Guerra cibernetica, strategie di difesa

Mappatura delle aree virtuali a rischio; controlli su acquisti di beni e servizi tecnologici; poteri speciali in caso di crisi, compreso l’interruzione dei servizi. Sono queste alcune delle regole d’ingaggio per vincere la guerra cibernetica,  scrive Italia Oggi che ha approfondito i punti del decreto legge, approvato dal consiglio dei ministri del 19 settembre scorso. Ovvero il protocollo per la stesura delle strategie difensive in caso di attacchi immateriali. Il protagonista principale è il capo del governo investito del potere-dovere, se indispensabile e per il tempo strettamente necessario alla eliminazione dello specifico fattore di rischio o alla sua mitigazione, secondo un criterio di proporzionalità, di disattivare, totalmente o parzialmente, di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati.

Quanto al «perimetro di sicurezza», cioè l’area virtuale delle reti infrastrutturali da mettere al riparo da attacchi cibernetici, vi troveranno posto le reti, i sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, o la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato. Il decreto fissa il termine di quattro mesi per la stesura del perimetro di sicurezza. Il provvedimento d’urgenza in esame detta una scadenza per la definizione delle procedure di notifica degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici a una task force, chiamata Gruppo di intervento per la sicurezza informatica in caso di incidente (Csirt) italiano. La notifica innesca la circolazione della notizia sul sinistro alle altre autorità coinvolte: nucleo per la sicurezza cibernetica; ministero dell’interno, presidenza del Consiglio dei ministri.  

Dovrà, inoltre, essere regolamentata la procedura di acquisti tecnologici (beni, sistemi e servizi Ict) sui mercati esteri. Il ministero dello sviluppo economico potrà imporre condizioni e test di hardware e software da inserire nei capitolati di gara. Sia gli obblighi di notificazione, sia quelli relativi agli appalti sono assistiti dalla previsione di sanzioni amministrative in caso di inosservanza.

Un articolo del decreto è poi dedicato alla tecnologia 5G: vi si afferma la necessità di monitoraggio dei fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano. Viene fissato un termine per adeguare agli elevati standard di sicurezza anche beni e servizi acquistati dallo stato. Senza escludere la sostituzione di apparati o prodotti se gravemente sul piano della sicurezza.