di Leopoldo Papi
BRUXELLES (Public Policy / Policy Europe) – Alessandro Menna è uno dei massimi esperti italiani in materia di cybersicurezza. Ingegnere elettronico, è stato vicepresidente di Leonardo per la Divisione Cyber, e successivamente managing director di Capgemini per la divisione dedicata ai servizi cloud e cyber. Dal 2020 è Chief security officer di Italgas. Lo abbiamo incontrato in occasione degli Ecso Days 2024, il summit annuale della Ecso (European cyber security organisation), che si è svolto a Bruxelles la scorsa settimana, e che riunisce i responsabili della cybersicurezza dei principali stakeholder istituzionali, industriali e accademici europei. Un’occasione, spiega, “per discutere insieme di tematiche che sono particolarmente rilevanti in questo momento storico”. La cybersicurezza è infatti ormai da tempo tema strategico ineludibile nella definzione delle politiche pubbliche, oltre che a livello nazionale, anche a livello comunitario. L’Europa, osserva Menna, entrando subito nel merito dell’argomento, “in termini di legislazione, di sviluppo delle direttive, della normativa per la regolamentazione dell’ambito della cybersecurity, è sicuramente molto avanti rispetto a tanti altri paesi a livello internazionale. È un dato di fatto però che l’industria IT, prima ancora che cyber, in Europa è diciamo meno sviluppata, in particolar modo rispetto agli Stati Uniti”.
Sulla componente tecnologica della cybersecurity, prosegue, “c’è un gap importante da colmare. Gran parte delle tecnologie, delle piattaforme vengono tipicamente dal l’hub statunitense, piuttosto che da Israele, che si è affermata nel corso degli ultimi vent’anni come uno dei principali esportatori e produttori di tecnologie di sicurezza informatica. Vi sono poi altri hub minori e l’Europa è ancora, se vogliamo, in una fase di crescita”.
Come è strutturato il quadro normativo ed europeo in materia di cybersicurezza?
“A livello europeo è stata molto importante, prima di tutto, la trasformazione dell’agenzia Enisa da agenzia temporanea ad agenzia permanente (con regolamento del 2019 con cui l’Enisa, già European network information security agency, è stata anche ribattezzata European union agency for cybersecurity, Ndr), con un mandato molto più ampio, molto più allargato e quindi ancora in fase di crescita, come organico e come disponibilità economica. Ma è stata anche molto importante la definizione di alcuni regolamenti e direttive. Abbiamo assistito al Cybersecurity Act (del 2019, Ndr), alla direttiva Network Information Security (del 2016, direttiva NIS, Ndr), e successivamente alla NIS2 (2023, Ndr). Più recentemente la Commissione europea ha anche promulgato la CER (Critical Entities Resilience), un’altra direttiva molto importante che integra, se vogliamo, la cybersicurezza con le problematiche di sicurezza fisica. Oggi abbiamo anche il CRA, (Cyber Resilience Act, approvato dal Consiglio il 10 ottobre scorso, Ndr), che invece interviene sulla sicurezza dei prodotti elettronici in cui c’è una componente software di intelligenza ‘on board’. Tutto, alla fine dei conti, per riuscire a sviluppare un framework normativo che vada ad aumentare il livello di accountability di chi produce la tecnologia, di chi la sviluppa, di chi la adotta e di chi la deve in qualche modo utilizzare e manutenere nel tempo. Poi però le cose vanno fatte. Sono quindi i vari Stati membri che recepiscono le direttive a livello nazionale, le calano sulla base della propria fattispecie e impongono regole e adempimenti su tutto il tessuto industriale, e tipicamente, su tutti coloro che poi sviluppano, integrano e gestiscono sistemi IT, peraltro sempre più intelligenti”.
Come si può essere certi che le tecnologie fornite da Paesi terzi sono sicure?
“La domanda è ovvia, la risposta è meno scontata. Diciamo che in questa direzione interviene puntualmente il Cyber Resilience Act, con tutta una serie di previsioni e linee guida che devono essere rispettate da parte del produttore della tecnologia, che garantiscono che lo sviluppo del software, del codice e del sistema cyberfisico nel suo complesso, sia avvenuto secondo determinate caratteristiche. Il CRA assegna anche responsabilità a chi poi quel software lo distribuisce, lo vende e lo rivende magari integrato in sistemi più ampi, e che a sua volta deve fare tutta una serie di verifiche. Responsabilizza poi anche, se vogliamo, la parte pubblica, che rispetto a questi sistemi deve garantire la conformità. Tra i dire e il fare c’è però sempre di mezzo il mare, perché poi di fatto mettere in piedi questi processi e strutture richiede tempo, investimenti, risorse umane. Le grandi aziende hanno, sotto questo profilo, tipicamente maggiori mezzi delle piccole e medie imprese, grazie a know-how e competenze interne. Noi ad esempio in Italgas abbiamo una capacità interna di sviluppo del software sicuro e di review secondo il framework del Secure Software Development Life Cycle, e quindi anche laddove integriamo tecnologie di terzi siamo, oltre che in grado di fornire tutte quante le specifiche e i requisiti operativi di sicurezza informatica, anche in grado di poterli verificare e testare prima che vadano in produzione, e comunque anche durante la loro vita”.
Le minacce cyber evolvono e mutano rapidamente nel tempo. Come si fa a stare al passo?
“Il settore della cybesicurezza è particolarmente complesso. Tipicamente si parla ‘cyber warfare’, che per sua definizione è asimmetrico: l’attaccante che vuole realizzare il suo obiettivo di penetrazione o di sfruttamento di un assetto informatico basta che lo faccia una volta, che vada a buon fine in un solo tentativo, per riuscire a ottenere il risultato voluto. Dall’altra parte invece la difesa di queste infrastrutture riguarda una superficie di attacco potenziale enorme. Le forze da impiegare per difendere un perimetro ampio a piacere sono quindi decisamente molto maggiori rispetto a quelle richieste ad un attaccante. Le vulnerabilità sono scoperte su base quotidiana e sono tipicamente non note fino a quando non si manifestano: si parla tipicamente di ‘zero day’ per le vulnerabilità più rischiose, perché non erano note fino al giorno prima. È fondamentale riuscire a gestire il rischio e le vulnerabilità in anticipo, prima che queste siano sfruttate, e in maniera proattiva, andando a modificare continuamente la propria postura di sicurezza. Tutto questo proprio per cercare di ridurre continuamente quella superficie di attacco esposta a un potenziale attore malintenzionato esterno. Sotto questo profilo è necessario poter cogliere non soltanto le informazioni sulle nuove vulnerabilità, ma anche sulle nuove tecniche di attacco e sugli obiettivi di maggior interesse da parte dei possibili agenti ostili. Bisogna quindi analizzarne anche il profilo: per questo è fondamentale disporre di informazioni di intelligence che ci dicano quali possono essere i rischi a cui si è maggiormente esposti”.
Qual è l’impatto dell’intelligenza artificiale sulla cybersicurezza?
“L’intelligenza artificiale acuisce e amplifica le problematiche di cui abbiamo appena parlato. Dal lato attacchi cibernetici, l’IA implica una maggiore sofisticazione e automazione degli attacchi, e la possibilità di fare attacchi che prima non si potevano fare, come deepfake, campagne di phishing molto customizzate e completamente realistiche, difficilissime da individuare e da riconoscere per un umano. In più la stessa sicurezza dell’IA può essere compromessa perchè l’IA elabora il proprio output sulla base di dati. L’intelligenza artificiale utilizzata contro quella base dati può inquinarla, polarizzarne l’elaborazione e dare degli esiti non desiderati, o comunque desiderati dall’attaccante, ma non corretti. È vero però anche il contrario: l’IA utilizzata per contrastare le minacce informatiche aumenta la capacità di automazione delle difese e la capacità di individuazione di nuove tecniche di attacco. Si amplifica però ulteriormente quello che potrebbe diventare un ‘cyber-divide’ tra quelle poche organizzazioni più grandi e in grado di poter investire e di dotarsi del know-how necessario, rispetto a quelle più piccole, che questa capacità non hanno, e che si devono affidare sempre di più alle tecnologie digitali in maniera cieca e a scatola chiusa. Le società meno avanzate dal punto di vista del contrasto cibernetico diventeranno quindi sempre di più l’elemento debole della catena di sicurezza, e quindi il possibile vettore di ingresso e di attacco verso sistemi anche più ampi”. (Public Policy / Policy Europe)
@leopoldopapi