CyberSecurity Dal DPCM Monti e Gentiloni a un approccio più efficace per la tutela della sovranità cibernetica dell’Italia

Evoluzione regolamentare Dal DPCM Monti al DPCM Gentiloni e loro implicazioni

DPCM Monti - CyberSecurity

Panorama descritto dal DPCM Monti Polverizzazione del piano operativo Estrema verticalizzazione della catena decisionale Sovrapposizione di competenze e ruoli Polverizzazione dei percorsi formativi ed assenza di una omologazione degli stessi Mancanza di sovranità industriale Elettronica Informatica Assenza di definizione di budget e conseguentemente cattiva distribuzione del personale operativo

Maggiori problematiche rilevate Il DPCM per come è congegnato fa una fotografia dell’esistente ma non ottimizza nessun processo Si utilizza il livello strategico (politico e decisionale) per decidere come agire a livello tattico (operativo e di risposta)

DPCM Gentiloni - CyberSecurity

Panorama descritto dal DPCM Gentiloni Inalterata nel testo la polverizzazione del piano operativo, ma volontà da parte del direttore di ridurre la polverizzazione operativa Riduzione della verticalizzazione della catena decisionale, con conseguente spostamento verso il DIS delle competenze di una agenzia tipo-NIS Sovrapposizione di competenze e ruoli Polverizzazione dei percorsi formativi ed assenza di una omologazione degli stessi Mancanza di sovranità industriale Elettronica Informatica Assenza di definizione di budget e conseguentemente cattiva distribuzione del personale operativo Assenza di definizione di fattispecie di reato relativamente alla Cyber Security

Enti e strutture visitate Nucleo Sicurezza Cibernetica RIS – CERT-Difesa AgID – CERT-PA MiSE – CERT-Nazionale MinInt – CNAIPIC

Proposta di riforma Una visione sulle modifiche da apportare al sistema e cosa introdurre di nuovo

Proposta di legge - Struttura Definizioni Livello strategico Livello tattico Formazione Sovranità industriale Controllo parlamentare Cultura e divulgazione scientifica

Proposta di legge – Struttura Definizioni Necessarie per definire esattamente i compiti Opportunità di dare chiarezza per il futuro sul settore Cibernetico Punto di riferimento, insieme al codice delle comunicazioni elettroniche, sui sistemi di protezione informatica

Proposta di legge – Struttura Livello Strategico/Tattico Distinguere in maniera chiara i due livelli Dare concretezza ai CERT a livello operativo, unificando CERT Nazionale e CERT-PA nel CERT-IT, definendo un unico punto, anche fisico, dove concentrare i tecnici Raggruppare le funzioni di certificazione dei componenti e dei software in un unico ente Valorizzare le peculiarità italiane di rapidità di intervento tramite strumenti utilizzabili direttamente dall’autorità giudiziaria. Evitare la creazione di repliche di funzioni già esistenti Creare regole che indichino come definire un CERT in strutture critiche e della PA. Definizione di Budget e capitoli di spesa ad-hoc

Dichiara la “crisi cibernetica“ PCM Autorità delegata DIS E N I S A N A T O P E S D ANSC Coordinamento e raccordo tra la componente operativa e quella politica Dichiara la “crisi cibernetica“ LIVELLO POLITICO STRATEGICO LIVELLO OPERATIVO CERT - IT Collegamento verso l’estero Supporto e coordinamento CERT di livello inferiore Gestione piattaforma di infosharing nazionale Organizzazione Esercitazioni Prevenzione (creazione della “cultura cyber”) ISCOM Standardizzazione Certificazione CNAIPIC Monitoraggio infrastrutture critiche/reti Autorizzazione interruzione servizi Filtraggio/declassificazione info riservate CERT- DIFESA Protezione delle reti militari Reazione offensiva (cyberwarfare) CERT MINISTERI CERT ENTI LOCALI CERT PRIVATI SOC PA CERT-GARR Tutti i CERT dovrebbero offrire, per quanto di loro competenza, capacità di scoperta, analisi e contrasto della minaccia, nonché disporre di sistemi di info sharing connesse a quella del CERT IT per la condivisione delle informazioni e degli allarmi.

Proposta di Legge – Agenzia Nazionale Sicurezza Cibernetica Autorità delegata responsabile della Cyber Responsabilità di indirizzo e vigilanza Agenzia Nazionale Sicurezza Cibernetica Autonomia regolamentare nel rispetto della linea politica indicata dal Governo Sovrintende a tutti gli aspetti Cyber dello Stato Definizioni di uffici Cyber nei vari dicasteri e agenzie per coordinare l’azione di progettazione e monitoraggio della implementazione della strategia Cyber CERT-IT Un direttore operativo Include i precedenti CERT-Nazionale e CERT-PA Riunisce in un unico luogo gli operativi Cyber

Proposta di Legge – Struttura Formazione Creazione di una Scuola di Alta formazione Cibernetica Per la PA Per l’Università Per l’Industria Dare una formazione univoca per avere tecnici di qualità operativa efficace Creare una cultura nella stessa PA rispetto al problema Cyber

Proposta di Legge – Struttura Sovranità industriale Obbiettivo 2020 Raggiungere una capacità sovrana Elettronica nel settore Reti Informatica nel settore Firmware Antivirus/Anti Malware Migrazione sistemi infrastrutture critiche su sistemi operativi con sovranità Riorganizzare i flussi di finanziamento pubblico Canalizzare i costituendi progetti EU di finanziamento in ricerca/sviluppo nel settore Difesa Protezione Start-Up e Aziende tecnologicamente avanzate

Proposta di Legge – Struttura Controllo Parlamentare Nel DPCM manca totalmente una definizione di controllo parlamentare Il COPASIR ne è titolato ma è opportuno indicarlo nella legge Apportare modifiche alla 124/2007 e sue successive modificazioni Possibilità di avere rapporti dal CISR e dal NSC.

Proposta di Legge – Struttura Cultura e divulgazione La scuola come veicolo di cultura cibernetica La scuola come formatore di una cultura di sicurezza cibernetica Attenzione alla formazione di persone anche nella PA con una cultura della sicurezza

Domande & Risposte