Indagine conoscitiva della Camera in merito alla transizione verso il 5G ed alla gestione dei big-data. PILLOLA_OGI_#22_L’AUDIZIONE ISCOM
PILLOLA_OGI_#22_L’AUDIZIONE ISCOM
Rita Forsi, Direttrice Generale ISCOM – Istituto superiore delle comunicazioni e delle tecnologie dell’informazione (ISCOM) del Ministero dello sviluppo economico (MISE) – ha partecipato all’audizione su 5G e Big Data.
Il suo intervento è stato focalizzato sul tema della cyber security.
5G e Cyber Security
Con lo sviluppo e l’applicazione delle tecnologie legate al 5G, si è registrato un incremento di attacchi cyber, sempre più sofisticati. Tali attacchi potrebbero colpire l’apparato statale o la fornitura di servizi essenziali, con conseguenti danni economici e possibili pregiudizi per la qualità della vita. Inoltre, il rischio aumenta se si considera che con il 5G l’intera gestione delle risorse avverrà in maniera virtuale e dinamica con procedure centralizzate e distribuite.
D.L. n. 70 / 2012
Il decreto legislativo n. 70 / 2012 prevede, per la prima volta in Italia, disposizioni in materia di sicurezza e integrità delle reti di comunicazione elettronica. I fornitori hanno l’obbligo di adottare tutte le misure di sicurezza necessarie per ridurre i rischi di interruzione dei servizi forniti agli utenti e di segnalare al MISE gli incidenti con significativo impatto sui servizi forniti.
Il decreto attuativo individua le misure di sicurezza e integrità che gli operatori devono adottare e i casi in cui gli incidenti informatici devono essere comunicati al CSIRT – Computer Security Incident Response Team e all’ISCOM,struttura di riferimento all’interno del MISE.
Valutazione nazionale dei rischi
Entro giugno 2019, ogni Stato Membro ha completato la valutazione nazionale dei rischi, aggiornato i requisiti di sicurezza vigenti a carico dei fornitori di rete e le condizioni per garantire la sicurezza delle reti pubbliche.
Un altro elemento di novità del D.L. è la distinzione, per quanto tecnologicamente possibile, tra azioni prescrittive dirette ai fornitori di reti / servizi e quelle rivolte ai fornitori degli apparati.
D.L. n. 65 / 2018
Il decreto n. 65 / 2018 ha previsto azioni di rafforzamento della sicurezza informatica nazionale secondo alcune linee di azione, a partire dall’individuazione di autorità competenti nei settori strategici a livello europeo.
Energia, infrastrutture e servizi digitali, per i quali è competente il MISE, e ancora trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, fornitura e distribuzione di acqua potabile.
La direttiva ha richiesto anche l’individuazione di «operatori di servizi essenziali» nei settori strategici con l’obbligo di esercitare misure di sicurezza e di notifica di incidenti significativi. Le misure tecnico-organizzative da adottare sono diventate obbligatorie per ridurre il rischio di incidenti informatici; così come la notifica di eventi che presentino un rilevante impatto sulla continuità dei servizi e quindi si riflettano sulla collettività.
Il CSIRT e il CERT Nazionale
CSIRT, nato dalla fusione tra CERT Nazionale – Computer Emergency Response Team – operante presso il MISE e quello della pubblica amministrazione – attivo presso l’Agenzia per l’Italia digitale – è la nuova struttura attiva presso la Presidenza del Consiglio.
Il CERT Nazionale rappresenta il punto di riferimento internazionale per la prevenzione, il monitoraggio, l’analisi e il coordinamento delle risposte verso gli altri CERT.
Per un efficace funzionamento del CERT sono fondamentali le interazioni con le imprese, con il CERT della PA, con il Comando Interforze Operazioni Cibernetiche del Ministero della Difesa (CIOC) e con il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) che opera nel Ministero dell’Interno.
Conclusioni
Come previsto dalla normativa, la Dott.ssa Forsi ha ricordato che il MISE potrebbe promuovere l’istituzione di un Centro di Valutazione e Certificazione Nazionale, adibito alla verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati e sistemi, destinati al funzionamento di reti, servizi e infrastrutture critiche. Il centro potrebbe provvedere alla verifica di ogni altro operatore per cui sussista un interesse nazionale.
In questo contesto, che prevede l’istituzione di sistemi europei e nazionali di certificazione di prodotti e servizi, il nostro Paese, anche grazie al contributo del MISE, è in linea con il resto d’Europa e sta cercando di seguire, monitorare e partecipare attivamente alle iniziative internazionali.
Gaetano Pellegrino
