CYBER WARFARE E STRATEGIE DI DIFESA NAZIONALE

CYBERSECURITY SUMMIT 2016 CONTRO LA MINACCIA DEL CYBER TERRORISMO, DELLO SPIONAGGIO INDUSTRIALE, DEGLI ATTACCHI A SCOPO DI RISCATTO

APR-CYBERSICAssistiamo oggi a uno scenario sempre più preoccupante, caratterizzato da un incremento incessante delle azioni di cyber war imputabili a Governi stranieri, azioni di cyber terrorismo, spionaggio industriale e attacchi ad opera del cyber crime internazionale.

Le minacce che caratterizzano questo mondo sono sempre più mirate, o rivolte a nuove superfici e vulnerabilità, come ad esempio quelle dell’Internet of Things. E’ oggi necessario sviluppare capacità superiori di Incident Management, una security intelligence e un monitoraggio evoluto delle minacce per la migliore risposta ai cyber threats.

Nel corso del Cybersecurity Summit 2016, che si è tenuto a Roma il 5 Aprile, sono state illustrati i seguenti punti:

Le best practice italiane e internazionali con riferimento all’ attuazione di misure difensive;

I trend innovativi con riferimento a SOC e CERT, le misure per la difesa delle infrastrutture critiche e degli ambienti industriali;

l’evoluzione sul fronte delle norme che hanno impatto sulla Cybersecurity, dal nuovo regolamento Europeo per la privacy (GDPR), al privacy Shield per i trasferimenti di dati verso gli USA, alla nuova Direttiva Europea per le infrastrutture critiche ( Network and Information security Directive).

Sono intervenuti con il Keynote speech, Roberto Di Legami, Direttore Polizia Postale e delle Comunicazioni, Ministero dell’Interno: “Overview sull’evoluzione del Rischio Cyber a livello nazionale”. A seguire, Andrea Rigoni, Managing Partner di Intellium Ltd, ha presentato le “Misure urgenti nei piani nazionali per rispondere al cyber terrorismo”, un’analisi commissionata dalla NATO su 40 paesi a livello globale, che ha commentato il nuovo Framework italiano per la Cyber Security. In chiusura della prima sessione, la relazione di Domenico Rossi, Sottosegretario di Stato, Ministero della Difesa, su: “Stato attuale e prospettive della protezione Cibernetica nazionale”.

Successivamente Ezio Viola, Amministratore Delegato di The Innovation Group, ha presieduto una Tavola Rotonda su Evoluzione del SOC e collaborazione con terze parti e CERT pubblici.

Ha seguito poi l’intervento di Rita Forsi, Direttore, Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione del Ministero dello Sviluppo Economico su Cert italiano e analisi Enisa su national and international cyber security exercises, e in conclusione di sessione, la Tavola Rotonda sul tema La Cyber Threat Intelligence per il SOC, Info-Sharing e cooperazione con Terze Parti.

APR-cyber-Security-Summit-RomaLa sessione successiva è stata dedicata ad approfondire quali sono le principali novità introdotte dal Regolamento Europeo per la Privacy (GDPR), su quali aspetti sarebbe opportuno per le aziende concentrare maggiormente l’attenzione, come rispondere in modo coordinato alle esigenze di Privacy e Cybersecurity.

Dopo gli interventi dell’Avvocato Giuseppe Busia, Segretario generale del Garante per la protezione dei dati personali dell’Autorità Garante per la Protezione dei dati Personali, di Riccardo Genghini, Notaio e Professore di Diritto Commerciale Comparato dell’Università Cattolica di Milano e di Agostino Oliveri, Data Protection Officer, Privacy Consultant, Auditor Certificated e Coordinatore area di ricerca Legal & Privacy di Cloud Security Alliance, si è tenuta una Tavola Rotonda su Privacy e requisiti per la cybersecurity nella PA, con la partecipazione di: Roberto Fermani, Responsabile Funzione Privacy di Telecom Italia, Michele Mellone, Responsabile delle policy di sicurezza di INAIL, Enrico Trasatti, Information Security Manager di SOGEI, e con Elio Molteni, Senior Solution Strategist di CA Technologies e Filippo Giannelli, Country Manager di Micro Focus – NetIQ.

Nel pomeriggio, la prima sessione è stata dedicata ad approfondire come deve evolvere la sicurezza delle infrastrutture critiche e dell’Industrial Internet, anche alla luce dell’approvazione della nuova Direttiva europea Network and Information Security (NIS Directive). La discussione moderata da Ezio Viola e Stefano Buschi, Cyber Risk Services, Partner di Deloitte, ha visto la partecipazione di Genséric Cantournet, Chief Security Officer di RAI e Francesco Di Maio, Head of Security Department di ENAV.

A seguire è stata dedicata una sessione alle soluzioni per realizzare un’Advanced Cybersecurity, per migliorare le capacità di intelligence e di Incident e Vulnerability Management, insieme a David Leichner, Vice President di Cynet Security, Cesare San Martino, Responsabile del Competence Center di Eurosel Moma e Dario Tizzanini, Responsabile della Governance e Sicurezza ICT di Gruppo Snam, e con Paolo Emiliani, ICT Security Manager di Positive Technologies.

Il Cybersecurity Summit si è concluso con due interventi su soluzioni avanzate per la cybersecurity, il sistema Haruspex, assessment formale mediante simulazioni di cyber attack presentato da Fabrizio Baiardi, Professore Ordinario presso il Dipartimento di Informatica dell’Università di Pisa, e la soluzione di Continuous monitoring e gestione avanzata degli incidenti di sicurezza, a cura di Fabio Bucciarelli, Responsabile Sicurezza Informatica di Regione Emilia Romagna e Roberto Obialero, Consulente Regione Emilia Romagna.

L’assemblea plenaria del Parlamento Europeo ha adottato il 14 Aprile 2016 in seconda lettura i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Con questo passaggio si conclude un iter legislativo durato oltre quattro anni. Il nuovo “pacchetto protezione dati” garantirà maggiori opportunità e tutele per cittadini e imprese, adeguando una normativa europea che risale ormai agli anni ‘90, cioè ad un’epoca in cui molte delle nuove tecnologie attuali non esistevano e Internet era ancora ai suoi albori. In particolare, il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa, affrontando temi innovativi – come il diritto all’oblio e alla portabilità dei dati – e stabilendo anche criteri che da una parte responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi dagli adempimenti per chi rispetta le regole. La Direttiva, secondo elemento fondamentale del pacchetto, stabilisce, per la prima volta, norme comuni per il trattamento dei dati a fini giudiziari e di polizia all’interno di tutti gli Stati membri. Obiettivo della Direttiva è quello di innalzare le garanzie per la privacy dei cittadini quanto interviene un trattamento dati per motivi giudiziari e di polizia, ma anche facilitare notevolmente lo scambio e l’uso delle informazioni utili per il contrasto a fenomeni come criminalità e terrorismo.

Dopo che, la prossima settimana, il Consiglio Ue avrà preso atto formalmente dell’approvazione del pacchetto da parte del Parlamento, si avrà la pubblicazione dei testi nella Gazzetta Ufficiale dell’Unione Europea (GUUE), verosimilmente entro la fine di Giugno. Il Regolamento entrerà in vigore venti giorni dopo la pubblicazione nella GUUE e, dopo due anni, le sue disposizioni saranno direttamente applicabili in tutta l’Unione europea. Gli Stati membri avranno due anni per recepire le disposizioni della direttiva nel diritto nazionale con apposite norme.

“L’approvazione del Regolamento e della Direttiva rappresentano per l’Unione un traguardo importante, atteso da tempo – ha commentato Antonello Soro, Presidente dell’Autorità Garante per la protezione dei dati personali – ma si pongono anche come una sfida sia per le Autorità Garanti sia per imprese, soggetti pubblici, liberi professionisti chiamati ad un ruolo di grande rilievo e responsabilità nel garantire un sempre più elevato grado di tutela delle persone che vivono e operano nell’Unione. Un percorso verso una più ampia protezione dei dati personali, soprattutto nel mondo digitale – ha concluso Soro – che si apre già da subito e che vedrà l’Autorità italiana impegnata in un dialogo costante con tutti gli attori in campo e con le altre Autorità Garanti europee.

Roma, 30 Aprile 2016

Alexia Perazzi