Sommario
Esisteva un tempo la nuova costituita Agenzia per la Cybersicurezza Nazionale che aveva il compito di gestire la sicurezza informatica del BelPaese.
L’Agenzia ha avuto il plurititolato Roberto Baldoni come primo direttore. Curriculum eccezionale nell’ambito accademico e di intelligence, ma l’imprinting fornito all’Ente è stato subito chiaro sulla carenza di sovranità digitale e sul tutelare a tutti i costi l’immagine dell’ACN preservandone lo storytelling.
Propaganda Cyber
I primi passi di Baldoni sono stati entusiasmanti grazie a una echo room su un social professionale come LinkedIn, dove all’Agenzia forse si è pensato di creare una cintura di protezione attorno al professore per metterlo al riparo dalle critiche di un tessuto lavorativo molto scettico sulle premesse e sulle promesse.
Una strategia sbagliata che ha creato una frizione tra ACN e settore IT tanto forte da costringere l’agenzia a far chiudere i commenti sotto ai propri post. Nel frattempo, il lavoro attorno a Baldoni ha rafforzato una echo sui maggiori media che ha creato una strategia per sminuire eventuali falle iniziata all’indomani dei primi assalti cibernetici russi al paese.
Non è un caso che l’unica arma possibile è stata quella di sminuire le fonti che anticipavano un grande fallimento di proporzioni enormi nell’organizzazione di una struttura fin troppo accademica, politicizzata e poco operativa. Giornalisti che raccontavano gli attacchi di Killnet e NoName, e le relative pecche del sistema di difesa cibernetico italiano, bollati come propagandisti, attaccati da una filosofia che ha trovato un appoggio sulle tv nazionali con tanto di foto segnaletiche di Striscia la Notizia.
Un altro caso è stato quello dell’allarme procurato ad un intero paese con la notizia della vulnerabilità VMWare che in realtà ha interessato sì e no una cinquantina di dispositivi nel perimetro cibernetico italiano, di cui molti locati sulle stesse macchine. La stessa logica che difendeva un Baldoni traballante ha provato a diffondere un allarme generale tanto da doverne preservare la poltrona oramai colma di passi falsi.
Fine della Prima Repubblica dell’Agenzia Cybersicurezza Nazionale
Baldoni è stato silurato dal Governo dopo che gli stessi siti istituzionali sono caduti più volte sotto quelli che la stampa definiva attacchi DDOS “giocattolo” da parte dei propagandisti russi. A dimostrazione dell’interesse incessante della dirigenza della cybersecurity del Paese al mondo dell’informazione è, secondo fonti dall’interno della stessa Agenzia, una simpatia verso un organo di stampa in particolare. Come il caso di una editorialista di un pool editoriale che ha premiato un progetto di un ex giornalista del gruppo con milioni di euro grazie ad un bando di Google Italia con la presenza “onoraria” del Commissario Nunzia Ciardi che i nostalgici di Baldoni hanno proposto a Capo dell’Agenzia dopo la caduta del prof. e, se fosse accaduto, nessuno si sarebbe stupito visti gli encomiabili trascorsi professionali della stessa Commissaria di Polizia.
Questa partecipazione pubblico privato si è annusata anche sulla polemica del piano strategico nazionale che sembrerebbe essere stato redatto negli uffici di Accenture, così come Matrice Digitale ha ravvisato la presenza di servizi ACN all’interno del perimetro cibernetico USA con cui Baldoni ha stretto protocolli d’intesa con la stessa Microsoft su cui tali servizi poggiano. Sempre Matrice Digitale ha ravvisato la necessità di estendere il perimetro cibernetico a fornitori di terze parti della PA, nonostante ci fosse diffidenza su questa soluzione. Per fortuna che poi si sia seguita la strategia alla lettera con competenza e buonsenso.
La venuta di Frattasi ed il cambio di rotta
Accolto con freddezza, il prefetto Bruno Frattasi, ha dato una connotazione diversa all’Agenzia per la Cybersicurezza Nazionale fornendo maggiore imprinting Istituzionale e mostrando in giro di più le competenze come il colonnello Berruti e l’ammiraglio Billet. Dal punto di vista della comunicazione, lascia fiduciosi la comparsa di una mail dedicata alla Stampa (finito il tempo delle amicizie pro domo sua?) ed alla promozione delle attività dell’Agenzia.
Il CSIRT diventa più reattivo
Nonostante la narrazione di un centro di risposte alle minacce informatiche che ci salva dalle più grandi sciagure del paese, da quando c’è Frattasi il CSIRT dell’ACN riesce a comunicare in anticipo molte delle criticità da tenere sott’occhio con aggiornamenti software o tecniche di mitigazione. Quello a cui dovrebbe ambire in futuro è l’anticipare vulnerabilità spesso scopiazzate dalla CISA statunitense, mostrando una maggiore iniziativa tecnica e capacità di pentesting che fino ad oggi non l’ha reso fonte primaria di notizia nel panorama mondiale delle vulnerabilità informatiche. L’equivalente del CSIRT in casa AGID sembrerebbe funzionare meglio con report settimanali sulle minacce per gli utenti ed i relativi strumenti utilizzati dai criminali.
Apparenza?
Chissà, il 2024 dovrà fornirci qualche spunto in più di valutazione, ma nel frattempo l’apparente poca attenzione ed i silenzi sull’Ente sono dovuti dalle assunzioni a tempo indeterminato che nei prossimi anni riempiranno la carenza numerica di personale qualificato nel campo della cybersecurity su cui già poggiano le attenzioni di trasferimenti tra PA. In molti provengono dalla Polizia di Stato, ma sarebbe curioso sapere se in futuro c’è margine di assunzione per un eventuale pool di addetti stampa e comunicatori.
Come vivrà l’Agenzia Cybersicurezza Nazionale?
La domanda di tutte le domande da porsi potrebbe essere su come l’Agenzia Cybersicurezza Nazionale riuscirà a resistere e sopravvivere dopo i fondi del PNNR e cosa resterà dell’enorme quantità di soldi stanziati per Protocolli d’Intesa, capitale umano formato secondo una filosofia da multinazionali, e non gioverebbe alle eccellenze accademiche italiane, che, secondo una linea di pensiero ampiamente rappresentata, lasceranno poco o nulla di infrastruttura fisica proprietaria ed ancor meno a nuove competenze che altri potrebbero invidiarci.
Ci vuole più coraggio
Poggiando l’orecchio a terra nel settore IT, l’ACN sembra tutto fuorché una struttura made in Italy. Poco coraggio, poco coinvolgimento di personale qualificato e quello che dovrebbe essere assunto nei prossimi anni non sembra nemmeno il migliore presente in un mercato cannibalizzato da grandi realtà, nella maggior parte straniere, che offrono compensi migliori. Proprio in occasione di una segnalazione al CSIRT avvenuta qualche mese fa, il malcapitato ricercatore autonomo che aveva “osato” segnalare una vulnerabilità all’Ente, si è trovato una risposta intimidatoria perchè quanto scoperto risultava passibile per legge. In realtà un modo per avvicinare gli esperti potrebbe essere proprio l’istituzione di un bug bounty che possa attrarre nel tempo libero anche soggetti validi che non hanno convenienza nel dipendere da ACN e questo potrebbe portare beneficio nell’assorbire eventuali skill di attacco con il fine di trovare strategie di mitigazione delle minacce. L’impressione dell’occasione persa la da anche il fatto che sino ad oggi, l’Agenzia Nazionale per la Cybersicurezza del paese sia più impegnata a spendere i tanti soldi a disposizione e meno a farlo con coraggio intraprendendo scelte discutibili, ma allo stesso tempo innovative e questo nel medio lungo periodo può rappresentare un rischio per la qualità di spesa attuale. Anche il cloud nazionale ha subito una crisi d’identità se consideriamo l’ultima notizia di Westpole ed il mistero dei dati criptati dalla ransomware gang Lockbit peraltro su una infrastruttura italiana, ma di una società con sede all’estero.
