Sicurezza cibernetica nazionale a Carrai, cosa non va a livello tecnico
Un gruppo di esperti ha scritto una lettera a Renzi esprimendo vari dubbi sull’operazione che punta a realizzare un team di cybersecurity
Il tema della sicurezza informatica è sempre di estrema importanza, soprattutto se riguarda la protezione di strutture strategiche, gestite da enti pubblici o privati. Non parliamo del pericolo che un virus attacchi i computer e gli smartphone delle persone, con conseguenze evidenti ma circoscritte, ma della necessità di anticipare ed eludere tentavi di violazione a sistemi critici a livello nazionale, come quelli che gestiscono i grossi impianti industriali e processi comuni, ad esempio l’alternanza dei semafori in una città, il cui malfunzionamento può causare non pochi danni.
La volontà del governo di creareun ecosistema dedicato al cyberspazio rappresenta una notizia positiva perché innalza il livello di attenzione circa una serie di pericoli su cui siamo in palese ritardo. Eppure eventi recenti, come il blackout energetico in Ucraina, dimostrano quanto siano fragili e indifese alcune centrali di vitale importanza per l’approvvigionamento e la distribuzione di servizi basilari.
Italia a rilento
Dopo i fatti di Parigi, Renzi ha dichiarato di voler accelerare verso la creazione di un soggetto (la cui forma ad oggi è sconosciuta) che faccia da punto di riferimento per la cybersecurity nazionale. Il primo passo è la possibile nomina di Marco Carrai come coordinatore della sicurezza informatica del paese; notizia che ha scatenato diverse polemiche, non solo a livello politico. Nella giornata di ieri un gruppo di “esperti di sicurezza” ha infatti prodotto un documento pubblico con il quale vengono espressi vari dubbi sulla scelta di Carrai: “Apprendiamo dalla stampa, non senza perplessità, che si sta creando una preoccupante confusione in merito alla nomina del responsabile della Sicurezza Cibernetica Nazionale. Le notizie si rincorrono, contraddicendosi, tanto che ad oggi sembra non esserci ancora chiarezza in merito alla strategia ed alla visione sottese da questa nomina, quantomeno dal punto di vista dell’interesse del Paese”.
Lettera aperta dagli esperti
Come ci ha spiegato in esclusiva Fabio Pietrosanti, tra i promotori dell’iniziativa, il fine della lettera non è quello di proporre una serie di candidati per la posizione, quanto porre l’attenzione sulle referenze necessarie che devono essere soddisfatte per guidare una macchina così complessa come è quella della sicurezza cibernetica del paese. “Grazie ad una legge del 2013, la Presidenza del Consiglio ha il diritto di stipulare convenzioni con tutti gli enti pubblici e aziende private che rappresentano infrastrutture strategiche per finalità di cybersecurity. All’estero ciò si è tradotto in un’evoluzione dei classici CERT, pionieristicamente attivi dalla fine degli anni '90, come centri adibiti alla raccolta e alla proposta di soluzioni in ambito informatico. Da noi invece il CERT non ha mai attinto, per nomine e competenze, da figure tecniche ma quasi sempre sotto spinta politica”.
Il rischio di un organo inefficiente
Il rischio è dunque che un eventuale ente di Sicurezza Cibernetica Nazionale diventi solo un organismo di facciata, incapace nell’affrontare gli attacchi inviati tramite la rete. “Se oggi chiediamo a qualunque esperto di sicurezza cosa pensa ad esempio del CERT italiano (Computer Emergency Response Team), organizzazioni esperte di cui gli altri paesi sono dotati già dalla fine degli anni ’90, dirà: abbiamo un CERT nazionale? Senza piazzare nelle giuste posizioni chi lavora davvero nell’ambito della cybersecurity non si va da nessuna parte”. Il punto è centrale: può davvero Carrai dar vita ad un gruppo di persone capaci di far fronte ad hacker sponsorizzati da stati esteri? Con quali strumenti?
I rapporti con i creatori di Stuxnet
“Qui ci assale un altro dubbio – prosegue Pietrosanti – si può coinvolgere una società del genere, senza esperti conosciuti, che vanta possibili collaborazioni militari con Israele?”. Il riferimento è ai presunti collegamenti dell’azienda di Carrai, la Cys4, con l’Unità 8200, il reparto di Intelligence dell’Israel Defence Force, una sorta di NSA del Medio Oriente. Si tratta della stessa sezione che avrebbe giocato un ruolo centrale nello sviluppo e nel lancio del virus Stuxnet all’interno della centrale nucleare iraniana di Natanz assieme agli Stati Uniti, a scopo investigativo e di spionaggio. È anche per questo che l’italiana AISE, Agenzia Informazioni e Sicurezza Esterna (ex Sismi), che si occupa di Intelligence fuori dalla penisola, ha avviato una dura opposizione contro la possibile nomina di Carrai. Giochi di potere ma che sottendono motivazioni strategiche e tecnologiche non di poco conto.
