Avevamo già analizzato in un precedente articolo il ripensamento della sicurezza nazionale in un'ottica di perimetro cibernetico. Nel concreto, come si potrebbe gestire la repentina evoluzione degli scenari?

Nel contesto geopolitico la sovranità tecnologica ha da sempre giocato un ruolo fondamentale. Se guardiamo al recente passato, ci viene in mente il caso dei Computer Robotron, prodotti dalla VEB Kombinat Robotron di Dresda nell'allora Repubblica Democratica Tedesca (DDR), tra il 1969 e il 1989; pur trattandosi nella maggior parte dei casi di cloni dei computer IBM o Digital Equipment Corporation, questo è un esempio lampante di rincorsa all'autonomia tecnologica, che costrinse il regime ad un ardito tentativo nel mondo digitale.

La diffusione della tecnologia informatica e di internet ha complicato ulteriormente le cose; grazie ad una maggior capacità di calcolo dei dispositivi e della connettività, la generazione di dati e la conseguente produzione di informazioni cresce a ritmi frenetici. Difficilmente si riescono a prevedere le conseguenze future e inevitabilmente diminuisce la possibilità di prevenire i rischi connessi alla sicurezza delle informazioni. Gli attori coinvolti a garantire la sicurezza di una nazione devono pertanto potenziare la loro capacità di rispondere agli incidenti informatici, incrementando le capacità di analisi per mezzo di strutture dedicate e personale opportunamente addestrato ad individuare i punti deboli delle infrastrutture critiche.

L'adozione del D.L. 14 giugno 2021, n. 82 ha ridefinito l'architettura nazionale cyber e istituito l'Agenzia per la Cybersicurezza Nazionale (ACN) a tutela degli interessi nazionali nel campo della cybersicurezza. (acn.gov.it)

In Italia l'Agenzia per la Cybersicurezza Nazionale è tra i principali attori istituzionali a cui è assegnato il compito di tutelare gli interessi nazionali nello spazio cibernetico.
Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione è di competenza della suddetta agenzia, che subentra all’Agenzia per l’Italia Digitale (AgID).  Con il Decreto direttoriale prot. N. 29 del 02/01/2023 è stato istituito il Catalogo dei servizi Cloud per la Pubblica Amministrazione, qualificati introducendo un sistema di standard. Riportiamo di seguito parte del contenuto del decreto, in quanto leggerlo aiuta a comprenderne gli obiettivi.  

L'articolo 2  del Decreto direttoriale prot. N. 29 regolamenta tra gli altri anche il regime transitorio tra le due agenzie sopra citate:

1. A decorrere dal 19 gennaio 2023, le infrastrutture dei Cloud Service Provider, di seguito denominato «CSP» e i servizi cloud in possesso di qualifica valida, rilasciata entro il 18 gennaio 2023 dall’Agenzia per l’Italia digitale ai sensi delle circolari AgID n. 2 e n. 3 del 9 aprile 2018, si intendono qualificati secondo il seguente modello che fa riferimento alla determina dell’ACN n. 307 del 18 gennaio 2022:
   a) le infrastrutture dei CSP attualmente qualificati come tipo A, B oppure C ai sensi della circolare AgID n. 2 del 9 aprile 2018, sono qualificate come Infrastrutture dei servizi cloud di livello 1 (“QI1”);
   b) i Servizi attualmente qualificati come IaaS ai sensi della circolare AgID n. 2 del 9 aprile 2018, sono qualificati come “Servizio Cloud” di livello 1 (“QC1”) e tipologia di servizio “IaaS”;
   c) i Servizi attualmente qualificati come PaaS ai sensi della circolare AgID n. 2 del 9 aprile 2018, sono qualificati come “Servizio Cloud” di livello 1 (“QC1”) e tipologia di servizio “PaaS”;
   d) i Servizi attualmente qualificati come SaaS ai sensi della circolare AgID n. 3 del 9 aprile 2018, sono qualificati come “Servizio Cloud” di livello 1 (“QC1”) e tipologia di servizio “SaaS”.

2. Le qualificazioni QI1 e QC1, concesse secondo il regime transitorio di cui al comma 1, consentono, in deroga alle previsioni della determina n. 307 del 18 gennaio 2022 dell’ACN, di trattare anche i dati «critici» e «strategici» della pubblica amministrazione fino alla data del 30 aprile 2023.

Ai commi 8, 9 e 10 dell'articolo 2, si leggono le procedure di verifica:

8. Successivamente al rilascio delle qualifiche ai sensi del presente articolo, potranno essere effettuate verifiche da parte dell’ACN per accertare il possesso e il mantenimento dei requisiti di cui all’allegato 1 della determina n. 307 del 18 gennaio 2022, in relazione alla tipologia e al livello di qualificazione.

9. Nell’ambito di tali verifiche, l’ACN può:
a) formulare quesiti e richiedere informazioni;
b) richiedere la produzione di documentazione, ulteriori integrazioni e chiarimenti;
c) svolgere accertamenti di carattere tecnico, anche mediante accesso all’infrastruttura fisica e logica del servizio cloud;
d) audire il soggetto richiedente.

10. Laddove, successivamente alle verifiche effettuate ai sensi del comma 8, dovessero emergere profili relativi al mancato rispetto dei requisiti prescritti, anche a seguito degli eventuali supplementi istruttori condotti con i soggetti interessati, l’ACN può diffidare il fornitore affinché lo stesso provveda al rispetto degli stessi, fino ad arrivare alla sospensione o alla revoca della qualifica posseduta.

Per comprendere le valutazioni tecniche usate per determinare i livelli di qualifica bisogna osservare la determina ACN n. 307 del 18 gennaio 2022 con il relativo allegato.

La difesa del perimetro cibernetico avviene quindi anche attraverso un processo di qualificazione delle infrastrutture Cloud nazionali, innalzando i livelli minimi di sicurezza e adeguandoli agli standard internazionali.

Curioso è stato scoprire durante la ricerca effettuata per la stesura di questo scritto, una serie di reportage pubblicati dall'emittente ARTE dal titolo: "La Svizzera sotto copertura".

Per onestà intellettuale si specifica di non aver fatto verifiche sull'attendibilità di quanto viene riportato in queste inchieste televisive, tuttavia alcuni temi trattati, in particolare nel primo episodio intitolato "Con la testa fra le nuvole", ci sembravano pieni di spunti su cui riflettere.

Qualora il lettore si senta di approfondire le origini dell'emittente potrebbe iniziare dalle FAQ pubblicate sul sito internet della proprietà.

L'utilizzo di tecnologie estere, per quanto non del tutto errato a priori, necessita di controlli al fine di garantire la sicurezza della collettività. In mancanza di adeguati accordi internazionali, i confini giocano ancora un ruolo di cruciale importanza, anche se si tratta di tecnologie Cloud: dove si trova fisicamente il datacenter con i server del servizio SaaS?

La sfida che ci riserverà il futuro sarà verosimilmente quella di mantenere un giusto equilibrio tra le varie componenti che concorrono al raggiungimento degli obiettivi descritti nell'allegato alla determina ACN n.307. Senza togliere il focus da un'altra importante questione: l'esecuzione. Mettere in pratica la teoria potrebbe non essere così semplice.