Italia
La chiusura del Convegno internazionale Network and Information Security: Political and Technical Challenges, tenutosi a Roma il 2-4 novembre 2005, offre l’occasione di stilare un primo bilancio delle attività svolte dal Ministero delle Comunicazioni e, in particolare, dall’ISCOM, suo organo tecnico-scientifico, nell’ambito della sicurezza delle reti e delle informazioni.
Nel seguito tenterò di elencare le più importanti iniziative intraprese (tralasciando per brevità le iniziative “minori”), cercando di mettere in evidenza le scelte strategiche e politiche che hanno guidato la realizzazione delle varie iniziative concrete.
E’ ormai esperienza comune e condivisa anche a livello internazionale che il vero livello di sicurezza garantito dalla moderne reti di telecomunicazione ha un forte impatto sullo sviluppo delle moderne società dell’informazione. Questo impatto è percepito come importante sia a livello politico, sia a livello più propriamente tecnologico. Molte innovative iniziative politiche (eGovernment, eDemocracy, etc.) e correlate al mondo del business (ad es., e-commerce, t-commerce, eBanking, etc.) non sono ancora interamente sviluppate anche per la poca sicurezza percepita e/o garantita dalle moderne reti di telecomunicazione. Anche le emergenti tecnologie di broadcasting (ad es. Digital TV) potrebbero essere maggiormente efficaci se potessero sfruttare appieno e in sicurezza i servizi interattivi che coinvolgono transazioni monetarie o scambi di informazioni altamente “sensibili”.
La realizzazione di un elevato grado di sicurezza nelle reti di comunicazione appare ancor più prioritaria quando si voglia far transitare nelle suddette reti informazioni essenziali per il buon funzionamento delle Infrastrutture Critiche, cioè di quelle infrastrutture, quali, ad esempio, i fornitori di energia, i gestori delle ferrovie e dei mezzi di comunicazione di massa e la protezione civile, che gestiscono aspetti altamente critici per il buon funzionamento dell’intera società civile di un Paese.
E’ evidente che per affrontare questi problemi, che attualmente sono tra i più sentiti nel campo della sicurezza delle reti e delle informazioni, è necessario intraprendere efficaci iniziative sia di ordine politico, sia di ordine tecnico.
Il Ministero delle Comunicazioni e, in particolare, l’ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie della Comunicazione) sta svolgendo forti iniziative essenzialmente su due importanti direttrici: la cooperazione internazionale e lo sviluppo di iniziative nazionali miranti a creare un adeguato ambiente sinergico tra tutti gli operatori del settore.
A livello di cooperazione internazionale sono di particolare rilievo le iniziative intraprese con il Governo USA, con il quale sono state riscontrate notevoli “identità di vedute” sul problema della sicurezza ICT e, in particolare, sulla necessità di una sempre crescente e sempre più forte azione di contrasto al terrorismo internazionale, alla cyber-criminalità e alla pedopornografia via Internet. Gli Stati Uniti mostrano un grande interesse verso le politiche che il governo italiano ha adottato e sta adottando per lo sviluppo delle comunicazioni. Gli Stati Uniti sono intenzionati a porre in essere politiche di incentivi per lo sviluppo delle nuove tecnologie, proprio perché, come noi, sono convinti che questo sviluppo non può essere lasciato al solo mercato (perché in questo modo si verrebbero a configurare situazioni di disuguaglianza sociale da divario tecnologico), mentre una politica di incentivi servirebbe a mettere al passo soprattutto le zone più svantaggiate.
Inoltre, è stato stipulato un accordo di cooperazione nel settore della sicurezza delle reti tra il Governo della Repubblica Italiana ed il Governo dello Stato di Israele con lo scopo di sviluppare e migliorare la cooperazione economica, industriale e tecnico-scientifica nel settore della sicurezza delle reti. In particolare, la collaborazione tra i due Governi sarà volta a favorire, da un lato, un proficuo scambio di informazioni sulle linee concettuali, sugli standard e sulle legislazioni applicate nei due Paesi e, dall’altro, gli investimenti, la creazione di società miste, una stretta interazione tra agenzie commerciali e normative. Con l’intento, quindi, di accelerare lo sviluppo nel campo della sicurezza delle reti, i due Paesi hanno concordato e realizzano, laddove possibile, programmi e progetti specifici, in particolare attraverso un Gruppo di lavoro congiunto che, oltre a rappresentare un punto di incontro e discussione, avrà il compito di individuare e definire le attività da intraprendere nonché di esaminare i lavori già in corso.
Un analogo accordo di cooperazione è al vaglio delle autorità russe, cinesi e di alcuni Paesi della fascia maghrebina.
Sempre a livello internazionale, sono stati firmati due protocolli d’intesa tra il Ministero delle Comunicazioni e, rispettivamente, le società IBM Italia e Microsoft, per una cooperazione nell’area della sicurezza delle reti e dei sistemi informativi. I protocolli d’intesa rappresentano un punto di partenza per la collaborazione tra il Ministero e l’industria del settore nell’area della sicurezza informatica. Reti telematiche più sicure, contrasto del crimine, protezione dei minori che navigano sul Web, lotta allo sfruttamento della pornografia infantile, sono alcuni dei temi che vengono ripresi nell’accordo.
E’, inoltre, particolarmente curato il rapporto con i Paesi europei. La decisa volontà del Ministero delle Comunicazioni e dell’ISCOM nell’istituire e nel rendere operativa l’ENISA (European Network and Information Security Agency) sta cominciando a dare risultati concreti e apprezzabili, soprattutto nel campo dell’Information Sharing, che è ormai universalmente riconosciuto come uno degli strumenti più efficaci per ottenere sinergie transnazionali nella realizzazione della sicurezza delle reti. L’ultimo (in ordine temporale) interessante esempio di collaborazione con ENISA è rappresentato dall’organizzazione congiunta ISCOM – Fondazione Ugo Bordoni (FUB) – ENISA del convegno internazionale Network and Information Security: Political and Technical Challenges (Roma, 2-4 novembre 2005). La conferenza ha avuto lo scopo principale di fornire una opportunità ai soggetti politici e ai tecnologi di elevato livello nel settore dell’ICT per scambiarsi informazioni e condividere esperienze, siano esse positive o anche parzialmente negative, in modo tale da applicare anche su scala transnazionale i principi fondamentali degli approcci “try and fail” e “lessons learnt”. Al Convegno hanno partecipato, oltre ad Andrea Pirotti, Executive Director dell’ENISA, che ha presentato l’approccio europeo alle sfide della sicurezza delle reti e a Guido Salerno, Direttore Generale della FUB, che ha portato l’esperienza italiana sulla tematica della sicurezza delle reti e dell’informazione, esponenti di rilievo appartenenti anche a istituzioni e aziende estere, tra cui si vogliono citare la Moscow Govt Certificate Authority, la Santa Sede, il Ministero dei Trasporti e delle Comunicazioni Finlandese, l’Università di Roma, l’Università degli Studi di Milano, la Presidenza del Consiglio dei Ministri, ESA, ITU, ESRAB, CENTR, CLUSIT, SINCERT, ENEA, GovCERT, Sun Microsystems, Ericsson Telecomunicazioni, Microsoft, Symantec, Marconi Communications, Google, Computer Associates Security Technology Strategist, Computer Associates International USA, AIPSI, Alcatel Italia, Rai, Vision Automation Italy, TransTec Services, Enterprise Digital Architects, APASIEL, Telesistemi Ferroviari, ABI Lab, ICAA, CoreStreet USA, Bank Leumi e PineAP
In ambito nazionale l’ISCOM ha intrapreso iniziative nell’ambito CIIP (Critical Information Infrastructure Protection). In particolare, sta realizzando una importante iniziativa nel campo dell’Information Sharing. Ormai da quasi due anni è operativo, con il coordinamento dell’ISCOM, un Gruppo di Lavoro che riunisce più di 80 organizzazioni private e pubbliche. Uno dei compiti principali di questo Gruppo di Lavoro è quello di produrre delle Linee Guida su aspetti specifici riguardanti il rapporto tra sicurezza ICT e sicurezza delle reti TLC. Tali Linee Guida hanno lo scopo di diffondere alle PMI, alle organizzazione private, alla PA e anche all’utente domestico, la cultura della sicurezza ICT, così come deriva dalle esperienze reali delle Organizzazioni che partecipano al Gruppo di Lavoro.
Nel 2004 sono state edite le prime tre Linee Guida, intitolate, rispettivamente, “La sicurezza delle reti nelle infrastrutture critiche”, “La sicurezza delle reti: dall’analisi del rischio alle strategie di protezione” e “la qualità dei servizi nelle reti TLC”, che contiene un’analisi puntuale di due tecnologie, ADSL e GSM. Queste linee Guida sono disponibili nel sito www.iscom.gov.it, ora anche in lingua inglese. Nel 2005 sono in corso di redazione cinque nuove Linee Guida che tratteranno, rispettivamente, di metodologie dell’analisi dei rischi, della certificazione della sicurezza ICT, del rapporto tra sicurezza ICT e outsourcing, di gestione delle emergenze e degli incidenti su scala locale, di qualità del servizio per UMTS e banda larga.
Inoltre, l’ISCOM è l’Organismo di Certificazione per la Sicurezza Informatica (OCSI) che gestisce lo Schema Nazionale per la certificazione della sicurezza ICT dei sistemi e prodotti in accordo con gli standard Common Criteria (ISO 15408) e ITSEC. A questo proposito, l’OCSI sta perseguendo una particolare e innovativa strategia di diffusione della certificazione di sicurezza dei sistemi ICT che, limitando notevolmente i costi e i tempi di certificazione sia pur garantendo un adeguato livello di fiducia, dovrebbe portare a una larga ed efficace diffusione della certificazione di sicurezza sia nel settore pubblico, sia nel settore privato. Sempre nel mondo della certificazione di sicurezza, l’ISCOM da alcuni anni svolge il ruolo di Centro di Valutazione della sicurezza (Ce.Va.) nell’ambito dello Schema Nazionale che si occupa dei dati classificati e gestito dall’ANS (Autorità Nazionale della Sicurezza)
L’ultima iniziativa in ordine temporale che è stata avviata e che promette di avere un grande impatto sul mondo della sicurezza ICT è rappresentata dalla proposta dell’On. Ministro Landolfi fatta al Consiglio dei Ministri per la creazione di una agenzia tecnica sui temi di sicurezza delle reti e dell’informazione a cura del Ministero delle comunicazioni. Tale agenzia potrebbe funzionare da bacino di ricerca e sviluppo al servizio di tutte le infrastrutture critiche nazionali, pubbliche e private, e da punto di contatto per tutte le agenzie e le autorità tecniche competenti in materia, già esistenti in molti altri Stati Europei ed extra Europei, e con ENISA
A conclusione, mi sembra di poter affermare con orgoglio che il Ministero delle Comunicazioni ha saputo esprimere e realizzare efficaci strategie per affrontare il complesso problema della sicurezza delle reti e delle informazioni, sia in ambito internazionale, sia in ambito nazionale, raccogliendo, in particolare, l’apprezzamento convinto delle Aziende italiane e della PA centrale, che partecipano con sempre maggiore convinzione alla realizzazione dei nostri obiettivi strategici.
