Indagine conoscitiva della Camera in merito alla transizione verso il 5G ed alla gestione dei big-data. PILLOLA_OGI_#25_L’AUDIZIONE DIS | Seconda Parte: Big Data
Audizione DIS – Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei ministri
SECONDA PARTE _BIG DATA
Relatori:
- Gennaro Vecchione, direttore generale del Dipartimento delle informazioni per la sicurezza (DIS) della Presidenza del Consiglio dei ministri,
- Enrico Savio, vicedirettore generale
- Roberto Baldoni, vicedirettore del Dipartimento delle Informazioni per la Sicurezza e responsabile del Nucleo per Sicurezza Cibernetica (Nsc)
L’audizione è stata focalizzata sui due temi, fortemente correlati, del 5G e dei Big Data.
I Big Data
In merito ai Big Data il DIS ha sottolineato che il trattamento dei dati personali è sempre legato ai diritti fondamentali della persona.
In particolare, se per Big Data si intende un’enorme quantità di dati generata da un numero incalcolabile di sorgenti, bisogna tenere presente il parametro evolutivo delle «V». Che da tre voci iniziali: Volume, Varietà e Velocità di aggiornamento, oggi è arrivato a comprendere anche la Veridicità e il Valore, in termini di profitto.
Big Data come Valore
Il valore dei Big Data è destinato a crescere in maniera esponenziale, dato che, attraverso l’Internet of Things, la maggior parte dei comportamenti umani verrà codificato in metadati.
I Big Data muoveranno ogni settore della società, pertanto, il loro controllo sarà sinonimo di potere.
Inoltre, grazie all’introduzione di sofisticati algoritmi di codifica, i Big Data rappresenteranno un moltiplicatore significativo delle capacità di intelligence, sia in ambito informativo che analitico. In particolare, per crescere e garantire la massima cyber sicurezza, l’intelligence dovrà ampliare le proprie capacità di immagazzinamento dati e sviluppare algoritmi in grado di analizzare ed elaborare le informazioni in tempi rapidissimi.
La formazione specializzata
Una formazione altamente specializzata è alla base del progresso, per questo il DIS è impegnato a costruire professionalità adeguate, tra cui quella del data scientist.
Inoltre, il DIS si sta adoperando per formare operatori di intelligence in grado di interagire con i nativi digitali. L’obiettivo è promuovere la massima integrazione tra TECHINT (technical intelligence) e HUMINT (human intelligence), ovvero tra le attività di raccolta ed elaborazione dati, svolte mediante strumentazione tecnica, e quelle svolte tramite contatti interpersonali.
Il DIS ha richiamato quanto osservato dal professor Antonello Soro, presidente dell’Autorità Garante per la Protezione dei dati personali, in relazione alla dimensione dinamica del dato personale: “le potenzialità dei big data analytics di estrarre informazioni anche da frammenti apparentemente anonimi aumenta a dismisura le possibilità di reidentificazione”.
L’evoluzione dell’ICT in ottica 5G e Big Data non richiede all’intelligence di stravolgere la sua fisionomia istituzionale moderna, al contrario la corrobora in uno dei suoi connotati più distintivi: la flessibilità e l’adattabilità al cambiamento.
Le domande dei Membri della Commissione
L’audizione del DIS ha sollevato numerose domande da parte dei membri della IX Commissione:
Zanella – FI: Si è parlato della possibilità di porre un veto e di stabilire quali possano essere le forniture critiche. Tuttavia, il nostro Governo ha creato un memorandum di intesa, primo in Europa, proprio con la Cina. Sotto questo profilo potrebbero esserci delle criticità? Quali potrebbero essere le possibilità di miglioramento del corpus normativo
Bossio – PD: Premesso che il DIS è lo snodo fondamentale della sicurezza cibernetica in Italia, anche in rapporto all’Unione Europea: a che punto è la costituzione del CSIRT? Il Computer Security Incident Response Team che dovrebbe unificare i due CERT (Computer Emergency Response Team) nazionali, obiettivo primario dal tempo del primo piano per la sicurezza cibernetica. Infatti, se il GDPR impone una responsabilità al produttore dei dati è altrettanto giusto che la sicurezza sia tutelata anche da un organismo statale.
Morelli – Lega: Esiste un criterio di valutazione del valore del dato, oggi?
Risposte del DIS:
La Cina
Il DIS, che ha seguito direttamente l’accordo con la Cina a supporto dell’azione governativa, può garantirne la natura prettamente commerciale e, dunque, priva di impatto sulla sicurezza nazionale, se non per alcuni aspetti marginali. Tale accordo, infatti, non mette in discussione l’appartenenza dell’Italia alla Nato, all’Ue, all’OCSE o ad altra organizzazione internazionale.
Per garantire la sicurezza, si è deciso di potenziare la norma concepita per coprire le minacce palesi. Tuttavia, per proteggere il paese anche dalle minacce non evidenti, ben note al COPASIR, è stato fatto ricorso al Golden Power, gestito in gran parte da funzionari e dirigenti dell’intelligence che operano presso la Presidenza del Consiglio.
Golden Power
La norma sul Golden Power, che riguardava soltanto la scalata delle società in alcuni posizionamenti strategici, è stata estesa all’acquisizione di tutti i materiali necessari all’implementazione della tecnologia 5G, che è stato equiparato a un tema di interesse nazionale.
L’acquisizione di materiali e tecnologie abilitanti il 5G sarà notificata e sottoposta al vaglio del CSIRT (assegnato al DIS). Il DIS, in quanto organo preposto dal CSIRT a tali controlli, dovrà affrontare un’enorme mole di lavoro, almeno nella fase iniziale. E dato che la questione è di interesse internazionale, per implementare gli accertamenti sarà opportuno mantenere aperto il confronto con le Intelligence estere.
Criteri di valutazione
Come richiesto dal provvedimento, il Ministero dello sviluppo economico, Ministero delle infrastrutture e dei trasporti, Ministero dell’economia e delle finanze, nonché il Ministero della Salute e il Ministero dell’ambiente e della tutela del territorio e del mare, in collaborazione con le Regioni e Province autonome di Trento e di Bolzano, hanno identificato gli Operatori di servizi essenziali (OSE) per ciascuno dei settori previsti dalla Direttiva:
- energia,
- trasporti,
- bancario,
- infrastrutture dei mercati finanziari,
- sanitario,
- fornitura e distribuzione di acqua potabile e infrastrutture digitali.
Per un totale di 465 realtà, tra pubbliche e private.
Per stabilire dei criteri di valutazione univoci, il DIS ha provveduto ad una prima identificazione di 455 OSE e, contestualmente, ha emesso delle linee guida rivolte a tre delle cinque autorità segnalate. Anche perché per l’approvazione delle linee guida, Sanità e Ambiente dovranno tener conto anche della Conferenza Stato-Regioni.
PMI e le Grandi corporate
Il DIS ha già provveduto a costruire un rapporto fiduciario con il mondo delle corporate, grazie al fatto che la comunicazione avviene più agevolmente tramite le strutture e le competenze che lo costituiscono.
Per le PMI è stato allestito un road show sul territorio che ha invece lo scopo di portare il messaggio alle piccole e medie imprese, oltre che a tutta la filiera del subappalto che va anche verso le grandi corporate.
Segnalazioni
Il DIS riceve costantemente segnalazioni di minacce digital, che vengono analizzate attraverso tecniche evolute di reverse engineering. L’analisi approfondita dei malware, delle modalità di attacco, dei pattern, cioè dei modus operandi degli attaccanti, consente di identificare l’entità del rischio e del potenziale danno e dunque di strutturare delle misure di riparazione dei sistemi.
DIS e Nativi Digitali
Infine, il DIS si occupa della formazione dei nativi digitali fornendo gli strumenti necessari per acquisire la piena consapevolezza della loro cittadinanza digitale. Il DIS infatti riconosce l’importanza di garantire alle nuove generazioni la massima libertà nel cyberspazio e, nello stesso tempo, la piena conoscenza delle conseguenze delle proprie azioni sul web.
Infatti, la conoscenza rappresenta la prima forma di prevenzione. Tuttavia, dato che con il 5G e la crescita dei Big Data aumenteranno esponenzialmente anche i rischi legati alla cyber security, il DIS auspica che gli strumenti normativi necessari per contrastare il fenomeno vengano sviluppati al più presto, utilizzando tutte le tecnologie più innovative a disposizione.
Gaetano Pellegrino
