SlideShare uma empresa Scribd logo

Gaia Morelli - Perimetro Cibernetico

Transferir como PPTX, PDF
Legal Hackers Roma
Legal Hackers Roma

Gaia Morelli - Perimetro Cibernetico

Tecnologia
1 de 19
R AVVOCATO GAIA MORELLI| 3 DICEMBRE 2019 | LEGAL HACKERS ROMA |
“In this digital age, we're experiencing the weaponization of everything.” ― JAMES SCOTT, SENIOR FELLOW, INSTITUTE FOR CRITICAL INFRASTRUCTURE
IL DOMINIO CIBERNETICO ECOSISTEMA DEL CYBERSPAZIO - LO SPAZIO CIBERNETICO E’ UN NUOVO DOMINIO OPERATIVO DI NATURA ARTIFICIALE - AMBIENTE VIRTUALE, PRIVO DI CONFINI FISICI, UNO SPAZIO INDEFINITO NEL CUI AMBITO NON PUO’ ESISTERE DIVISIONE TRA PUBBLICO E PRIVATO, TRA LA SFERA MILITARE E CIVILE - LO SPAZIO VIRTUALE DOVE OGGI, GRAZIE AL PROGRESSO TECNOLOGICO OGNI GIORNO SI SCAMBIANO MILIARDI DI INFORMAZIONI E’ UNO SPAZIO DI COMPETIZIONE ECONOMICA E GEOPOLITICA - IL CYBERSPAZIO E’ UN COMPLESSO ECOSISTEMA CHE VIAGGIA SU TRE LIVELLI - A) FISICO – INFRASTRUTTURALE - B) LOGICO-INFORMATIVO - C) SOCIALE – COGNITIVO
Non esiste “un settore in questo momento – anche molto lontano, come l'agricoltura o altri – che non si poggi pesantemente sul cyber space” VULNERABILITA’
La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). Critical Infrastructures are systems and assets, whether physical or virtual, so vital for a state that the incapacity or destruction of such systems and assets would have a debilitating impact on security, national economic security, national public health or safety, or any combination of those matters. US PATRIOT ACTS 2001 INFRASTRUTTURE CRITICHE
Costruire lo spazio cibernetico nazionale non è tuttavia sufficiente. È essenziale proteggerlo dall’incursione di terzi malintenzionati, per impedire che diventi una terra di nessuno dove è difficile imporre il rispetto della legge e dei valori costitutivi dello stato di diritto. Oggi lo spazio cibernetico è un mare reso pericoloso dalla pirateria.” DOCUMENTO CONCLUSIVO DELL’INDAGINE CONOSCITIVA SULLA SICUREZZA E LA DIFESA NELLO SPAZIO CIBERNETICO 20.12.2017
LE MINACCE ALLA SICUREZZA NAZIONALE Potenziale attacco ai processi democratici: es. elezioni o banche dati PA Inquinamento opinione pubblica con fake news sabotaggio a distanza di macchine e dispositivi (centrali elettriche, dicembre nucleari, dighe, torri di controllo aeroportuali, sistemi di navigazione aerea, nonché fabbriche altamente automatizzate, che impieghino robot interconnessi, etc.). Attacchi ad assetti critici nazionali possono produrre danni materiali ad esempio attraverso la paralisi o l’alterazione di sistemi che regolano il trasporto civile o le reti energetiche o dei sistemi di comando e controllo militari. Es. malware “Energetic Bear”, che qualche anno fa colpì più di un migliaio di aziende statunitensi ed europee attive in campo energetico con l’obiettivo di compromettere il corretto funzionamento di centrali elettriche, reti di distribuzione del gas e turbine eoliche.
Direttiva2008/114/CE sull’identificazione e designazione delle Infrastrutture Critiche Europee e sulla verifica della necessità di migliorare la loro protezione, attuata in italia con D.Lgs 11 aprile 2011, n 61, prime definizioni di Infrastruttura Critica e dei Soggetti ricompresi Gennaio 2013, Decreto Monti (DPCM 24 gennaio 2013), si definiscono le molteplici competenze di settore tra i diversi attori istituzionali delineando la governance nazionale in materia di cyber security Febbraio 2017 Direttiva in materia protezione cibernetica e sicurezza informatica nazionali” (cd.“Decreto Gentiloni”) ove si assicura un maggiore coordinamento tra le diverse strutture istituzionali previste nel nuovo quadro strategico  maggio 2018 con il D.Lgs. 65/2018 di recepimento della Direttiva 2016/1148 (c.d. “Direttiva NIS”) sono stati delineati ulteriori interventi di rafforzamento del sistema di sicurezza cibernetica del Paese gli OSE (operatori di servizi essenziali. Aprile 2019 Regolamento (UE) 2019/881 d Cybersecurity Act introduce una certificazione europea della sicurezza cibernetica di hardware e software trasponendo in campo informatico gli stringenti standard già applicati alla sicurezza fisica dei beni prodotti nella UE. Responsabile delle certificazioni è l’Agenzia europea per la sicurezza delle reti e dell’informazione (European Network and Information Security Agency, ENISA).
 13 Novembre 2019: approvato il Decreto Legge che istituisce il "Perimetro Nazionale della Sicurezza Cibernetica" (Decreto-legge 105 del 2019) Nel perimetro saranno presenti tutte le Pubbliche Amministrazioni e tutte le aziende privati che offrono servizi strategici (telefonia, trasporti ferroviari, fornitura di elettricità ecc). Gli enti saranno identificati da un Decreto della Presidenza del Consiglio su indicazioni del CISR (Comitato Interministeriale per la Sicurezza della Repubblica). I criteri di inclusione nel perimetro sono i seguenti: ◦ il soggetto esercita una funzione essenziale dello Stato; ◦ l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici; l'interruzione del normale servizio può rappresentare un problema per la sicurezza nazionale.
. LA PRESIDENZA DEL CONSIGLIO DEI MINISTRI E IL MISE INOLTRANO GLI ELENCHI DIS Dipartimento delle informazioni per la sicurezza, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonche' all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione ENTRO 6 MESI I SOGGETTI INCLUSI NEL PERIMETRO CIBERNETICO TRASMETTONO TALI ELENCHI, RISPETTIVAMENTE, ALLA PRESIDENZA DEL CONSIGLIO DEI MINISTRI E AL MINISTERO DELLO SVILUPPO ECONOMICO ENTRO 4 MESI SONO DEFINITI I CRITERI CON I QUALI I SOGGETTI INCLUSI NEL PERIMETRO PREDISPONGONO E AGGIORNANO CON CADENZA ALMENO ANNUALE UN ELENCO DELLE RETI, DEI SISTEMI INFORMATIVI E DEI SERVIZI INFORMATICI sono definiti , sulla base di un'analisi del rischio e di un criterio di gradualita' che tenga conto delle specificita' dei diversi settori di attivita', all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, l'organismo tecnico di supporto al CISR, integrato con un rappresentante della Presidenza del Consiglio dei ministri
ENTRO 10 MESI SEMPRE CON DPCM VERRANNO INDIVIDUATE LE PROCEDURE DI NOTIFICA DEGLI INCIDENTI AVENTI IMPATTO SU RETI, SISTEMI INFORMATIVI E SERVIZI INFORMATICI Violazione di sicurezza Comunicazione al CSIRT Computer Security Incident Response Team Gruppo di intervento per la sicurezza informatica in caso di incidente Comunicazione al DIS Ministero dell'interno Presidenza del Consiglio dei Ministri (se da soggetto pubblico o certificatore accreditato) Mise (se da soggetto privato del perimetro cibernetico)
MISURE DI SICUREZZA VOLTE A GARANTIRE ELEVATI LIVELLI DI SICUREZZA DELLE RETI, DEI SISTEMI INFORMATIVI E DEI SERVIZI INFORMATICI il Ministero dello sviluppo economico la Presidenza del Consiglio dei ministri, d'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e delle finanze e il Dipartimento delle informazioni per la sicurezza ALLA STRUTTURA ORGANIZZATIVA PREPOSTA ALLA GESTIONE DELLA SICUREZZA, ALLE POLITICHE DI SICUREZZA E ALLA GESTIONE DEL RISCHIO MITIGAZIONE E PREVENZIONE DEGLI INCIDENTI PROTEZIONE DEI DATI MONITORAGGIO, TEST E CONTROLLO FORMAZIONE E CONSAPEVOLEZZA GESTIONE OPERATIVA IVI COMPRESA LA CONTINUITA’ DEL SERVIZIO LL'AFFIDAMENTO DI FORNITURE DI BENI, SISTEMI E SERVIZI DI INFORMATION AND COMMUNICATION TECHNOLOGY (ICT
AFFIDAMENTO DI FORNITURE BENI E SERVIZI ICT DESTINATI AD ESSERE IMPIEGATI NELLE RETI, SUI SISTEMI INFORMATIVI E PER L’ESPLETAMENTO DI SERVIZI INFORMATICI INDIVIDUATI NELL’ELENCO TRASMESSO DALLA PRESIDENZA E DAL MISE PROCEDURE MODALITA’ E TERMINI SARANNO INDIVIDUATI CON REGOLAMENTO DCPM ENTRO 10 MESI COMMITTENTI sono tenuti a dare comunicazione NOTFICA al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico IN 45 GIORNI ( PROGRABILI DI 15 ) IL CVCN PUO’ EFFETTUARE VERIFICHE PRELIMINARI DA COMPIERE ANCHE IN COLLABORAZIONE CON I SOGGETTI INCLUSI NEL PERIMETRO CIBERNETICO
I COMPITI DEL CVCN CENTRO DI VALUTAZIONE E CERTIFICAZIONE NAZIONALE a) contribuisce all'elaborazione delle misure di sicurezza per l'affidamento di forniture di beni, sistemi e servizi ICT; b) , definisce le metodologie di verifica e di test preliminari in caso di affidamento, si potrà avvalere anche di laboratori dallo stesso accreditati c) elabora e adotta, previo conforme avviso dell'organismo tecnico di supporto al CISR, schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica
IL SISTEMA SANZIONATORIO VIENE INSERITO UN ARTICOLATO SISTEMA SANZIONATORIO PER I CASI DI VIOLAZIONE DEGLI OBBLIGHI PREVISTI LE SANZIONI VENGONO IRROGATE DALLA PRESIDENZA DEL CONSIGLIO PER I SOGGETTI PUBBLICI, DAL MINISTERO DELLO SVILUPPO ECONOMICO SE I TRASGRESSORI SONO PRIVATI. VIENE INTRODOTTA UNA NUOVA FATTISPECIE DI RESPONSABILITA PENALE EX ART. 231/2011
il mancato adempimento degli obblighi di predisposizione e di aggiornamento dell'elenco delle reti, dei sistemi informativi e dei servizi informatici è punito con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000; il mancato adempimento dell'obbligo di notifica relative agli incidenti con impatto sulle reti nei termini prescritti, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; l'inosservanza delle misure predisposte per garantire elevati livelli di sicurezza delle reti dei sistemi informativi e informatici è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; la mancata comunicazione da parte dei soggetti che intendono procedere all'affidamento di forniture di beni e servizi ITC nei termini prescritti, è punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000; l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione, è punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000; la mancata collaborazione per l'effettuazione delle attività di test è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attività di ispezione e verifica è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; il mancato rispetto delle prescrizioni relative alle metodologie di test e di verifica, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; l'impiego di prodotti e di servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici in assenza della comunicazione o del superamento dei test o nel mancato rispetto delle condizioni previste comporta anche l'applicazione della sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione. Sanzioni amministrative
NUOVA FATTISPECIE DI REATO Chiunque, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2, lettera b) (trasmissione e formazione dei criteri di inclusione nel perimetro e di predisposizione degli elenchi), o al comma 6, lettera a), o delle attivita' ispettive e di vigilanza previste dal comma 6, lettera c), fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attivita' ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, e' punito con la reclusione da uno a tre anni [e all'ente, responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a quattrocento quote]
DISCIPLINA DI RACCORDO CON I SOGGETTI DELLA NORMATIVA NIS In ipotesi di sovrapposizione degli operatori dei servizi essenziali già soggetti alla Direttiva NIS, essi dovranno continuare a ottemperare alle disposizioni previste dalla Direttiva stessa, integrando, ove previsto le disposizioni individuate dal perimetro di sicurezza nazionale cibernetica. La responsabilità di attuazione e vigilanza, per quanto riguarda il perimetro, sono condivise dal Ministero per lo Sviluppo economico (per quanto concerne le attività che coinvolgono attori privati) e dalla Presidenza del Consiglio (per le attività che coinvolgono il settore pubblico).
GRAZIE DELL’ ATTENZIONE AVV. GAIA MORELLI I M A G E C R E D I T S E L E N A R O M E N K O V A

Recomendados

Edoardo Limone - Perimetro cibernetico - I soggetti attaccanti
Edoardo Limone - Perimetro cibernetico - I soggetti attaccantiEdoardo Limone - Perimetro cibernetico - I soggetti attaccanti
Edoardo Limone - Perimetro cibernetico - I soggetti attaccanti
Legal Hackers Roma
 
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza CiberneticoBenedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Legal Hackers Roma
 
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
mobi-TECH
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
Data Driven Innovation
 
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
Data Driven Innovation
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
Deft Association
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
CSI Piemonte
 
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Sandro Rossetti
 

Recomendados

Edoardo Limone - Perimetro cibernetico - I soggetti attaccanti
Edoardo Limone - Perimetro cibernetico - I soggetti attaccantiEdoardo Limone - Perimetro cibernetico - I soggetti attaccanti
Edoardo Limone - Perimetro cibernetico - I soggetti attaccanti
Legal Hackers Roma
 
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza CiberneticoBenedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Benedetto Fucà - La Golden Power nel Perimetro di Sicurezza Cibernetico
Legal Hackers Roma
 
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
La direttiva NIS e le norme italiane in materia di sicurezza informatica: cos...
mobi-TECH
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
Data Driven Innovation
 
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
Data Driven Innovation
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
Deft Association
 
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaPrivacy e sicurezza: come proteggere i dati - Enzo Veiluva
Privacy e sicurezza: come proteggere i dati - Enzo Veiluva
CSI Piemonte
 
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Deftcon 2013 - Stefano Mele - La strategia dell'Unione Europea sulla cyber-se...
Sandro Rossetti
 
Consultazione cybercrime csig aicq-10gennaio2016
Consultazione cybercrime csig aicq-10gennaio2016Consultazione cybercrime csig aicq-10gennaio2016
Consultazione cybercrime csig aicq-10gennaio2016
Mauro Alovisio
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
CSI Piemonte
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
Alessandro Piva
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
CSI Piemonte
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
Emerasoft, solutions to collaborate
 
Cyber Security e General Data Protection Regulation
Cyber Security e General Data Protection RegulationCyber Security e General Data Protection Regulation
Cyber Security e General Data Protection Regulation
Idelfo Borgo
 
MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019
MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019
MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019
BTO Educational
 
Forum pa2018.ac2
Forum pa2018.ac2Forum pa2018.ac2
Forum pa2018.ac2
Angelo Cavallaro
 
Presentazione ProCiviWeb
Presentazione ProCiviWebPresentazione ProCiviWeb
Presentazione ProCiviWeb
Francesco Vitale
 
D.lgs. 231 01 reati informatici
D.lgs. 231 01 reati informaticiD.lgs. 231 01 reati informatici
D.lgs. 231 01 reati informatici
Mataloni Romano
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
SMAU
 
Piano nazionale per la protezione cibernetica e la sicurezza informatica
Piano nazionale per la protezione cibernetica e la sicurezza informaticaPiano nazionale per la protezione cibernetica e la sicurezza informatica
Piano nazionale per la protezione cibernetica e la sicurezza informatica
Palazzo Chigi - Governo Italiano
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Csp io t-proposal-30may2012
Csp io t-proposal-30may2012Csp io t-proposal-30may2012
Csp io t-proposal-30may2012
CSP Scarl
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Proteggere il business nell'era digitale
Proteggere il business nell'era digitaleProteggere il business nell'era digitale
Proteggere il business nell'era digitale
Andrea Maggipinto [+1k]
 
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
Quadro strategico nazionale per la sicurezza dello spazio ciberneticoQuadro strategico nazionale per la sicurezza dello spazio cibernetico
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
Palazzo Chigi - Governo Italiano
 
Gestire i rischi emergent in Rsa con una assicurazione
Gestire i rischi emergent in Rsa con una assicurazioneGestire i rischi emergent in Rsa con una assicurazione
Gestire i rischi emergent in Rsa con una assicurazione
Uneba
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezza
Vittorio Pasteris
 
La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei dati
Vincenzo Calabrò
 
Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...
Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...
Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...
AmmLibera AL
 

Mais conteúdo relacionado

Mais procurados

Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
Alessandro Piva
 
MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019
MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019
MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019
BTO Educational
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
SMAU
 

Mais procurados (20)

Consultazione cybercrime csig aicq-10gennaio2016
Consultazione cybercrime csig aicq-10gennaio2016Consultazione cybercrime csig aicq-10gennaio2016
Consultazione cybercrime csig aicq-10gennaio2016
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
Cyber Security e General Data Protection Regulation
Cyber Security e General Data Protection RegulationCyber Security e General Data Protection Regulation
Cyber Security e General Data Protection Regulation
 
MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019
MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019
MANLIO del GIUDICE | Smart Tourism and Cybersecurity | Meet Forum 2019
 
Forum pa2018.ac2
Forum pa2018.ac2Forum pa2018.ac2
Forum pa2018.ac2
 
Presentazione ProCiviWeb
Presentazione ProCiviWebPresentazione ProCiviWeb
Presentazione ProCiviWeb
 
D.lgs. 231 01 reati informatici
D.lgs. 231 01 reati informaticiD.lgs. 231 01 reati informatici
D.lgs. 231 01 reati informatici
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
 
Piano nazionale per la protezione cibernetica e la sicurezza informatica
Piano nazionale per la protezione cibernetica e la sicurezza informaticaPiano nazionale per la protezione cibernetica e la sicurezza informatica
Piano nazionale per la protezione cibernetica e la sicurezza informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Csp io t-proposal-30may2012
Csp io t-proposal-30may2012Csp io t-proposal-30may2012
Csp io t-proposal-30may2012
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Proteggere il business nell'era digitale
Proteggere il business nell'era digitaleProteggere il business nell'era digitale
Proteggere il business nell'era digitale
 
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
Quadro strategico nazionale per la sicurezza dello spazio ciberneticoQuadro strategico nazionale per la sicurezza dello spazio cibernetico
Quadro strategico nazionale per la sicurezza dello spazio cibernetico
 
Gestire i rischi emergent in Rsa con una assicurazione
Gestire i rischi emergent in Rsa con una assicurazioneGestire i rischi emergent in Rsa con una assicurazione
Gestire i rischi emergent in Rsa con una assicurazione
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezza
 

Semelhante a Gaia Morelli - Perimetro Cibernetico

Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...
Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...
Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...
AmmLibera AL
 
Quadro strategico nazionale sicurezza spazio cibernetico
Quadro strategico nazionale sicurezza spazio ciberneticoQuadro strategico nazionale sicurezza spazio cibernetico
Quadro strategico nazionale sicurezza spazio cibernetico
pdeffer
 
Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica
Piano Nazionale per la Protezione Cibernetica e la Sicurezza InformaticaPiano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica
Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica
AmmLibera AL
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
TheBCI
 
Smau milano 2013 fratepietro vaciago
Smau milano 2013 fratepietro vaciagoSmau milano 2013 fratepietro vaciago
Smau milano 2013 fratepietro vaciago
SMAU
 
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Angeloluca Barba
 

Semelhante a Gaia Morelli - Perimetro Cibernetico (20)

La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei dati
 
Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...
Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...
Quadro strategico nazionale per la sicurezza dello spazio cibernetico (Dicemb...
 
Quadro strategico nazionale sicurezza spazio cibernetico
Quadro strategico nazionale sicurezza spazio ciberneticoQuadro strategico nazionale sicurezza spazio cibernetico
Quadro strategico nazionale sicurezza spazio cibernetico
 
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
 
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
 
Mod. V Aa 08 09
Mod. V Aa 08 09Mod. V Aa 08 09
Mod. V Aa 08 09
 
Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica
Piano Nazionale per la Protezione Cibernetica e la Sicurezza InformaticaPiano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica
Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
 
Connettività Abilitante: Bluetooth Low Energy e M2M nelle Telco
Connettività Abilitante: Bluetooth Low Energy e M2M nelle TelcoConnettività Abilitante: Bluetooth Low Energy e M2M nelle Telco
Connettività Abilitante: Bluetooth Low Energy e M2M nelle Telco
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 07 sanacore r...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 07 sanacore r...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 07 sanacore r...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 07 sanacore r...
 
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
intervento CONFAPI 27.10.2016 - Avv.Maggipinto (estratto)
 
148 La comunicazione via satellite per la business continuity ed il disaster ...
148 La comunicazione via satellite per la business continuity ed il disaster ...148 La comunicazione via satellite per la business continuity ed il disaster ...
148 La comunicazione via satellite per la business continuity ed il disaster ...
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
AIMOOC 7.2 - La strategia europea per l'I.A. - Lucilla Sioli
AIMOOC 7.2 - La strategia europea per l'I.A. - Lucilla SioliAIMOOC 7.2 - La strategia europea per l'I.A. - Lucilla Sioli
AIMOOC 7.2 - La strategia europea per l'I.A. - Lucilla Sioli
 
Smau milano 2013 fratepietro vaciago
Smau milano 2013 fratepietro vaciagoSmau milano 2013 fratepietro vaciago
Smau milano 2013 fratepietro vaciago
 
Intervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business ForumIntervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business Forum
 
Cybersecurity nell'industria 4.0
Cybersecurity nell'industria 4.0 Cybersecurity nell'industria 4.0
Cybersecurity nell'industria 4.0
 
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
 
119 Più sicuri grazie al satellite - Fieldbus & Networks N. 88 – Settembre 20...
119 Più sicuri grazie al satellite - Fieldbus & Networks N. 88 – Settembre 20...119 Più sicuri grazie al satellite - Fieldbus & Networks N. 88 – Settembre 20...
119 Più sicuri grazie al satellite - Fieldbus & Networks N. 88 – Settembre 20...
 
Sicurezza nei servizi IoT
Sicurezza nei servizi IoTSicurezza nei servizi IoT
Sicurezza nei servizi IoT
 

Gaia Morelli - Perimetro Cibernetico

  • 1. R AVVOCATO GAIA MORELLI| 3 DICEMBRE 2019 | LEGAL HACKERS ROMA |
  • 2. “In this digital age, we're experiencing the weaponization of everything.” ― JAMES SCOTT, SENIOR FELLOW, INSTITUTE FOR CRITICAL INFRASTRUCTURE
  • 3. IL DOMINIO CIBERNETICO ECOSISTEMA DEL CYBERSPAZIO - LO SPAZIO CIBERNETICO E’ UN NUOVO DOMINIO OPERATIVO DI NATURA ARTIFICIALE - AMBIENTE VIRTUALE, PRIVO DI CONFINI FISICI, UNO SPAZIO INDEFINITO NEL CUI AMBITO NON PUO’ ESISTERE DIVISIONE TRA PUBBLICO E PRIVATO, TRA LA SFERA MILITARE E CIVILE - LO SPAZIO VIRTUALE DOVE OGGI, GRAZIE AL PROGRESSO TECNOLOGICO OGNI GIORNO SI SCAMBIANO MILIARDI DI INFORMAZIONI E’ UNO SPAZIO DI COMPETIZIONE ECONOMICA E GEOPOLITICA - IL CYBERSPAZIO E’ UN COMPLESSO ECOSISTEMA CHE VIAGGIA SU TRE LIVELLI - A) FISICO – INFRASTRUTTURALE - B) LOGICO-INFORMATIVO - C) SOCIALE – COGNITIVO
  • 4. Non esiste “un settore in questo momento – anche molto lontano, come l'agricoltura o altri – che non si poggi pesantemente sul cyber space” VULNERABILITA’
  • 5. La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). Critical Infrastructures are systems and assets, whether physical or virtual, so vital for a state that the incapacity or destruction of such systems and assets would have a debilitating impact on security, national economic security, national public health or safety, or any combination of those matters. US PATRIOT ACTS 2001 INFRASTRUTTURE CRITICHE
  • 6. Costruire lo spazio cibernetico nazionale non è tuttavia sufficiente. È essenziale proteggerlo dall’incursione di terzi malintenzionati, per impedire che diventi una terra di nessuno dove è difficile imporre il rispetto della legge e dei valori costitutivi dello stato di diritto. Oggi lo spazio cibernetico è un mare reso pericoloso dalla pirateria.” DOCUMENTO CONCLUSIVO DELL’INDAGINE CONOSCITIVA SULLA SICUREZZA E LA DIFESA NELLO SPAZIO CIBERNETICO 20.12.2017
  • 7. LE MINACCE ALLA SICUREZZA NAZIONALE Potenziale attacco ai processi democratici: es. elezioni o banche dati PA Inquinamento opinione pubblica con fake news sabotaggio a distanza di macchine e dispositivi (centrali elettriche, dicembre nucleari, dighe, torri di controllo aeroportuali, sistemi di navigazione aerea, nonché fabbriche altamente automatizzate, che impieghino robot interconnessi, etc.). Attacchi ad assetti critici nazionali possono produrre danni materiali ad esempio attraverso la paralisi o l’alterazione di sistemi che regolano il trasporto civile o le reti energetiche o dei sistemi di comando e controllo militari. Es. malware “Energetic Bear”, che qualche anno fa colpì più di un migliaio di aziende statunitensi ed europee attive in campo energetico con l’obiettivo di compromettere il corretto funzionamento di centrali elettriche, reti di distribuzione del gas e turbine eoliche.
  • 8. Direttiva2008/114/CE sull’identificazione e designazione delle Infrastrutture Critiche Europee e sulla verifica della necessità di migliorare la loro protezione, attuata in italia con D.Lgs 11 aprile 2011, n 61, prime definizioni di Infrastruttura Critica e dei Soggetti ricompresi Gennaio 2013, Decreto Monti (DPCM 24 gennaio 2013), si definiscono le molteplici competenze di settore tra i diversi attori istituzionali delineando la governance nazionale in materia di cyber security Febbraio 2017 Direttiva in materia protezione cibernetica e sicurezza informatica nazionali” (cd.“Decreto Gentiloni”) ove si assicura un maggiore coordinamento tra le diverse strutture istituzionali previste nel nuovo quadro strategico  maggio 2018 con il D.Lgs. 65/2018 di recepimento della Direttiva 2016/1148 (c.d. “Direttiva NIS”) sono stati delineati ulteriori interventi di rafforzamento del sistema di sicurezza cibernetica del Paese gli OSE (operatori di servizi essenziali. Aprile 2019 Regolamento (UE) 2019/881 d Cybersecurity Act introduce una certificazione europea della sicurezza cibernetica di hardware e software trasponendo in campo informatico gli stringenti standard già applicati alla sicurezza fisica dei beni prodotti nella UE. Responsabile delle certificazioni è l’Agenzia europea per la sicurezza delle reti e dell’informazione (European Network and Information Security Agency, ENISA).
  • 9.  13 Novembre 2019: approvato il Decreto Legge che istituisce il "Perimetro Nazionale della Sicurezza Cibernetica" (Decreto-legge 105 del 2019) Nel perimetro saranno presenti tutte le Pubbliche Amministrazioni e tutte le aziende privati che offrono servizi strategici (telefonia, trasporti ferroviari, fornitura di elettricità ecc). Gli enti saranno identificati da un Decreto della Presidenza del Consiglio su indicazioni del CISR (Comitato Interministeriale per la Sicurezza della Repubblica). I criteri di inclusione nel perimetro sono i seguenti: ◦ il soggetto esercita una funzione essenziale dello Stato; ◦ l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici; l'interruzione del normale servizio può rappresentare un problema per la sicurezza nazionale.
  • 10. . LA PRESIDENZA DEL CONSIGLIO DEI MINISTRI E IL MISE INOLTRANO GLI ELENCHI DIS Dipartimento delle informazioni per la sicurezza, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la sicurezza cibernetica, nonche' all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione ENTRO 6 MESI I SOGGETTI INCLUSI NEL PERIMETRO CIBERNETICO TRASMETTONO TALI ELENCHI, RISPETTIVAMENTE, ALLA PRESIDENZA DEL CONSIGLIO DEI MINISTRI E AL MINISTERO DELLO SVILUPPO ECONOMICO ENTRO 4 MESI SONO DEFINITI I CRITERI CON I QUALI I SOGGETTI INCLUSI NEL PERIMETRO PREDISPONGONO E AGGIORNANO CON CADENZA ALMENO ANNUALE UN ELENCO DELLE RETI, DEI SISTEMI INFORMATIVI E DEI SERVIZI INFORMATICI sono definiti , sulla base di un'analisi del rischio e di un criterio di gradualita' che tenga conto delle specificita' dei diversi settori di attivita', all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, l'organismo tecnico di supporto al CISR, integrato con un rappresentante della Presidenza del Consiglio dei ministri
  • 11. ENTRO 10 MESI SEMPRE CON DPCM VERRANNO INDIVIDUATE LE PROCEDURE DI NOTIFICA DEGLI INCIDENTI AVENTI IMPATTO SU RETI, SISTEMI INFORMATIVI E SERVIZI INFORMATICI Violazione di sicurezza Comunicazione al CSIRT Computer Security Incident Response Team Gruppo di intervento per la sicurezza informatica in caso di incidente Comunicazione al DIS Ministero dell'interno Presidenza del Consiglio dei Ministri (se da soggetto pubblico o certificatore accreditato) Mise (se da soggetto privato del perimetro cibernetico)
  • 12. MISURE DI SICUREZZA VOLTE A GARANTIRE ELEVATI LIVELLI DI SICUREZZA DELLE RETI, DEI SISTEMI INFORMATIVI E DEI SERVIZI INFORMATICI il Ministero dello sviluppo economico la Presidenza del Consiglio dei ministri, d'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e delle finanze e il Dipartimento delle informazioni per la sicurezza ALLA STRUTTURA ORGANIZZATIVA PREPOSTA ALLA GESTIONE DELLA SICUREZZA, ALLE POLITICHE DI SICUREZZA E ALLA GESTIONE DEL RISCHIO MITIGAZIONE E PREVENZIONE DEGLI INCIDENTI PROTEZIONE DEI DATI MONITORAGGIO, TEST E CONTROLLO FORMAZIONE E CONSAPEVOLEZZA GESTIONE OPERATIVA IVI COMPRESA LA CONTINUITA’ DEL SERVIZIO LL'AFFIDAMENTO DI FORNITURE DI BENI, SISTEMI E SERVIZI DI INFORMATION AND COMMUNICATION TECHNOLOGY (ICT
  • 13. AFFIDAMENTO DI FORNITURE BENI E SERVIZI ICT DESTINATI AD ESSERE IMPIEGATI NELLE RETI, SUI SISTEMI INFORMATIVI E PER L’ESPLETAMENTO DI SERVIZI INFORMATICI INDIVIDUATI NELL’ELENCO TRASMESSO DALLA PRESIDENZA E DAL MISE PROCEDURE MODALITA’ E TERMINI SARANNO INDIVIDUATI CON REGOLAMENTO DCPM ENTRO 10 MESI COMMITTENTI sono tenuti a dare comunicazione NOTFICA al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico IN 45 GIORNI ( PROGRABILI DI 15 ) IL CVCN PUO’ EFFETTUARE VERIFICHE PRELIMINARI DA COMPIERE ANCHE IN COLLABORAZIONE CON I SOGGETTI INCLUSI NEL PERIMETRO CIBERNETICO
  • 14. I COMPITI DEL CVCN CENTRO DI VALUTAZIONE E CERTIFICAZIONE NAZIONALE a) contribuisce all'elaborazione delle misure di sicurezza per l'affidamento di forniture di beni, sistemi e servizi ICT; b) , definisce le metodologie di verifica e di test preliminari in caso di affidamento, si potrà avvalere anche di laboratori dallo stesso accreditati c) elabora e adotta, previo conforme avviso dell'organismo tecnico di supporto al CISR, schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica
  • 15. IL SISTEMA SANZIONATORIO VIENE INSERITO UN ARTICOLATO SISTEMA SANZIONATORIO PER I CASI DI VIOLAZIONE DEGLI OBBLIGHI PREVISTI LE SANZIONI VENGONO IRROGATE DALLA PRESIDENZA DEL CONSIGLIO PER I SOGGETTI PUBBLICI, DAL MINISTERO DELLO SVILUPPO ECONOMICO SE I TRASGRESSORI SONO PRIVATI. VIENE INTRODOTTA UNA NUOVA FATTISPECIE DI RESPONSABILITA PENALE EX ART. 231/2011
  • 16. il mancato adempimento degli obblighi di predisposizione e di aggiornamento dell'elenco delle reti, dei sistemi informativi e dei servizi informatici è punito con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000; il mancato adempimento dell'obbligo di notifica relative agli incidenti con impatto sulle reti nei termini prescritti, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; l'inosservanza delle misure predisposte per garantire elevati livelli di sicurezza delle reti dei sistemi informativi e informatici è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; la mancata comunicazione da parte dei soggetti che intendono procedere all'affidamento di forniture di beni e servizi ITC nei termini prescritti, è punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000; l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione, è punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000; la mancata collaborazione per l'effettuazione delle attività di test è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attività di ispezione e verifica è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; il mancato rispetto delle prescrizioni relative alle metodologie di test e di verifica, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; l'impiego di prodotti e di servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici in assenza della comunicazione o del superamento dei test o nel mancato rispetto delle condizioni previste comporta anche l'applicazione della sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione. Sanzioni amministrative
  • 17. NUOVA FATTISPECIE DI REATO Chiunque, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2, lettera b) (trasmissione e formazione dei criteri di inclusione nel perimetro e di predisposizione degli elenchi), o al comma 6, lettera a), o delle attivita' ispettive e di vigilanza previste dal comma 6, lettera c), fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attivita' ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, e' punito con la reclusione da uno a tre anni [e all'ente, responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a quattrocento quote]
  • 18. DISCIPLINA DI RACCORDO CON I SOGGETTI DELLA NORMATIVA NIS In ipotesi di sovrapposizione degli operatori dei servizi essenziali già soggetti alla Direttiva NIS, essi dovranno continuare a ottemperare alle disposizioni previste dalla Direttiva stessa, integrando, ove previsto le disposizioni individuate dal perimetro di sicurezza nazionale cibernetica. La responsabilità di attuazione e vigilanza, per quanto riguarda il perimetro, sono condivise dal Ministero per lo Sviluppo economico (per quanto concerne le attività che coinvolgono attori privati) e dalla Presidenza del Consiglio (per le attività che coinvolgono il settore pubblico).
  • 19. GRAZIE DELL’ ATTENZIONE AVV. GAIA MORELLI I M A G E C R E D I T S E L E N A R O M E N K O V A

Notas do Editor

  1. Lo “spazio cibernetico” rappresenta un nuovo dominio operativo di natura artificiale, trasversale agli altri quattro domini tradizionali (dominio terrestre, dominio aereo, dominio marittimo, dominio spaziale), nel quale gli esseri umani, e nel prossimo futuro verosimilmente anche le intelligenze artificiali, possono agire e interagire a distanza. Un dominio di importanza strategica per lo sviluppo economico, sociale e culturale dei diversi Paesi ma al contempo un nuovo “spazio virtuale” di competizione economica e geopolitica per l’ampiezza dei settori che ne sono coinvolti. Grazie ai progressi delle tecnologie di comunicazione e l’impiego diffuso di dispositivi elettronici e di monitoraggio si intrecciano quotidianamente nello spazio cibernetico miliardi di interconnessioni, si scambiano conoscenze a livello globale e viene raccolto un gigantesco numero di dati e di informazioni compresi quelli di natura personale e sensibile (c.d. big data).  La dimensione cibernetica è pertanto generata dalla ramificatissima rete di infrastrutture materiali di collegamento e di comunicazione che, attraverso la tecnologia informatica, mettono in contatto tra loro un crescente numero di esseri umani e permettono loro di attivare e controllare da ubicazioni remote macchine e apparati in tutto il mondo.   Un ecosistema complesso nel cui ambito gli esperti della materia[1] sono soliti distinguere i seguenti tre livelli essenziali: : il livello fisico infrastrutturale, rappresentato dalle macchine (le architetture delle reti, i computer, i router...); il livello logico informativo rappresentato dal volume dei dati gestiti dalle macchine (database, file, ma anche software gestiti dalle macchine); il livello sociale cognitivo, ovvero l’insieme delle relazioni umane e delle caratteristiche socio-cognitive che possono costituire le identità virtuali (l’indirizzo e-mail, il profilo nei social network, gli indirizzi IP delle macchine).
  2. ervizi economici e finanziari, sistemi di comando e controllo militare, sistemi di fornitura di energia elettrica o acqua, l’assistenza sanitaria, le telecomunicazioni, dispositivi fisici con cui interagiamo giornalmente sono controllati da sistemi informatici. Nello scenario di un futuro prossimo, osservano inoltre gli analisti, la diffusione di registri distribuiti in grado di registrare e gestire transazioni di vario tipo (Blockchain), di criptovalute (come Bitcoin, LiteCoin, Ether e Ripple), di sistemi di Artificial Intelligence (AI) e di smart cities (o città intelligenti) contribuirà ad un ulteriore ampliamento del dominio cibernetico e di conseguenza della superficie di attacco.     In quanto dominio artificiale il dominio cibernetico presenta, delle “vulnerabilità” ovvero dei punti di debolezza attraverso i quali è possibile acquisire illegalmente dati e informazioni che “transitano” nello spazio cibernetico ovvero compromettere in tutto o in parte il funzionamento di servizi e sistemi digitali. Le vulnerabilità del dominio cibernetico rappresentano pertanto il rovescio della medaglia del progresso tecnologico ed informatico. Di difficile individuazione e classificazione tali “fratture” del sistema informatico possono dipendere sia da fattori tecnici congeniti al software applicativo, sia dal mancato o non corretto funzionamento dei sistemi di protezione. Al riguardo, nel Documento conclusivo dell’indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico, condotta dalla Commissione difesa della Camera dei Deputati nella XVII legislatura si analizzano le cause delle diverse vulnerabilità e al contempo si sottolinea l’esigenza di disporre di materiali tecnologicamente certificati più facilmente controllabili e monitorabili, con particolare riferimento alla fornitura di materiale militare
  3. La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). In generale, la stessa stabilità e sicurezza di un Paese possono essere gravemente pregiudicate da attacchi malevoli nello spazio cibernetico che colpiscano gangli o procedimenti vitali dell’amministrazione o della vita democratica: si pensi a cosa accadrebbe in caso di manipolazione di anagrafi elettorali interamente informatizzate o di programmi software di elaborazione dei risultati elettorali comunicati dai seggi al Ministero dell’interno. In generale, si pensi a cosa comporterebbe in termini di ordine pubblico la distruzione o perfino l’alterazione profonda ma impercettibile delle memorie giuridiche custodite nelle banche dati di amministrazioni pubbliche e private (anagrafi, catasti, banche, casellari giudiziari, etc.). Tra le infrastrutture strategiche va compreso il sistema delle comunicazioni private (viamail, telefono, network di relazioni sociali) e dell’informazione, che sono vitali per la formazione delle opinioni individuali e dell’opinione pubblica, le quali a loro volta sono il motore dei comportamenti individuali, compresi quelli che stanno al cuore di una società democratica: le scelte elettorali. La diffusione di notizie o documenti riservati se non addirittura classificati carpiti e divulgati da pirati informatici (magari al soldo di potenze straniere ostili) può interferire nella vita pubblica di un Paese, in ipotesi anche alterando il risultato di competizioni elettorali. Effetti simili potrebbe avere in teoria il sistematico inquinamento dei siti di informazione pubblica o di relazioni sociali (tipo Facebook) attraverso l’immissione di fandonie, notizie false e tendenziose (fake news). Basti pensare alle sospettate interferenze di Paesi stranieri nello spazio dei media di relazionesociale attraverso la diffusione a pioggia di notizie false concepite ad arte per condizionare i votantiverso determinate scelte di voto oppure alle notizie classificate carpite e poi divulgate da pirati informatici dietro ai quali potrebbero nascondersi centri di intelligence di Paesi ostili. Oppure si pensi alle potenzialità del cosiddetto dossieraggio: è oggi tecnicamente possibile perlustrare la reteinternet per rinvenirvi in modo sistematico ogni informazione disponibile su una data persona, così da creare un profilo individuale in cui la conoscenza di ogni dettaglio illumina quella degli altri. A parte i disservizi, l’aggressione cibernetica è atta a provocare danni materiali paragonabili a quelli di guerra, mediante il sabotaggio a distanza di macchine e dispositivi (centrali elettriche La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). In generale, la stessa stabilità e sicurezza di un Paese possono essere gravemente pregiudicate da attacchi malevoli nello spazio cibernetico che colpiscano gangli o procedimenti vitali dell’amministrazione o della vita democratica: si pensi a cosa accadrebbe in caso di manipolazione di anagrafi elettorali interamente informatizzate o di programmi software di elaborazione dei risultati elettorali comunicati dai seggi al Ministero dell’interno. In generale, si pensi a cosa comporterebbe in termini di ordine pubblico la distruzione o perfino l’alterazione profonda ma impercettibile delle memorie giuridiche custodite nelle banche dati di amministrazioni pubbliche e private (anagrafi, catasti, banche, casellari giudiziari, etc.). Tra le infrastrutture strategiche va compreso il sistema delle comunicazioni private (viamail, telefono, network di relazioni sociali) e dell’informazione, che sono vitali per la formazione delle opinioni individuali e dell’opinione pubblica, le quali a loro volta sono il motore dei comportamenti individuali, compresi quelli che stanno al cuore di una società democratica: le scelte elettorali. La diffusione di notizie o documenti riservati se non addirittura classificati carpiti e divulgati da pirati informatici (magari al soldo di potenze straniere ostili) può interferire nella vita pubblica di un Paese, in ipotesi anche alterando il risultato di competizioni elettorali. Effetti simili potrebbe avere in teoria il sistematico inquinamento dei siti di informazione pubblica o di relazioni sociali (tipo Facebook) attraverso l’immissione di fandonie, notizie false e tendenziose (fake news). Basti pensare alle sospettate interferenze di Paesi stranieri nello spazio dei media di relazione sociale attraverso la diffusione a pioggia di notizie false concepite ad arte per condizionare i votanti verso determinate scelte di voto oppure alle notizie classificate carpite e poi divulgate da pirati informatici dietro ai quali potrebbero nascondersi centri di intelligence di Paesi ostili. Oppure si pensi alle potenzialità del cosiddetto dossieraggio: è oggi tecnicamente possibile perlustrare la rete internet per rinvenirvi in modo sistematico ogni informazione disponibile su una data persona, così da creare un profilo individuale in cui la conoscenza di ogni dettaglio illumina quella degli altri. L’operazione è possibile anche su scala nazionale. È cioè possibile delineare il profilo di ogni cittadino di un intero Paese. Farlo per 56 milioni di italiani – come emerso dall’indagine conoscitiva – non sarebbe un problema. Non servirebbe né grande capacità computazionale, né uno storage particolare. A parte i disservizi, l’aggressione cibernetica è atta a provocare danni materiali paragonabili a quelli di guerra, mediante il sabotaggio a distanza di macchine e dispositivi (centrali elettriche, dicembre 2017 – 51 – 7 nucleari, dighe, torri di controllo aeroportuali, sistemi di navigazione aerea, nonché fabbriche altamente automatizzate, che impieghino robot interconnessi, etc.). Attacchi ad assetti critici nazionali possono produrre danni materiali ad esempio attraverso la paralisi o l’alterazione di sistemi che regolano il trasporto civile o le reti energetiche o dei sistemi di comando e controllo militari. Un esempio in tal senso è il malware “Energetic Bear”, che qualche anno fa colpì più di un migliaio di aziende statunitensi ed europee attive in campo energetico con l’obiettivo di compromettere il corretto funzionamento di centrali elettriche, reti di distribuzione del gas e turbine eoliche. L’attacco fu portato attraverso l’intrusione da remoto nei sistemi di controllo industriale (ICS). Ciò significa che, dal punto di vista militare, la tecnologia ITC (Information and Communications Technology), potendo essere utilizzata per scopi offensivi assimilabili a quelli dell’attacco armato convenzionale, deve essere guardata come una possibile arma. Occorre in altre parole cominciare a considerare le dinamiche del mondo cibernetico dal punto di vista militare. Una volta chiarito che è possibile usare la cibernetica come arma, si pongono per essa le stesse questioni che riguardano ogni altra tipologia di arma (carri armati, navi, aerei): servono regole di ingaggio per il suo utilizzo e cornici normative per stabilire chi, quando e come può decidere di impiegarla. Anche quando non attacchi infrastrutture critiche, ma, per motivazioni di mero lucro criminale, punti su imprese e famiglie, l’aggressione cibernetica - se massiccia e sistematica - investe l’intero sistema Paese, assurgendo al grado di minaccia alla sicurezza nazionale. Senza protezione, le aziende sono esposte - oltre che a truffe e a ricatti, con conseguente aggravio dei costi d’impresa - a spionaggio industriale, che sfrutta le vulnerabilità dei sistemi informatici per sottrarre, spesso senza che l’attaccato ne abbia consapevolezza, il frutto del lavoro di ricerca aziendale. La singola impresa non può d’altra parte difendersi da sola. L’azienda che opera su internet entra in relazione con altri soggetti: clienti, fornitori, etc. Oltre un certo livello, le relazioni sono mediate dalle macchine, avvengono cioè da macchina a macchina, con la conseguenza che è sufficiente attaccare con successo una piccola società fornitrice per arrivare a colpire la società grande. Non solo singoli attacchi di massicce proporzioni ad aziende nazionali, ma anche plurimi e continui attacchi di piccola scala a cittadini e aziende di un Paese rappresentano un attacco al sistema Paese, in quanto ostacolano il passaggio e la trasformazione tecnologica dell’economia e spingono quanti vogliono innovare e rapportarsi ai mercati mondiali ad abbandonare il Paese o a non mettervi piede. La resilienza del sistema Paese può essere ottenuta solo con uno sforzo diffuso e congiunto. Come per i vaccini, la difesa della comunità passa attraverso l’immunizzazione dei singoli: in questo caso, attraverso la protezione delle famiglie, delle imprese, delle pubbliche amministrazioni e di tutti i soggetti attivi in rete. L’onere di trovare risposte alle sfide del ciberspazio non può ricadere sulle sole istituzioni pubbliche. Non può essere lo Stato a proteggere famiglie e imprese. Spetta però allo Stato rendere la popolazione consapevole del rischio, promuovere e stimolare l’adozione di comportamenti virtuosi di protezione cibernetica e istituire architetture istituzionali preposte. Se un Paese non protegge il suo spazio cibernetico anche privato è destinato a venire emarginato dal mercato del futuro. È chiaro, quindi, che la protezione dello spazio cibernetico è presupposto indefettibile non solo della prosperità economica, ma più in generale dell’indipendenza non solo economica ma anche politica di un Paese. Che, come tale, deve essere considerata una priorità strategica assoluta del sistema Paese. Per questo non è immaginabile che la protezione dello spazio cibernetico sia affidata a privati o a stranieri. Discorso analogo può farsi per la produzione di hardware e software. Chi mette in sicurezza i sistemi informatici o li produce ha le chiavi di accesso a quei sistemi o a quei prodotti. La protezione dello spazio cibernetico nazionale è quindi una responsabilità necessariamente pubblica, che nessuno Stato può delegare. Non per nulla praticamente tutti i Paesi avanzati stanno portando avanti una strategia nazionale nel campo di sicurezza e difesa cibernetiche.
  4. Lo spazio cibernetico è la dimensione globale nella quale opera ormai tutta l’economia avanzata. Non c’è settore economico che non si stia spostando sulla rete. Il movente è l’enorme incremento di efficienza e produttività. La tecnologia internet provider (IP), basata su internet, ha fruttato alle aziende al contempo fortissime contrazioni dei costi di produzione e allargamento dei mercati. È facilmente prevedibile che il dominio dell’informatica nelle attività economiche si rafforzerà nel futuro e che le società che non sapranno trasformare le proprie economie al passo con questa rivoluzione saranno destinate a restare isolate, emarginate dal mondo più industrializzato, e a diventare “il terzo mondo del terzo millennio”. Se l’Italia non si terrà al passo con la rivoluzione informatica inevitabilmente andrà incontro a un processo di deindustrializzazione e a una fuga di aziende e di cervelli. La costruzione dello spazio cibernetico – cioè dell’infrastruttura che permette a cittadini, imprese, enti pubblici, organizzazioni private, di agire (azionando dispositivi e macchine) e di interagire a distanza mediante la tecnologia informatica – deve essere quindi considerata una delle massime priorità strategiche del sistema Paese. Costruire lo spazio cibernetico nazionale non è tuttavia sufficiente. È essenziale proteggerlo dall’incursione di terzi malintenzionati, per impedire che diventi una terra di nessuno dove è difficile imporre il rispetto della legge e dei valori costitutivi dello stato di diritto. Oggi lo spazio cibernetico è un mare reso pericoloso dalla pirateria. Il 2004 è stato, sotto quest’aspetto, l’anno di svolta. Prima di allora la pirateria informatica consisteva soprattutto in uno sfoggio di abilità fine a se stesso da parte di esperti che non miravano al profitto; negli anni seguenti si è assistito invece a una crescita esponenziale di azioni malevole per scopi criminali, di lotta politica, di posizionamento geostrategico. La rivoluzione informatica ha permesso all’economia e alla società in generale, di beneficiare di vantaggi straordinari in termini di aumento della produttività del lavoro umano e di allargamento della rete di comunicazione, ma nel contempo le ha anche esposte a rischi del tutto nuovi e peculiari, a cominciare dal rischio di intrusione e manipolazione da parte di terzi, ossia di soggetti diversi dal legittimo proprietario e principale utilizzatore di un’infrastruttura o di una macchina. Il rischio nasce dal fatto che la tecnologia in questione presenta inevitabilmente delle “vulnerabilità”: metaforicamente possono essere immaginate come “porte” che consentono a estranei di penetrare all’interno dei nostri sistemi informatici, valicando le “mura” di difesa che abbiamo eretto per assicurarcene l’uso esclusivo, e di prenderne il comando (se sono o servono macchine) o di conoscerne e modificarne il contenuto (se sono documenti o memorie di dati). Le vulnerabilità non sono note o riconoscibili in anticipo, anche perché chi concepisce la macchina o l’infrastruttura non si cura principalmente di proteggerla dall’intromissione di terzi. Non può nemmeno escludersi che “porte” di questo tipo vengano applicate intenzionalmente, di nascosto all’acquirente, dal produttore di un software o di un componente hardware impiegati nella fabbricazione del prodotto finito. Di qui il problema strategico della sicurezza degli approvvigionamenti. La protezione del proprio spazio cibernetico (la cyber-sicurezza) è essenziale per un Paese e deve procedere di pari passo con la costruzione di quello spazio. Nessuno, infatti, è immune dal rischio. Sfruttando i dispositivi con collegamento in rete – sempre più diffusi anche nelle case (dai televisori di ultima generazione a certi giocattoli per bambini, passando per le telecamere di sorveglianza attivabili da remoto) – è possibile a terzi ostili non solo spiare quel che avviene nello spazio privato domestico o lavorativo, ma anche prendere il controllo di dispositivi e macchinari altrui, dirottandone l’azione, visionare dati riservati (telefonici, di posta elettronica, etc.) oppure distruggere memorie o sequestrarle a scopo di ricatto (rendendole indisponibili al legittimo titolare). Non è indispensabile che un dispositivo sia connesso a internet. È sufficiente che utilizzi una tecnologia IP: così un computer portatile scollegato dalla rete è attaccabile se viene connesso a una memoria esterna (memory stick) o a un’interfaccia USB (Universal Serial Bus) che sia stata a sua volta “infettata” da software maligno, magari all’insaputa del proprietario, dopo essere stata collegata a una rete. In generale, con l’espansione della cosiddetta “internet delle cose”, nello scenario di un futuro prossimo nel quale sempre più oggetti di uso comune saranno interconnessi, il livello di esposizione alla minaccia cresce a dismisura.   In allegato si riporta un approfondimento delle richiamate  definizioni   In quanto dominio artificiale il dominio cibernetico presenta, delle “vulnerabilità” ovvero dei punti di debolezza attraverso i quali è possibile acquisire illegalmente dati e informazioni che “transitano” nello spazio cibernetico ovvero compromettere in tutto o in parte il funzionamento di servizi e sistemi digitali. Le vulnerabilità del dominio cibernetico rappresentano pertanto il rovescio della medaglia del progresso tecnologico ed informatico. Di difficile individuazione e classificazione tali “fratture” del sistema informatico possono dipendere sia da fattori tecnici congeniti al software applicativo, sia dal mancato o non corretto funzionamento dei sistemi di protezione. Al riguardo, nel Documento conclusivo dell’indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico, condotta dalla Commissione difesa della Camera dei Deputati nella XVII legislatura si analizzano le cause delle diverse vulnerabilità e al contempo si sottolinea l’esigenza di disporre di materiali tecnologicamente certificati più facilmente controllabili e monitorabili, con particolare riferimento alla fornitura di materiale militare
  5. La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). In generale, la stessa stabilità e sicurezza di un Paese possono essere gravemente pregiudicate da attacchi malevoli nello spazio cibernetico che colpiscano gangli o procedimenti vitali dell’amministrazione o della vita democratica: si pensi a cosa accadrebbe in caso di manipolazione di anagrafi elettorali interamente informatizzate o di programmi software di elaborazione dei risultati elettorali comunicati dai seggi al Ministero dell’interno. In generale, si pensi a cosa comporterebbe in termini di ordine pubblico la distruzione o perfino l’alterazione profonda ma impercettibile delle memorie giuridiche custodite nelle banche dati di amministrazioni pubbliche e private (anagrafi, catasti, banche, casellari giudiziari, etc.). Tra le infrastrutture strategiche va compreso il sistema delle comunicazioni private (viamail, telefono, network di relazioni sociali) e dell’informazione, che sono vitali per la formazione delle opinioni individuali e dell’opinione pubblica, le quali a loro volta sono il motore dei comportamenti individuali, compresi quelli che stanno al cuore di una società democratica: le scelte elettorali. La diffusione di notizie o documenti riservati se non addirittura classificati carpiti e divulgati da pirati informatici (magari al soldo di potenze straniere ostili) può interferire nella vita pubblica di un Paese, in ipotesi anche alterando il risultato di competizioni elettorali. Effetti simili potrebbe avere in teoria il sistematico inquinamento dei siti di informazione pubblica o di relazioni sociali (tipo Facebook) attraverso l’immissione di fandonie, notizie false e tendenziose (fake news). Basti pensare alle sospettate interferenze di Paesi stranieri nello spazio dei media di relazionesociale attraverso la diffusione a pioggia di notizie false concepite ad arte per condizionare i votantiverso determinate scelte di voto oppure alle notizie classificate carpite e poi divulgate da pirati informatici dietro ai quali potrebbero nascondersi centri di intelligence di Paesi ostili. Oppure si pensi alle potenzialità del cosiddetto dossieraggio: è oggi tecnicamente possibile perlustrare la reteinternet per rinvenirvi in modo sistematico ogni informazione disponibile su una data persona, così da creare un profilo individuale in cui la conoscenza di ogni dettaglio illumina quella degli altri. A parte i disservizi, l’aggressione cibernetica è atta a provocare danni materiali paragonabili a quelli di guerra, mediante il sabotaggio a distanza di macchine e dispositivi (centrali elettriche La minaccia proveniente dallo spazio cibernetico può riguardare infrastrutture critiche vitali di un Paese (trasporti, energia, sanità, etc.). In generale, la stessa stabilità e sicurezza di un Paese possono essere gravemente pregiudicate da attacchi malevoli nello spazio cibernetico che colpiscano gangli o procedimenti vitali dell’amministrazione o della vita democratica: si pensi a cosa accadrebbe in caso di manipolazione di anagrafi elettorali interamente informatizzate o di programmi software di elaborazione dei risultati elettorali comunicati dai seggi al Ministero dell’interno. In generale, si pensi a cosa comporterebbe in termini di ordine pubblico la distruzione o perfino l’alterazione profonda ma impercettibile delle memorie giuridiche custodite nelle banche dati di amministrazioni pubbliche e private (anagrafi, catasti, banche, casellari giudiziari, etc.). Tra le infrastrutture strategiche va compreso il sistema delle comunicazioni private (viamail, telefono, network di relazioni sociali) e dell’informazione, che sono vitali per la formazione delle opinioni individuali e dell’opinione pubblica, le quali a loro volta sono il motore dei comportamenti individuali, compresi quelli che stanno al cuore di una società democratica: le scelte elettorali. La diffusione di notizie o documenti riservati se non addirittura classificati carpiti e divulgati da pirati informatici (magari al soldo di potenze straniere ostili) può interferire nella vita pubblica di un Paese, in ipotesi anche alterando il risultato di competizioni elettorali. Effetti simili potrebbe avere in teoria il sistematico inquinamento dei siti di informazione pubblica o di relazioni sociali (tipo Facebook) attraverso l’immissione di fandonie, notizie false e tendenziose (fake news). Basti pensare alle sospettate interferenze di Paesi stranieri nello spazio dei media di relazione sociale attraverso la diffusione a pioggia di notizie false concepite ad arte per condizionare i votanti verso determinate scelte di voto oppure alle notizie classificate carpite e poi divulgate da pirati informatici dietro ai quali potrebbero nascondersi centri di intelligence di Paesi ostili. Oppure si pensi alle potenzialità del cosiddetto dossieraggio: è oggi tecnicamente possibile perlustrare la rete internet per rinvenirvi in modo sistematico ogni informazione disponibile su una data persona, così da creare un profilo individuale in cui la conoscenza di ogni dettaglio illumina quella degli altri. L’operazione è possibile anche su scala nazionale. È cioè possibile delineare il profilo di ogni cittadino di un intero Paese. Farlo per 56 milioni di italiani – come emerso dall’indagine conoscitiva – non sarebbe un problema. Non servirebbe né grande capacità computazionale, né uno storage particolare. A parte i disservizi, l’aggressione cibernetica è atta a provocare danni materiali paragonabili a quelli di guerra, mediante il sabotaggio a distanza di macchine e dispositivi (centrali elettriche, dicembre 2017 – 51 – 7 nucleari, dighe, torri di controllo aeroportuali, sistemi di navigazione aerea, nonché fabbriche altamente automatizzate, che impieghino robot interconnessi, etc.). Attacchi ad assetti critici nazionali possono produrre danni materiali ad esempio attraverso la paralisi o l’alterazione di sistemi che regolano il trasporto civile o le reti energetiche o dei sistemi di comando e controllo militari. Un esempio in tal senso è il malware “Energetic Bear”, che qualche anno fa colpì più di un migliaio di aziende statunitensi ed europee attive in campo energetico con l’obiettivo di compromettere il corretto funzionamento di centrali elettriche, reti di distribuzione del gas e turbine eoliche. L’attacco fu portato attraverso l’intrusione da remoto nei sistemi di controllo industriale (ICS). Ciò significa che, dal punto di vista militare, la tecnologia ITC (Information and Communications Technology), potendo essere utilizzata per scopi offensivi assimilabili a quelli dell’attacco armato convenzionale, deve essere guardata come una possibile arma. Occorre in altre parole cominciare a considerare le dinamiche del mondo cibernetico dal punto di vista militare. Una volta chiarito che è possibile usare la cibernetica come arma, si pongono per essa le stesse questioni che riguardano ogni altra tipologia di arma (carri armati, navi, aerei): servono regole di ingaggio per il suo utilizzo e cornici normative per stabilire chi, quando e come può decidere di impiegarla. Anche quando non attacchi infrastrutture critiche, ma, per motivazioni di mero lucro criminale, punti su imprese e famiglie, l’aggressione cibernetica - se massiccia e sistematica - investe l’intero sistema Paese, assurgendo al grado di minaccia alla sicurezza nazionale. Senza protezione, le aziende sono esposte - oltre che a truffe e a ricatti, con conseguente aggravio dei costi d’impresa - a spionaggio industriale, che sfrutta le vulnerabilità dei sistemi informatici per sottrarre, spesso senza che l’attaccato ne abbia consapevolezza, il frutto del lavoro di ricerca aziendale. La singola impresa non può d’altra parte difendersi da sola. L’azienda che opera su internet entra in relazione con altri soggetti: clienti, fornitori, etc. Oltre un certo livello, le relazioni sono mediate dalle macchine, avvengono cioè da macchina a macchina, con la conseguenza che è sufficiente attaccare con successo una piccola società fornitrice per arrivare a colpire la società grande. Non solo singoli attacchi di massicce proporzioni ad aziende nazionali, ma anche plurimi e continui attacchi di piccola scala a cittadini e aziende di un Paese rappresentano un attacco al sistema Paese, in quanto ostacolano il passaggio e la trasformazione tecnologica dell’economia e spingono quanti vogliono innovare e rapportarsi ai mercati mondiali ad abbandonare il Paese o a non mettervi piede. La resilienza del sistema Paese può essere ottenuta solo con uno sforzo diffuso e congiunto. Come per i vaccini, la difesa della comunità passa attraverso l’immunizzazione dei singoli: in questo caso, attraverso la protezione delle famiglie, delle imprese, delle pubbliche amministrazioni e di tutti i soggetti attivi in rete. L’onere di trovare risposte alle sfide del ciberspazio non può ricadere sulle sole istituzioni pubbliche. Non può essere lo Stato a proteggere famiglie e imprese. Spetta però allo Stato rendere la popolazione consapevole del rischio, promuovere e stimolare l’adozione di comportamenti virtuosi di protezione cibernetica e istituire architetture istituzionali preposte. Se un Paese non protegge il suo spazio cibernetico anche privato è destinato a venire emarginato dal mercato del futuro. È chiaro, quindi, che la protezione dello spazio cibernetico è presupposto indefettibile non solo della prosperità economica, ma più in generale dell’indipendenza non solo economica ma anche politica di un Paese. Che, come tale, deve essere considerata una priorità strategica assoluta del sistema Paese. Per questo non è immaginabile che la protezione dello spazio cibernetico sia affidata a privati o a stranieri. Discorso analogo può farsi per la produzione di hardware e software. Chi mette in sicurezza i sistemi informatici o li produce ha le chiavi di accesso a quei sistemi o a quei prodotti. La protezione dello spazio cibernetico nazionale è quindi una responsabilità necessariamente pubblica, che nessuno Stato può delegare. Non per nulla praticamente tutti i Paesi avanzati stanno portando avanti una strategia nazionale nel campo di sicurezza e difesa cibernetiche.
  6. CSIRT: Computer Security Incident Response Team DIS: Dipartimento Informazioni sulla Sicurezza Ministero dell'interno: organo preposto alla regolarità dei servizi di telecomunicazione Presidenza del Consiglio dei Ministri: se le notifiche degli incidenti giungano da un soggetto pubblico - o da un soggetto fornitore di servizi fiduciari qualificati o svolgente l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale Mise: se le notifiche giungano da un soggetto privato del perimetro di sicurezza nazionale cibernetica
  7. CSIRT: Computer Security Incident Response Team DIS: Dipartimento Informazioni sulla Sicurezza Ministero dell'interno: organo preposto alla regolarità dei servizi di telecomunicazione Presidenza del Consiglio dei Ministri: se le notifiche degli incidenti giungano da un soggetto pubblico - o da un soggetto fornitore di servizi fiduciari qualificati o svolgente l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale Mise: se le notifiche giungano da un soggetto privato del perimetro di sicurezza nazionale cibernetica
  8. CSIRT: Computer Security Incident Response Team DIS: Dipartimento Informazioni sulla Sicurezza Ministero dell'interno: organo preposto alla regolarità dei servizi di telecomunicazione Presidenza del Consiglio dei Ministri: se le notifiche degli incidenti giungano da un soggetto pubblico - o da un soggetto fornitore di servizi fiduciari qualificati o svolgente l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale Mise: se le notifiche giungano da un soggetto privato del perimetro di sicurezza nazionale cibernetica