziano come una larga maggioranza dei costi del cybercrime vengono da problematiche legate all’endpoint security.

        • Sistemi di protezione!? Oltre il 30% delle vulnerabilità di sistemi di alta sicurezza derivano da prodotti installati o connessi a tali sistemi fine di proteggerli; quindi c’è bisogno molto più di servizi IT più sicuri ab origine che non di prodotti di cybersecurity da installare sopra a sistemi.

        • Privacy o Sicurezza!? Data l’origine delle vulnerabilità è ineludibile la risoluzione di una trasparente riconciliazione delle necessità di sistemi ultra-sicuri e accesso legittimo da parte delle forze di sicurezza, ancorché la sua fattibilità sia controversa fra esperti e enti governativi.

        • Protezione dell’Integrità e Confidenzialità dei dati e sistemi critici. Nonostante l’urgenza della risoluzione delle gravi problematiche, costi e rischi dovuti alle carenze del settore privato, pubblico e di sicurezza nazionale, non vi sono i prodotti o servizi end-to-end disponibili in Italia, ne nel mondo, che forniscano all’ente utilizzatore alcun modo di quantificare indipendentemente ed in ogni componente critica la loro resistenza ad attacchi in larga scala e continuativi, per lo meno in termini di integrità e confidenzialità. Pertanto è cruciale un piano all’avanguardia mondiale di sviluppo della capacità tecniche, di governance e produttive di medio termine. Va implementato niente poco di meno che un Piano Marshall della Cybersicurezza Italiana/Europea, con la creazione di un intero ecosistema nazionale e/o Europeo di produzione, monitoraggio e certificazione – di ogni singola componente tecnica e procedurale criticamente coinvolta nel ciclo vita – che possa portare ad una vasta e sostenibile capacità produttiva nel tempo di sistemi radicalmente più sicuri di quelli attuali per un largo numero di ambiti critici.

Incoraggiamo chi ritenesse di poter contribuire a contattarci  (info@openmediacluster.com) per partecipare con suggerimenti online o ad incontro, in data da definire, per finalizzare una versione 2.0 prima del 16 Settembre, in coordinamento Comitato Scientifico Italiano del Trustless Computing Cluster, e con idonee associazioni, aziende ed istituzioni.

Rufo Guerreschi