Cybersecurity, la nuova sfida delle utility

Taider attacchi lo vediamo all'IVA lo mondiale lo vediamo a livello geopolitico ma questo pericolo
Potrebbe riguardare anche nel mondo delle utility
Abbiamo visto a settembre del due mila ventidue l'eclatante attacco al gasdotto Nord Stream questo sia portato diciamo in una realtà veramente che ha conseguenze sulle nostre sulle nostre vite
Chiamo il dottore moderno per i saluti di benvenuto
Grazie
O sarò breve perché accusato ampiamente rimproverato redarguito sui tempi del sequestro cercano di di di rispettarli assolutamente voglio evidenziare un aspetto soltanto intanto come scuole di perfezionamento di una scuola di eccellenza per quello che attiene la formazione di tutti i corpi e Apple forze di polizia Polizia di Stato gamma dei carabinieri
Guardia di Finanza Polizia penitenziaria
è sicuramente questa la casa dove si possono approfondire questi temi così importanti per la sopravvivenza del sistema Paese siamo felicissimi di aspettare il signor ministro che saluto sia presenterà Tarcisio presidente della di utilitaria per questa opportunità che ci danno per seguire questo corso e soprattutto per fornire il nostro contributo
Per progredire nella nella nella e il progresso in tutto ciò che può essere utile per tra il nostro Paese quindi vi diamo il benvenuto siamo completamente a vostra disposizione felicissimi di ospitarli buona giornata e buone i lavori
Occorre allora chiamo sul palco per l'azione di prezzi dente Dal Fabbro
Do anche una comunicazione di servizio a chi avrà le slide usare soltanto le frecce
Le frecce
Allora è stato buongiorno a tutti a tutti grazie dell'ospitalità che c'è stata offerta diciamolo l'ottica di oggi e cercare di mettere sempre più in comunicazione d'impresa il mondo imprese con le istituzioni in questo contesto utilitaria vuole fare da promotore vivo un dialogo ma anche poi di una fattiva collaborazione tecnica e tecnologica talora diciamo oggi parliamo di sicurezza delle in prese mai come oggi noi ci troviamo di fronte a affrontare una minaccia importante quella
Dei rischi invisibilità la Cyber Security
Abbiamo sempre posto come priorità la parte Faema centro negli ultimi anni ma non abbiamo visto invece all'orizzonte questa grossa minaccia sulla cyber security
Le nostre imprese sono interconnesse usano detti all'eccidio gli attuatori ed usa attori ai trasformatori tutte apparecchiature super connesse sia in termini di circuito aperto che circuito chiuso quindi super penetrarvi
In questo contesto nuove siamo esposti a diciamo fenomeni chissà per attaccare
Fenomeni che a volte riusciamo a vedere molto spesso neanche ci accorgiamo a volte veniamo ospitati da elementi alieni che rimangono residenti per anni e poi quando serve vengono attivati quindi diciamo il nostro sistema oggi a subito attacchi subisce attacchi ma soprattutto è ospitato da dai Doors virus silenzi non silenti che rimangono lì inattesa di operare quando serve in questo contesto in questo contesto io su diciamo compresenti utilitarie mi sono fatto promotore di questa iniziativa che la prima ma sarà periodica
Di dialogo tra istituzioni e impresa sul tema di come rinforzare il sistema
Ora guardiamo un po'i dati perché i dati poi i numeri parlano chiaro no abbiamo nel due mila e ventiquattro a livello globale un aumento del ventisette virgola quattro per cento degli attacchi sarebbero solo in Italia nel due mila ventiquattro rispetto al ventitré un più quindici virgola due per cento
E solo nel primo semestre due mila venticinque più tredici per cento quindi sostanzialmente nel primo semestre abbiamo eguagliato quello che era la crescita degli attacchi nel due mila ventiquattro quindi
Il trend è in crescita
Ora quando si parla qui poi abbiamo grandi esperti a cui poi lascerò la parola quando si parla di attacchi cyber bisogna capire anche chi ci contatta che stiamo parlando
Ci sono attacchi operati Perera Ransom quindi per chiedere il riscatto ci sono attacchi operati da attivisti che la pensano in maniera diversa da in paese quindi attaccano per questioni ideologiche e poi ci sono attacchi più o meno velati più o meno visibili distanti
Su altri stati o di gruppi di interesse su diciamo impresa
E qui ovviamente si apre il capitolo della guerra russo ucraina delle azioni più o meno visibili che sono state operate in alcuni teatri su alcuni assenti
Dall'Inghilterra a alla Spagna e l'Italia
Molti dei quali neanche conosciamo esattamente gli affetti
Ora nel rapporto Cluzet due mila ventiquattro nove abbiamo visto che solo per l'Italia
Abbiamo avuto un incremento diciamo del dieci per cento sui dati globale cioè di cento attacchi dieci sono stati operati in assetti italiani
L'ottanta per cento di queste classificato come critico grave quindi diciamo attacchi questo dieci per cento globale
L'ottanta per cento classificato come grave quindi ci sia siamo di fronte a una situazione seria ok non voglio drammatizzare ma sicuramente
Il sistema
è esposto ad attacchi e noi rappresentiamo il dieci per cento di questo diciamo cento per cento
Nell'ultimo anno il quaranta per cento di questi incidenti ad altissima gravità quindi stiamo parlando di numeri importanti numeri importanti che diciamo vengono espressi molto bene nel settore del le energie dei pentiti quindi siamo parlando in questo caso stiamo concentrando la nostra attenzione
Su acqua
Energia per gente andiamo
Distribuzione di energia elettrica trasmissione di energia elettrica e distribuzione dell'acqua pensate quanto critico diciamo è questo settore pensiamo quanto possa essere critico adesso parliamo più o meno a porte chiuse ma
Modificare il dosaggio del cloro nella depurazione
Lo switch quindi la chiusura di un filtro in un grande impianto invaso di una grande città italiana pensiamo a quante tecnologie oggi attuano queste attività non ogni secondo solo per ciò che concerne l'acqua ci sono miliardi di segnali che chiudono e aprono valvole
Pensate chiudere una valvola o due valvole nel senso inverso di quello che è necessario e pensate che tutti noi beviamo l'acqua tra Palermo Roma e Milano e cosa significa questo ok
Ora senza fare allarmismi dobbiamo essere pronti e dobbiamo e incrementare la nostra capacità di uno monitoraggio temporis udienza primo semestre due mila venticinque abbiamo subito centosei attacchi nei comparti emerge Utility almeno questi sono quelli che noi abbiamo monitorato
Quelli poi reali sono probabilmente maggiori e diciamo non gli attacchi ma i tentativi di mettere come residente dentro i nostri sistemi
Apparati che possono in qualche modo influenzare l'operatività dei nostri assenti sono addirittura sconosciuti un incremento di centoquarantasei per cento rispetto al periodo due mila ventiquattro
Cosa significa questo stiamo rilevando un grosso incremento degli attacchi almeno quelli visibili quell'invisibile non sappiamo
Prevediamo un più ventuno per cento entro la fine dell'anno rispetto al ventiquattro quindi incrementi di attacchi ora
Questi dati
Ci dicono che cosa ci dicono che occorre fare una serie di attività e una se gli investimenti per aumentare la capacità di monitoraggio
E di intervento velisti diciamo degli attacchi
Nel due mila e ventiquattro abbiamo già come utilitaria aumentarla molto gli investimenti seicentosettanta milioni su tutto ciò che è stata Security ok
è il lo zero novantaquattro per cento del nostro fatturato quindi non siamo uno dei settori in Italia
Che investe di più
Ma ora noi dobbiamo pensare che in le nostre grandi Utility o piccole utility hanno invece investito quasi più di mezzo miliardo di euro nel due mila ventiquattro nel due mila venticinque questo numero è in fortissimo incremento ma non siamo in prese le Utility che hanno la capacità di investire ma il bel buone economico italiano e fatto da piccole e medie imprese e la domanda è come riusciamo a creare un ecosistema difendibile perché vedete
Le nostre grandi o medie imprese dipendono anche della piccola media impresa che non ha la capacità di una grande Utility di difendersi ok perché le grandi utili italiane hanno apparati di difesa sofisticati
Ma già se andiamo in sistemi acquedottistici di distribuzione dell'acqua o del gas provinciali e regionali e magari
Di controllo pubblico
E lì la difesa e la capacità è minore così come tutto l'ecosistema dei nostri fornitori quindi dovremo porci strategicamente nel futuro
Un ragionamento di questo tipo noi dobbiamo creare così come è stato fatto per gli ex DC un ecosistema di soldi fornitori sostenibili
Perché ci siamo riempiti la bocca in questi anni di ambiente io sono un grande sostenitore dell'ambiente ma abbiamo pensato meno e rischi cibernetici
Dobbiamo cominciare a ragionare come ecosistemi anche di ecosistemi di fornitura Cyber Security proof capaci di sostenere ondate di attacchi attacchi sempre più evoluti che intelligenza artificiale genererà
Perché mentre prima per creare
Attacchi occorreva comunque un certo tipo di investimenti oggi mi spiegano gli specialisti io non lo sono che con intelligenza artificiale
Il Time to market tra virgolette di un attacco il costo di un attacco si riduce sensibilmente anche di mille volte
Il che significa che mentre ieri per produrre Stax netta
Diciamo i due Paesi che hanno lavorato al progetto hanno investito decine di milioni di euro tra gli Stati Uniti ripete la virgola
è per produrre Stax di domani mi dicono che accorrono meno di mezzo milione
è un esempio che mi dicono gli Esperti ma questo ci fa capire che eventuali attacchi potranno avere un costo contatto un Time to market più veloce
Più permanente più invasivo e quindi nel cosa facciamo in tutto questo contesto
Chi è che può in Italia cominciare a creare ecosistemi più forti le utility e le grandi imprese ed è questo il senso di responsabilità che ci spinge a discutere con le istituzioni oggi il senso di responsabilità sappiamo che abbiamo una responsabilità come impresa
Ce le vogliamo prendere e vogliamo lavorare con le istituzioni a braccetto per creare un ecosistema italiano di piccole medie e grandi imprese
Che può essere residente agli attacchi che arriveranno probabilmente stanno già arrivando e come vedete numeri purtroppo si stanno anche tentando
Pensate che sull'acqua abbiamo stimato che ci vorranno investimenti per quaranta cinquanta milioni l'anno
Per un primo periodo ma non basteranno nel lungo periodo quindi il settore un po'più
In questo momento indifeso lo dico diciamo sottovoce con prudenza
Non è tanto l'NRG ma soprattutto l'acqua quindi sull'acqua dovremo fare attenzione e qui quando parlo di acqua non parlo delle grandi impresa perché le grandi imprese hanno dei sistemi molto residenti o più rese gli enti io mi sto preoccupando delle piccole e medie imprese sul territorio
Penso al centro sud rispetto al Nord e al centro sud abbiamo delle realtà sicuramente come dire sensibili e che potrebbero essere più facilmente aggredibili
Non faccio riferimenti ma recentemente faccio un esempio perché così tutti quanti siamo allineati
C'è stato due o tre anni fa un tentativo di attacco in un acquedotto del sud ok e non si è molto capito come mai questo attacco è stato perpetuato in questo acquedotto poi investigando investigando e parlando con esperti istituzionali di cui lo farò il nome
E si è scoperto che questi attacchi in realtà servivano a una potenza straniera per studiare bene la tecnologia di quell'acquedotto perché perché qui l'acquedotto in un paese diciamo della Sicilia aveva la stessa tecnologia soprattutto cibernetica che veniva utilizzata a Parigi
Questo attacco venne perpetuato qualche mese prima delle Olimpiadi di Parigi
Studiando l'acquedotto siciliano si potevano capire
Alcune con diciamo caratteristiche cibernetiche dell'acquedotto parigino
Ecco questo è un esempio per dire che i problemi poi sono interconnessi sono tutti e si legano tutti quanti noi dobbiamo garantire che l'ecosistema italiano sia residente
Ora vediamo un po'come noi riteniamo o occorra affrontare il tema allora la prima cosa
Un approccio integrato le stiamo lavorando sulla parte sai per sua parte fisica sulla cooperazione
E le grandi imprese sta lavorando molto bene per esempio con l'agenzia sarebbero che ringrazio perché devo dire ci sta dando una grande male di Indirizzo e anche con un un fare è un approccio costruttivo non burocratico quindi è veramente per noi voglio fare un plauso questa agenzia
Perché si pone diciamo una posizione utile di collaborazione come noi imprese chiediamo alle istituzioni di fare quindi non come posso dire punitiva ma costruttive formativa quindi veramente un vero plauso dopodiché dobbiamo coordinarci con le istituzioni le istituzioni hanno informazioni hanno tecnologie hanno come dire quello out che a noi manca
A noi mancano molte molte diciamo capacità di difesa degli assetti che le istituzioni hanno sviluppato per questioni anche di difesa nazionale di Intelligence e quindi una maggiore collaborazione con con le istituzioni per noi essenziale come realizzare queste questa collaborazione beh dobbiamo costruirla oggi è un modo per discuterla per confrontarci ma sicuramente più tavoli di lavoro
Anche su cose concrete avviene un attacco in un Paese cerchiamo esiliarlo insieme vediamo come noi italiani possiamo migliorare da quell'attacco fare dei diciamo ragionamenti per costruire come dire capacità di difesa
Dopo di che il tema della mitigazione e l'aumento degli investimenti non dobbiamo prevedere e qui dovremo lavorare anche con l'Autorità per l'energia elettrica e il gas esso attendiamo ministro che venga nominata la nuova la nuova di diciamo il nuovo Kim dirigenziale dell'autorità anche su questo così come pensare di a vere nella tariffa una parte di sovvenzione sul miglioramento dell'efficienza energetica da trasmissione idrica anche pensare di prevedere alcuni investimenti sua parte cibernetica maggiori qui quindi capiti capire come in tariffa presento soltanto nell'acqua
Poter aiutare le piccole e medie imprese dell'acqua perché ripeto sulle grandi siamo meno preoccupati
Ma i sistemi acquedottistici
Diciamo del centro sud hanno bisogno di investimenti massivi se non li aiutiamo in tariffa io ritengo che da soli non ce la faranno allora lì capire insieme come aiutare il sistema a supportare Investimenti
E poi l'altra cosa ci mancano le risorse
Perché mentre parliamo e parliamo di investimenti e diciamo ci vogliono più investimenti non è solo una questione di comprare nuovi software non è una questione di sviluppare nuove software ma abbiamo bisogno anche giovani uomini e donne che possano lavorare su questa cosa e noi presentano grandi difficoltà a trovarli
Le università non producono tra virgolette abbastanza risorse per le esigenze ce ne diffidiamo
A suon di Offerta dobbiamo e qui istituzioni università impresa devono lavorare devono cominciare a lavorare maggiormente insieme per creare i presupposti per trovare nuove opportunità di creazione di diciamo nuove risorse competenti in questo contesto sarà molto importante anche istituire delle priorità
Per esempio ci servono più Esperti nell'intelligenza artificiale del machine learning nel quantum computing
Dobbiamo cominciare a lavorare anche su questi temi anche con diciamo pensando un po'in grande
Sulla crittografia Quantica quanto le Utility possono investire dovevano investire
Ricordo che mentre noi parliamo di crittografia normale
I cinesi tre settimane fa hanno trasmesso dati attraverso diciamo la fisica quantistica senza interconnessione ma con una diciamo trasmissione Quantica attraverso l'ente che appunta Clemente ecco le cose stanno andando avanti la tipologia stava andando avanti
Da soli non riusciamo come utili ma insieme restituzione all'onestà possiamo farcela quindi oggi è l'obiettivo è quello di discutere insieme delle priorità abbiamo Esperti che possono darci la il loro punto di vista e io auspico che questo sia solo l'inizio di un ragionamento e di un percorso insieme
Dove siamo sostenitori come utilitaria di una fortissima collaborazione con le istituzioni ciascuno con il proprio ovviamente ruoli compiti oneri e onori ma noi in utilitarie di utilitaria ci siamo e siamo ovviamente disposti a fare anche investimenti maggiori per poter aumentare la resilienza cibernetica del paese grazie
Vediamo se
Per la prima famosa
Mentre ho trovato molto interessante tutto ma in particolare riferimento alla formazione cioè ci dobbiamo attrezzare ma ci deve sentire una serie le competenze all'interno delle utility per poi portare avanti la difesa
C'è una parola che lei ha citato che egli SG i SG come i rischi allora mi ha colpito un fatto a maggio è un ex sta il gestore delle Borse paneuropea ha lanciato il degli indici azionari declinati su una nuova definizione Dsg quindi non più i vari in Parlamento sociale governance ma NRG Security e geostrategico
C'è quindi un cambio
Si sta passando dall'urgenza del cane ma centra anche all'urgenza della sicurezza energetica e in particolar modo della cyber sicurezza ecco si stanno rivedendo le priorità
Penso proprio di sì nel senso che diciamo dopo un po'la sbornia
Di una Unione europea che pensava solo a diciamo l'ambiente e con questo abbiamo sostanzialmente ucciso l'industria dell'auto del motore fossile a favore diciamo dell'industria della batterie
Elettrica cinesi adesso stiamo ripensando un po'al fatto che occorre come sempre un giusto compromesso tra tre fattori competitività sicurezza e ambiente che ovviamente va preservato
In questo contesto noi viviamo in un mondo diverso ci sono corti ci siamo svegliati con la guerra russo ucraina che il mondo era diverso che i diciamo i nostri alleati in qualche modo si sono lì quei fatti
E come diceva Tucidide viviamo in un mondo diverso dove i forti prendono quello che vogliono i deboli soffrono quello che devono
E vogliamo essere forti o deboli
Io sono personalmente sostenitore come usa in tutta Italia di una politica industriale assertiva che non significa offensiva dobbiamo difendere i nostri interessi italiani europea in questo contesto il tema della geostrategico del diciamo del mondo finanziario è perché hanno capito
Che che il mondo economico e sostenere insostenibile nella misura in cui si fanno politiche industriali sostenibili che non significa però solo l'ambiente anche l'ambiente ma anche la competitività
Noi dobbiamo garantire comunque l'Italia la bolletta più leggera possibile agli italiani e le nostre prese l'acqua ovviamente al costo minore ma anche sicura oggi pagano i cyber security
Occorreranno miliardi di euro non milioni di euro brasati Security avremo bisogno gli Hardy di euro ma perché perché come dire non c'è energie non c'è acqua
E se non c'è sicurezza cibernetica quindi il tutto si tiene e quindi fanno bene a cambiare il concetto di SG mettendoci questa nuova diciamo accezione geopolitica viviamo in un contesto interconnesso siamo in un liquido amniotico cibernetico
Dove quello che fanno a San Pietroburgo
In ufficio
Nella perfida di San Pietroburgo potrebbe impattare un spicce
In un acquedotto per esempio a Palermo e quindi dobbiamo fare in modo che questo non avvenga e parlo di San Pietroburgo ma potrebbe anche essere più vicino l'attacco
Perché poi i nostri amici i nostri nemici sono nell'etere quindi non sappiamo bene da dove arrivino gli attacchi dobbiamo essere protetti dobbiamo investire noi italiani abbiamo grandi capacità
In questa sala
Ci sono persone che hanno diciamo lavorato già da venti trent'anni al tema abbiamo inventato anche un nostro modo di fare hackeraggio sociale adesso vedo che sorride la persona non ha menzionato ma è uno di quelli che ha per primo ideato il cosiddetto spaghetti Hacking
Abbiamo grandi competenze abbiamo sviluppato gran abbiamo università capaci che abbiamo in matematica e fisici in questo contesto quindi non ci manca nulla
Bisogna focalizzare il problema e e miti Carlo in maniera ragionevole le istituzioni sono essenziale in questo però c'è un dialogo senza le istituzioni
è un dialogo zoppo
Un'ultima domanda abbiamo visto che le utility si stanno a vario modo attrezzando lei ha parlato di un settore o leggermente più scoperto che quello dell'acqua però comunque soprattutto per quanto riguarda le PMI che cosa può fare concretamente utili Italia
Per per aiutarle
Ma direi Publitalia un abilitatore diciamo noi abbiamo la capacità muovendo praticamente il sette per cento del PIL nazionale perché si parla molto di Confindustria ma come utili Italia non abbiamo nulla da invidiare in termini di potenza sia di capace di investimenti che di competenza quello di non fare cominciare a focalizzare le priorità
Concentrare i nostri associati a investire in queste priorità magari facendo insieme sinergie perché se possiamo risparmiare anche del denaro ebbene farlo insieme a le istituzioni fanno insieme all'università quindi utilitaria è un abitatore essenziale senza utilitaria ragionamenti come questi non potrebbero tenersi perché purtroppo il tema della cyber security è un tema così complesso che non è che un attore o due attori riescono a risolvere il problema occorre trovare dei come posso dire degli ecosistemi in cui ci si scambia informazioni l'attacco che può essere diciamo portato a uno dei nostri assetti in realtà può essere importante perché studiato può evitare ulteriori attacchi ad altri assetti per questo che la trasmissione delle informazioni l'agenzia essenziale
I ministeri dell'Inter e della difesa sono essenziali anche le nuove politiche di Saddam della difesa
Noi parliamo molto di diciamo concetti difensivi di cyber ma mi insegnano gli e Sperti che non c'è difesa senza la possibilità offensiva altri Paesi hanno nelle loro dottrine militari difesa Seaside
La dottrina anche offensiva so che si stanno facendo ridere istituzione istituzionale ragionamenti su come modificare la legge per fare in modo che anche i nostri nostre capacità in ossia Setti possano essere indifesa degli aggressori sempre
Compatibilmente con le regole etiche ecco tutto questo va tenuto insieme e noi dobbiamo con utilità di essere parte di questa discussione uno perché abbiamo i soldi due perché abbiamo l'esigenza e dobbiamo garantire un sì un servizio pubblico l'acqua ed energia e il gas devono continuare a fruire dei nostri tubi dei nostri cari e per farlo occorre mettere tutto in sicurezza grazie
Cosa propone no no preferisco vediamo vocali funziona grazie allora entriamo più nella nel concreto nel chiamando ai partner di Price Waterhouse Coopers l'ingegner D'Agostino buongiorno e benvenuto all'avvocato Lenzi
Un primo un primo argomento per all'ingegner D'Agostino Buongiorno qua c'è
Grande successo grazie allora che cosa sta accadendo al mondo degli enti lirici sono quante minacce quali minacce ci sono undici
Buongiorno a tutti grazie presidente grazie dell'Italia per questo opportunità come anticipato io sono Giuseppe D'Agostino sono un ingegnere delle telecomunicazioni
Sono anche socio di più avvisi
Pia Bisio network internazionale con oltre trecentosettanta mila professionisti in tutto il mondo sono presenti circa centocinquanta Paesi
In Italia i professionisti sono nove mila sono distribuiti su venticinque città eroghiamo servizi multidisciplinare le imprese quindi dalla revisione contabile alla consulenza organizzativa
Tecnologica fiscale e legale
Attraverso la nostra presenza sul sul campo quindi oggi abbiamo circa duecentottanta professionisti che si occupano di Cyber Security
In Italia molti dei quali impiegati proprio nel settore Utility e attraverso anche alcune nostre sarda e quindi abbiamo riportato a una la nostra digital trust senza alzar dei c'è il link anche che vi invito a consultare e scaricare il report gratuitamente
Abbiamo un po'insomma il nostro punto di osservazione sul sul settore i temi sono quelli che ha già anticipato il presidente per il settore dell'entità e caratterizzato da una fortissima digitalizzazione da una convergenza sempre più spinta del mondo ittico nel mondo delle operation
Technology c'è l'adozione del cloud anche modalità ibrida c'è una forte dipendenza dai fornitori esterni una carenza strutturale di competenze
Il settore caratterizzato da sistemi lega simili sistemi obsoleti
E c'è una pressione che diciamo normativa peggio politica rilevante questo comporta un terreno fertile terra gli attaccanti quindi perché vuole utilizzare il dominio cyber a proprio vantaggio
è importante categorizzare questi questi attaccanti quindi sicuramente in questo settore come in quasi tutti i settori
Industriali io gli operatori gli attori cattivi sono le organizzazioni criminali quindi pensate a gruppi bello strutturati con un profitto e l'osso
Che hanno come obiettivo quello di avere un ritorno economico da queste operazioni cercano di minimizzare gli investimenti anche il presidente ha parlato di risorse in gioco
Ingenti l'utilizzo delle chiavi in questo caso va a nostro sfavore perché ha abbassato molto i costi
Abbassato anche le barriere d'ingresso per queste attaccati per per l'esecuzione di questo tipo di attacchi sviluppo di malware attraverso e Iaia utilizzo di tecnologia di sei che per fare attacchi di social
E engineering questo punto con l'obiettivo di ottenere un vantaggio economico lo strumento principale è quello del Ransom verrà quindi questi malware che vengono iniettati all'interno delle reti e dei sistemi cifra nei sistemi e poi viene chiesto un un riscatto
Come detto loro agiscono cercando di ridurre
Comunque i propri costi sfruttando tipicamente vulnerabilità Note
Sicuramente un discorso diverso riguarda gli attacchi di gruppi sponsorizzati da Stati e nazioni cosiddetti a Pitti a Pitti sta per Advanced persistente Fares
Che invece sono più sofisticati addirittura sfruttano vulnerabilità non note e cercano una presenza persistente sui sistemi questo per arraffare attività principalmente di spionaggio quindi sia di proprietà intellettuale sia di dati Consumer ma anche potenzialmente azioni di di sabotaggio e riguarda quindi tutte le imprese soprattutto il settore Utility in quanto infrastrutture critiche nazionali
Nel nostro territorio sono presenti e molto attivi anche gli attivisti
Quindi gruppi che usano il dominio cyber per propaganda ideologica in questo caso gli attacchi sono quelli di attacchi distribuiti penare interruzioni del servizio piuttosto che campani disinformazione
Ultimo ma non per importanza gli insider prima dell'avvento delle organizzazioni criminali erano i dipendenti interni a creare i maggiori problemi maggiori danni per le organizzazioni sono tuttora una minaccia
Sono quindi dipendenti o collaboratori che hanno accesso lecito al dato materne fanno un utilizzo improprio per vantaggio personale quindi fra l'interno esitazioni di dati abuso di privilegi
Come già anticipato una delle principali sfide perde il settore è quello di rendere sicuro il mondo industriale quindi il mondo delle Operational tecnologica dell'industrial
Aiuti il primo punto comune a tutti i nostri clienti quello della carenza delle risorse e delle competenze per integrare gli aspetti di sicurezza all'interno del mondo industriale
Oggi si tende a prendere degli specialisti di Security a integrare delle competenze ottimi
Abbiamo visto che sarebbe molto più opportuno invece lavorare già a livello accademico nella sviluppare delle forti competenze in ambito industriale in ambito ti e poi invece innestare successivamente i principi di Security che comunque sono comuni
Va a Bari a vari settori a Bari industria
Un altro tema molto rilevante è quello della mancata consapevolezza dei rischi a qui esposto alla propria organizzazione sebbene ci siano gli standard degli strumenti e metodologie ancora si fa fatica ad approcciare in modo strutturato
Una analisi è una comunicazione del rischio all'interno di queste organizzazioni che fa il paio anche con molto spesso una mancata Chiara accountability in termini di chi si deve occupare di indirizzare le tematiche di sicurezza che sono spesso un'area grigia tra chi si occupa di sistemi informativi e chi si occupa di Operation gli altri due punti sono riguardano la visibilità
La manco mancati finanziamenti Investimenti commitment che comunque un tema comune anche all'ambito IT quindi non soltanto Del Tenno attenuate morti nota positiva per la parte Utility è che rispetto altri settori industriali italiani tipo Manufacturing si è già partiti sulla segmentazione delle reti quindi sulla prendere
Diciamo se separare a sia a livello fisico sia a livello logico Mereghetti decreti valere tutti quindi di sistemi di controllo industriale
Al tema di acque di competenza in tema noto lo ha citato anche il presidente cosa si sta facendo cosa hanno in mente di fare le organizzazioni per rispondere a questo gap di competenze sicuramente spinta su automazione e introduzione di intelligenza artificiale
Lei ai non è un tema nuovo per la cyber security moltissime organizzazioni moltissime soluzioni di sicurezza tecnologia già adottati
Su tanti clienti da tanti anni hanno l'intelligenza artificiale embedded nella machine learning
Che ormai una tecnologia molto matura per quanto riguarda la Cyber Security
Quello che sta cambiato che cambierà sicuramente l'introduzione della parte generativa della parte agenti tre quindi si stimano un miliardo duecento mila agenti tra qualche anno dedicati alla protezione dei sistemi questo può essere un aiuto che può colmare la mancanza di competenze e di risorse in questo ambito
Si sta continuando comunque a fare assunzioni nel nel modo tradizionale un altro tema molto interessante dal mio punto di vista anche per il nostro territorio è il tema della razionalizzazione e dei e del consolidamento delle soluzioni di sicurezza
Oggi molte organizzazioni tendono a scegliere
Desto subito quindi risoluzioni in alto a destra dei quadranti
Diversificando morto anche le tecnologie adottate all'interno di una stessa azienda che richiede diverse competenze richiede un costo d'integrazione ci sono delle piattaforme tecnologiche di cui uccido
I nomi ma che sono molto note sul mercato che invece consentono cosiddetto one stop shop quindi un'unica soluzione che copre praticamente tutti i domini della Security nativamente integrate che sicuramente più semplice
Anche da sono più semplici da gestire da manutenere e quindi richiedono delle competenze
Minori per quanto riguarda incidenti esperienza che qui è molto velocemente il trentacinque per cento dei nostri clienti intervistati ha dichiarato
Di non aver subìto incidenti ma il trenta per cento di quelli che ha subito incidenti invece ha avuto un impatto economico maggiore di cinquecento mila dollari
Gli investimenti sono in aumento l'ottanta per cento delle aziende dichiara un aumento degli investimenti quello che però il Comune sicuramente al nostro territorio e ancora un approccio molto reattivo si tende a investire dopo aver avuto un incidente dopo aver avuto una un episodio significativo di sicurezza
Con investimenti che a volte sono maggiori e meno efficaci invece di un investimento proattivo che soltanto il trentuno per cento
Dei nostri intervistati dichiara di approcciare in modo significa né significativamente maggiore rispetto a investimenti reattivi cosa intendiamo con investimenti proattivi intendiamo
Al monitoraggio delle reti teste di sicurezza Governance analisi dei rischi tutto quello che può ridurre risulti il rischio che avvenga un incidente sicuramente per l'MD imprese italiane un'alternativa è quella dell'adozione dei servizi gestiti esternalizzati o altri casi si servizi di Menaggio del teste responso i servizi gestiti di Security operation center
A livello infrastrutturale
Prete a livello applicativo
C'è ci sono è possibile adottare servizi gestiti pediatra la sicurezza del cloud il cloud la prima applica occupazione prima fonte di minaccia delle organizzazioni di tutti i settori incluso di Utility parlavo prima di un'adozione spinto dei modelli
Claudia Britt cloud e poi il tema delle delle terze parti
Chiuso quindi citato la direttiva RIS due che fortunatamente insomma sta cercando un po'di cambiare il passo anche nel nostro territorio per quanto riguarda il miglioramento delle misure di sicurezza si sentiva un po'l'esigenza di avere una base comune
Di sicurezza per tutte le imprese del nostro territorio quindi ci sono diversi settori industriali coinvolti più tipicamente sono una di queste le misure richieste dalla News due sono diciamo i cosiddetti Basics di sicurezza quindi sono le misure minime per avere un'igiene e di sicurezza
Di base quindi parliamo di esecuzione di analisi dei rischi chiaramente sia in ambito IT che in ambito tutti
Visibilità degli asset e analisi delle vulnerabilità degli assetti e gestione degli incidenti continuità operativa che è un altro tema molto critico spesso si pensa
Agli addetti ai lavori di sicurezza informatica della continuità operativa si è un tema ai Tite crollo ci realtà anche l'Anis due da un'accezione molto più ampia in termini di continuità legata persone quindi competenze
Forniture critica eccetera e poi testo e formazione e per finire sistema delle terze parti che continua a essere un ambito molto critico per tutti i nostri
Le aziende del nostro territorio
Grazie grazie ingegner da cui soltanto se è opportuno incremento c'è importante nella gestione dell'azienda integrare i litigi con l'ultimo quindi l'information technology con l'operational Technology quindi
Sì entrando già presente da anni nel settore quindi si sta cercando di effettuare questa integrazione quello che va attenzionato sono gli aspetti di sicurezza quindi bisogna fare in modo che questo processo avvenga in modo sicuro
Il mondo ti è caratterizzato da sistemi spesso legacy obsoleti i cicli di vita di aggiornamento di questi sistemi sono molto più lunghi rispetto al mondo tradizionale tutti quindi necessario approcciarlo in modo diverso la mancanza di competenze è un tema però ci sono ci sono le soluzioni ci sono le alternative l'importante è avere a bordo delle competenza appunto delle persone delle risorse che siano in grado di indirizzato in modo strutturale grazie queste si parte Bindi
Alla secondo intervento della dell'avvocato lei sì perché chiediamo all'avvocato lei se ci sono dei riflessi sull'ancorché governance tutto questo nuovo contesto di cyber
Che abbiamo che abbiamo satinato side story è appena cominciata tra un buon avvocato risponderebbe con dipende ma vista la concretezza dell'intervento del presidente delle informazioni che ci ha dato l'ingegner l'ingegner D'Agostino credo che la risposta non possa che essere che se avessi
E adesso lo argomento qui divento un po'più un po'più legga lese per spiegare perché tutto ciò che abbiamo sentito ha senz'altro un impatto sulla coltura con aste le nostre imprese piccole o grandi che piccole o grandi che siano
Skull abbiamo parlato di impatti importanti di impatti fondamentali quindi all'apparenza la prendo un po'alla larga ma vado alla nostra norma fondamentale
E mi riferisco all'articolo quarantuno della Costituzione quello che stabilisce che l'iniziativa economica d'impresa in Italia è libera ma va contemperata
Va contemperata perché deve essere esercitate in maniera tale da non creare nocumento all'ambiente alla sicurezza alla dignità umana e soprattutto alla libertà
E quindi questo un concetto della libertà di impresa crediamo sempre per scontato diamo sempre per assoluto
Mai dinamico e cambia rispetto al contesto in cui noi quotidianamente viviamo dieci anni fa un imprenditore un presidente un consigliere d'amministrazione un dirigente d'impresa non avrebbe pensato che nel calcolare i costi della propria libertà d'impresa
Avrebbe dovuto mettere dentro ho fatto rizzare i costi per gestire eventuali interruzioni salito in etica da parte di Stati o di
Privati Esterni
Rispetto alla sua impresa aveva altri costi
A sostegno o
Sull'altro piatto e la bilancia rispetto alla propria libertà d'impresa
Però oggi abbiamo visto da del delle illustrazioni che ci sono state dette sino ad oggi che tra quei costi o devo tener conto anche della possibilità di attacchi di attacchi alla sicurezza alla sicurezza sempre cibernetica
Quindi il tema me lo devo porre me lo devo porre e dal momento che è un tema che ha un impatto diretto sulla libertà di esercitare impresa chi è che se lo deve poi in quali istanze deve essere posto questo tema
Beh nelle stanze di chi gestisce l'impresa di chi esercita quella libertà che l'articolo quarantuno cita e quelle sulle stanze del del consiglio di amministrazione da lì l'impatto sulla corporate governance voi amministratori che quelli che sono amministratori in sala lo sapete
La la vostra professione è gestita anche dal Codice civile
E a una serie di rischi chiamiamoli non collegati proprio rischio imprenditoriale che ogni giorno vivete ma collegate le forme di responsabilità che volenti o nolenti il Codice cita verso gli stakeholders verso i soci verso i Sindaci verso in alcuni casi i i creditori
Bene in questo nuovo mutato contesto geopolitico questa responsabilità sociale
Un teso verso la società degli amministratori si sta un po'trasformando e sta assumendo anche le forme si sta declinando in una sorta di responsabilità sistemica responsabilità avverso
La tenuta del sistema in cui la mia impresa opera affinché possano continuare a farlo in maniera libera il presidente prima diceva noi siamo pronti ad assumerci questa responsabilità
E io credo che il trend andrà in quella direzione sarà in futuro difficile per il CDA dire no ma io quella responsabilità non me la prendo la mia responsabilità sociale va soltanto in una certa direzione
E qui si sta espandendo se io voglio continuare a garantire la mia libertà d'impresa devo assumermi una forma di responsabilità sistemica all'interno del all'interno del board
E questo non vale soltanto per ambiti come la cyber sicurezza vale per tutti quegli ambiti recenti che hanno un impatto sistemico
Molti di voi sono passate attraverso le gli agli acta la legge nazionale sull'intelligenza artificiale ne siamo stati uno dei primi Stati in Europa ad averla
Ebbene anch'essa anch'essa riguarda temi da colture governance riguarda temi che devono passare dalla che devono passare dal CDA
Questo non è soltanto il pensiero di un di un giurista che facendo parte del netto credibilità più sì
Vive a stretto contatto con esperti cyber mai la stessa norma NIS due che è stata citata prima apportare nelle stanze del CDA la responsabilità ultima su questi temi
Quindi ruoli fondamentali come inciso o altre figure
Tecnica all'interno dell'impresa adesso diventano un consulente un sostegno dell'organo responsabile primario
Quindi la responsabilità passa al board si esce dalle stanze dell'ETI si esce dalle stanze dei server e si sale all'ultimo piano ovunque sia collocato il volto
E tu occupante no ci sono le regole per gestirle cioè regole tra colto e governance qui dovremmo iniziare a dotarci di regole di corporate governance che prevedono di avere all'interno del volto competenza di questo tipo
Perché responsabilità senza conoscenza senza formazione come dicevamo prima si trasforma in irresponsabilità
Dobbiamo avere quindi formazione del volto formazione degli organi di controllo ora negli organi di controllo come voi sapete la normativa prevede che ci siano avvocati commercialisti iscritti all'albo dei revisori Paolo del collegio sindacale ma e loro hanno anche l'obbligo
Verificare che gli assetto organizzativo sia idoneo lo hanno l'obbligo di verificare che io rispetti determinate normative quindi tornò formali e dagli strumenti per poter far sì che possano fare anche questo tipo di verifica
Il nostro Regolamento di corporate governance dovrà anche disciplinare la collaborazione che abbiamo sentito citare spesso dal presidente con le istituzioni dovrà anche citare come intendo fare sistema
Perché spesso la parola Corporate Governance viene intesa soltanto associata a grandi gruppi di in palese ma come ci è stato ricordato più volte nel settore delle utilities io Omnitel market vivo ma con meno risorse
Quindi all'interno di quella responsabilità sistemica delle grandi imprese mi rivolgo a lei Presidente all'interno di queste regole di corporate governance
Quell'argomento su di fare sistema è senz'altro un elemento tipico caratterizzante dell'assunzione di questa responsabilità sistemica
Che lei prima si è dichiarato disponibile per la vostra parte ad assumerli quindi collaborazione raccordi questo documento di colpo e come la sto da non essere introdotti questi elementi
Formazione selezione di consiglieri che abbiano questo tipo di competenze gestione della responsabilità sistemica e collaborazione con con le istituzioni
Spero di non essere stato troppo le gallese però il messaggio che volevo dire e che il tema smette di essere un tema esclusivamente da tecnici ed è un tema che sale nelle stanze dove si decidono le strategie
E questo il messaggio che da questo palco ci tenevo a ci teneva lanciati
Era tutto chiarissimo e il messaggio il messaggio è che appunto la Cyber Security non è più soltanto un tema di chi se ne occupa a livello tecnico
Ma deve assolutamente entrare nella governance delle aziende si devono organizzare
Grazie al partner di Price Waterhouse Coopers tutto molto interessante chiamiamo il ministro Gilberto Pichetto Fratin ministro dell'ambiente e della sicurezza energetica vorrei farle tanto le domande sulle ATER ma e sulla Roma non faro
E invece saltiamo le affermazioni di cavare e la facciamo gitani masserie darsi presidente lombardo tocca Carlo
Però la faccia
Che che tema trattiamo stamattina
E il tema della sicurezza energetica che si sta cambia commettemmo sta allargando il tema quindi perché con la temiamo seri con la digitalizzazione io insieme digitalizzate e più c'è un tema difendersi
Quindi nel grande tema nell'ambiente della sicurezza energetica
Con la digitalizzazione
E con il le minacce Said era bisogna avere una visione che abbracci tutte queste componenti tutte queste chiamiamo le criticità
Grazie
Proprio perché quante ore
No veramente battuto Grazio
Parto chiedendo scusa perché
Fatto questo breve intervento è e poi ai me una sequenza di non avendo il dono dell'ubiquità nonostante qualcuno anni fa parte di esonerare può essere anche provato anche dentro l'immissione del modo di trasferire dalla dalla Cina anche la parte materiale quindi digitalizzazione portava la facilità di trasferimento di tutto
Però probabilmente non ancora applicabile novellato tutto
Brazzo comandante a lei Malerba odori poi
Funziona anche quotidianamente sugli altri temi come vedete approfittato anche per altre domande che che esula dal tutto
E noi grazie
Davvero a a Luca Dal Fabbro per per il suo ruolo per per la reazione che ha svolto per il tema dell'iniziativa
E credo di Ranco grazie perché mi manda in Borsa attuale su quelle che sono le le opinioni che che ma è poi sono di un'intimità estrema e un grazie
Bruno al professor Battaglia Protasio proprio perché
In questa in questa sfida che è una sfida importante tutta nuova aperti ai i capelli un po'di anche occhi mi son già cascati come me e Blatter forse pulizia
Per all'urgenza del ruolo che svolgono temo che il tema la relazione che ha fatto Luca Dal Fabbro ci dà una un quadro Grey rilevante di quello che il pilastro della la necessità di un'attenzione diverso alla alla sicurezza in cui l'automa demente alla cyber sicurezza
Mi viene naturale dire sicurezza sicurezza fisica finora sicurezza era essenzialmente una questione di sicurezza fisica continua ad esserci una tormenta sicurezza fisica ma e questione della sicurezza verso presto questo luogo cioè su quello che il tema degli utenti naturalmente cautamente acqua Galasso
Naturalmente rifiuti sono i i temi tipici delle delle utility
E come abbiamo ascoltato quando dall'acqua è uno dei dei dei punti focali mentore Belgio
Dunque a farlo parlava prima tornato in mente non abbiamo ancora due mila trecentonovantuno gestore mosso stanno calando lentamente molto lentamente
Sono sì e diede del servizio idrico sono figlie nella storia io Bortoli dare la colpa quello che c'era prima perché per il servizio scopo che c'ero prima e quindi non è il caso nel modo più assoluto
E e ma di fatto è un qualcosa che che deve andare a pagatore possiamo fare il dibattito scientifico il dibattito interessante battito di oggi ma d'altra parte fisicamente normativamente dobbiamo riuscire ad andare avanti
E
La Reforma servizio idrico è quella che deve portarsi dai due mila trecentonovantuno gestore a cento centodieci centoventi perché per due ragioni
Primo perché si elimina anche i mille in economia voi sapete che in economia Europa perché o grasso che cola e non vuole dividere niente con nessuno o
Da un poveraccio non ha niente e nessuno lo va ad aiutare
La sostanza diventerà insomma questi due ma sono ancora mille ma assolutamente noi dobbiamo fare qualcosa di robusto
Che possa vedere
Tutte quelle caratteristiche per niente sulla parte fisica per i grandi investimenti invece lasciare a rendere l'uso soste ma io dico
Come si deve un Paese sviluppato sulla parte per la parte proprio di investimento puro di governance come abbiamo avuto modo sul terreno cioè noi non possiamo
Pensare a alla Gorno dal della micro servizio idrico in alcuni casi
Di di realtà da cinquecento abitanti
E poi e poi naturalmente avere tutte le conseguenze
Ecco quindi la un qualcosa che deve deve porsi a a con la massima attenzione a valutare l'interruzione i danni che possono verificarsi per le gambe fra quello che l'ambiente le tecnologie
Perché si tratta di
Passo per passo adeguare quella che la struttura con la struttura alta avvocato prego parlato dell'OLAF ma la struttura operativa
Che non che non non c'è noi non abbiamo la formazione dalla struttura operativa invece perché altrimenti ci ci facciamo i convegni
Vengo anch'io personalmente sto imparo anche qualcosa devo dire qua quando sento i tecnici illustrarlo ma poi
Chi opera sul campo deve essere formata da Renault e noi non l'abbiamo ancora formato è una sfida è una sfida nazionale che riguarda riguarda tutto il sistema
Che è un po'come il pane quello di vent'anni fa al passaggio dalla carta a comincia alle medie
E adesso c'è un nuovo percorso un nuovo passaggio che diventa quindi fondamentale controlli scudi di plastica sono lei questi attacchi che che prima soffro attacchi fisici ma che
Adesso posso se attacca attacchi come abbiamo
Sentirlo ora giocatore tra crisi mi ha colpito
Mi ha colpito sull'attacco fisico ad esempio il ragionamento di di cibo lane che ha detto o un mega carrarmato corta quante quanti milioni strappato pronta al sicuro mentre lo saprà
E io con mille cinquecento euro di drone distruggo
Quando il il fatto fisico che però con birra e già
Che anche
La necessità di continuare a cautelarci sulla porta anche fisica
Io ho disposto la chiusura della produzione
Di energia che ognuno dei furbi con il carbone prendersi vita vecchia ma nel contempo detto no decentrare teniamoli
E quella fa parte della sicurezza proprio figlio perché nel caso nel
Nel caso di incidente di qualsiasi tipo
Perché può essere finita con il segreto sulla pipeline
O può essere un fatto non fisico ma che mi blocca comunque la politica funzionamento la pipeline dopo il mio arrivo a venti miliardi di metri cubi di gas dal da Algeria o ogni dieci miliardi di metri cubi di gas dall'Azerbaijan io devo avere la la sicurezza fisica dei per un qualcosa che li produce energia elettrica
Ecco e dell'incrocio tra il fisico e e il tema della
Della conseguenze sulla
Sul sulla modernizzazione splendide degli teorizzazione la necessità di di arrivare ad aprire e
Essere al passo con quella che la nuova economia da qui io dico una cosa noi dobbiamo assolutamente abbia investito molto come il
Colpirebbero per e credo che Bruno sulla strage avrà modo di di di tarda Vidardo è nota perché l'Italia ha colto fra le prime la la necessità di questo tipo di di attenzione d'intervento e quindi la necessità di
Diritti di portare la pubblica amministrazione
Avanti su un qualcosa che era
Che è fondamentale
Ricordiamoci anche il fatto di condussero all'ambiente chiaramente come base noi sulla direttiva sulla venticinque cinquantacinque sedi dove ricordo bene abbiamo un ruolo rilevante Moro rilevante proprio su su questi temi tutti i termini nuovi temi e siamo anche autorità di settore
Su su questi temi
Del e ne dandismo la new due peraltro ma la caratteristica di essere quella che proprio fare riferimento ad Acilia acqua potabile rifiuti
Acque reflue altro anche tema di importanza nazionale però ecco io mio volesse un saluto perché di esperte sono loro quindi io ascolto del Parma
Credo che la sfida grande che abbiamo
Basta
Come
Come sul nucleare ritocco per cento rotonde al governo pallido per devo ogni discorso devo finiano col nucleare ad esempio mi viene naturale ma
Abbiamo i livelli alti
Abbiamo la percezione da parte da parte dello Stato alla presente proprio tali da parte del sistema delle ultime volte
La la Luca Dal Fabbro c'era indicato da parte della vostra presenza che che una parte alta e così via
Se le cose abbiamo Clare dall'Università eterni Geniere ndr
Quello che dobbiamo però riuscire a raggiungere e quindi formare fare creare penetrando sul sistema scolastico
Negli delle varie declinazione che si vorrà è creare naturalmente i livelli intermedi cioè che sono poi quelli facilmente colpi delle ma che sono anche il premier che può essere in grado di reagire a tutto il resto
Ed è una scena nazionale ed è una sede nazionale che già abbiamo che dello Stato ai nostri razionale del sistema privato precedente una de non basti da paese perché se riusciamo ad ad essere al passo con questo noi riusciamo davvero a mantenere al passo del bene a sessanta ho dato col più magra dava io vi ringrazio io chiedo informalmente la scusa proprio sopra tanto che non lo sconto nel suo intervento ma mai non ce la faccio proprio fisicamente sui tempi Simini
Leggerà degli stimoli anche questo riferimento soprattutto al settore dell'acqua ma anche alla livello medio che deve essere formato perché il primo a reagire
Quindi chiamiamo sul podio il prefetto Frattasi
Che dirige l'associazione l'agenzia nazionale sulla cyber sicurezza che ho visto Guaratto ieri in modo molto dettagliato il vostro sito fatte a un aggiornamento semestrale ma anche degli aggiornamenti Mensi quindi è veramente un lavoro di monitoraggio però è anche un lavoro di interscambio e di aiuto
Grazie si grazie grazie per la l'introduzione alla domanda grazie per l'invito grazie per tutto allora innanzitutto voglio salutare tutti gli ospiti che sono in una platea tanti cari amici tant'è che alle persone ringraziare dell'invito ringraziare il presidente Luca Dal Fabbro di ingraziare i rappresentanti che
Hanno prima di Pilatus sì che hanno prima illustrato così bene sia sul punto dal punto di vista tecnico che dal punto di vista legale i temi grandioso e che sono stati grandiosi perché poi lo dirò insomma sono importanti strategici che hanno toccato
E ringraziare il direttore della scuola che ci ospita e che ha voluto tenere questo diciamo come padrone di casa questo evento
E tanto per me è una insoddisfazione rientrare a casa mia perché questa è casa mia se mi posso permettere a Carlo direttore perché questa è la scuola in cui intanto mi ha visto presente quando ero direttore dell'ufficio del coordinamento della pianificazione delle forze di polizia ahimè quindici anni fa
E quando venivo spesso quindi qui ospite ed ero anche docente si parva licet della dei corsi di aggiornamento e poi di alta formazione incorre in materia di coordinamento e pianificazione delle forze di polizia
E vedo l'immagine del mio maestro Carlo Mosca che è stato diciamo il mio maestro al gabinetto del ministro per tanti anni
Credo un caro ricordo per tante persone che qui sono presenti prestato un uomo delle istituzioni
Che ha coniugato sapienza rigore e trasparenza e qualità umane straordinaria
Quindi per me è anche un fatto emozionante tornare in una skin una scuola in una struttura che lo ha visto protagonista ed è stato un giusto riconoscimento intitolare questa bellissima Aula alla sua memoria a suo ricordo
Ecco questo adesso è chiuso il capitolo dunque io parto dalla dall'ultima affermazione del ministro Pichetto Fratin e che ringrazio
Spero di suo intervento che per diciamo il suo impegno che ha detto una cosa che molto condivido cioè qui sono presenti diciamo le espressioni
Delle più alte delle degli attori istituzionali sociali che si impegnano sul tema della cyber security intensi tutto il direttore generale dell'Agenzia poi c'è il presidente degli utilizzate delle azioni degli utili TC cioè degli attori che sono sociali istituzionali
Imprenditoriali che sono protagonisti anche della vicenda Saipem del nostro paese e poi qui sono stati citati anche figure importanti nell'ambito della della organizzazione imprenditoriale si è parlato deciso ma si è parlato dell'intervento che abbiamo ascoltato dell'avvocato Lenzi anche del board
Della dell'impresa e quindi la necessità che ci sia una formazione che vada a riguardare anche i livelli alti come abbiamo ascoltato e partiamo da qui ma non basta soltanto come giustamente ci invitava e il a considerare il ministro Pichetto Fratin non basta soltanto occuparsi dei livelli alti non basta soltanto occuparsi di formazione del personale diciamo che ha di responsabilità di vertice responsabilità dirigenziali
Come abbiamo sentito occorre anche integrare il board con persone consiglieri che abbiano conoscenza
Delle questioni cyber perché naturalmente il decisore abbia tutto il quadro informativo necessario per poter prendere una decisione responsabile
E mi è piaciuto molto mi posso mi permetto avvocato sottolineare il il riferimento a responsabilità sociale dell'impresa di sperimentato responsabilità sociale dell'impresa che diventa una responsabilità di tipo sistemico perché si è responsabili per se stessi
Ma se il responsabile anche per tutto il gli altri soggetti dell'ecosistema cui si appartiene perché una propria irresponsabilità finisce per compromettere un intero sistema
E qua già ci avviciniamo a un diciamo un concetto che è molto presente nella cyber sicurezza è presente per la verità in tutti gli altri sistemi in tutti gli altri sistemi di sicurezza
Ne parliamo di sicurezza sale per come gli una novità ma in realtà non lo è per certi aspetti perché non ce ne siamo accorti un po'in ritardo se mi permette usare questa questa espressione siamo partiti in ritardo rispetto ad altre realtà europee e mondiali io virgola agenzia che nata da quattro anni
L'agenzia francese naturalmente
Vent'anni prima a uno con una forza lavoro di mille duecento mille trecento persone la mia è arrivata dopo tre anni di sforzi che ho dedicato a questa agenzia in gara e ringrazio tutta la mia struttura a quattrocentoventidue e unità in questo momento
Nella eravamo partiti tre anni fa con cento e venti centotrenta persone quindi abbiamo fatto concorsi abbiamo reclutato persone ne abbiamo anche formate ne abbiamo anche formate quindi in realtà è e siamo partiti in ritardo
Io credo che la ci siamo accorti della questione cyber
Intorno al due mila undici quando il primo governo Monti il Governo Monti non ce ne sono stati altri dopo quello
Ha cominciato a parlare della strutturazione all'interno dell'amministrazione pubblica italiana di un una unità che si occupasse di sicurezza informatica i cyber sicurezza eravamo all'incirca nel due mila undici no verso la fine del due mila undici
Quindi stiamo parlando di quattordici anni fa poi sono venuti altri passi successivi e poi finalmente si è arrivati alla creazione dell'agenzia ma abbiamo dovuto aspettare altri dieci anni per avere una organismo dedicato alla sarebbe sicurezza nazionale
Dieci anni sono tantissimi sono un'eternità in una in una tempo in cui la velocità è fa tutto fa tutta la differenza del mondo
Esiste quindi un problema di adeguamento della delle strutture ai tempi brucianti che la modernità sa imponendo un po'a tutti
Questa questo evento di oggi viene un po'in sequenza eventi a cui ho partecipato in questi tre giorni c'è stato la presentazione di un rapporto due giorni fa alla Camera era presente anche un dirigente significa che della della federazione delle utility che presentava ai diciamo quelli che sono gli esiti di una di una seduta e che è stato che è stata svolta sullo stato di salute delle in delle nostre imprese soprattutto con riguardo alle piccole e medie imprese altro tema molto importante poiché è stato il giorno seguente un altro
Evento che pure mi ha visto partecipe c'erano anche persone che sono qui in sala che ha riguardato la sicurezza delle infrastrutture critiche
E come non ricordarlo in questo momento se una parte delle infrastrutture critiche è rappresentata proprio dalle infrastrutture energetiche
Dalle infrastrutture che come abbiamo scontato non solo producono ma ero con ebbe in dono Energia del nostro Paese e che sono quindi diciamo dei soggetti
Che sono essenziali come diceva lui direttiva di su due più volte evocata anche dal ministro Pichetto Fratin
Sono soggetti essenziali perché sono vitali per la continuità dell'agosto del nostro sistema Paese
Espressione che viene ripetuta spesso e che credo sia un'espressione straordinariamente importante per cogliere quella Sperto
Sinergia dico che deve esistere che è stato richiamato dal bellissimo intervento del presidente dal fabbro quando ha detto
E mi è molto piaciuto se mi posso permettere questo invito alla collaborazione sinergica tra amministrazioni istituzioni pubbliche quindi e impresa e settori di impresa
Per la verità non è questo lo facciamo e mi mi piace diciamo sottolineare il riconoscimento che è stato fatto l'attività del straordinaria che è stata svolta soprattutto alla collega di Milena vizi che qui presente che ringrazio
Per aver tenuto con spirito collaborativo con lo spirito collaborativo che è necessario per accompagnare il Paese verso una transizione difficile complessa come quella la sicurezza digitale
Attraverso il tavolo perimetro e attraverso i tavoloni se perché qui si parla di vista ma dobbiamo anche sapere lo diciamo perché ci sia una completezza informativa che all'Energia non è porta soltanto un verticale del uno degli umbri verticali dei settori della Nissan ma è anche un dei settori che viene inserito del perché è stato inserito nel perimetro di sicurezza nazionale cibernetico
E abbiamo tanti attori di quel settore che sono presenti nel nostro perimetro sono due standard che Piano piano progressivamente andranno a coinciderà convergere perché non vedo come ci possa essere sicurezza integrale se non c'è sicurezza che venga a difettare da parte non strategica rispetto a quella portata in perimetro quindi c'è tutto un toro un problema che stiamo seguendo
Di fare in modo che questi due regimi normativi quello nazionale e quello europeo vengano in qualche modo essere affiancati c'è un tema che qui voglio toccano proprio brevemente quando me lo consente
Detto sicurezza nazionale alla sicurezza nazionale non è un tema comunitario sappiamo no non è un tema comunitario questo detto due giorni fa in presenza del dottor Sica non è un tema comunitario ma oggi di fronte a minacce sistemiche globali
Che come abbiamo ascoltato anche dal presidente dal fabbro e confermo tutto la le minacce sono persistenti sono incrementali sono alimentate anche da sistemi di intelligenza artificiale da attori che sanno usarla benissimo e anche a basso costo
Come è stato detto cioè senza grande sforzo economico
Quindi alla portata un po'di ogni attore malevolo che possano diciamo avventarsi contro la nostra superficie digitale ebbene come può essere come può diventare un tema se non anche globale quindi anche europea
Quindi c'è un tema diciamo di straordinaria importanza che io vedo come in qualche modo proprio come posso dire
Difficile da risolvere perché naturalmente nessuno stato membro a cominciare dall'Italia c'è da comprenderlo vuole abbandonare la propria sovranità rispetto a temi come la sicurezza nazionale e la sicurezza pubblica all'ordine pubblico eccetera però questi temi vanno conciliate in qualche modo vanno ripensate riconsiderati alla luce di un panorama del tutto nuovo non eravamo abituati a pensare così fino a dieci anni fa
Fino a poco tempo fa dobbiamo cambiare forse il nostro registro mentale
è una questione vitale anzi per ripetere un'espressione che è stata detta da fondere dalla fondarla è una questione esistenziale io sono pienamente d'accordo sono pienamente d'accordo
Non ci può essere questa diciamo questa distinzione così netta così netta che diciamo i testi normativi ancora replicano perché non c'è niente da fare la norma viene dopo c'è una difficoltà della regolazione che è data dal fatto che la regolazione regola qualcosa che già esiste
E quindi lo si è visto anche per l'intelligenza artificiale e questo è uno dei tanti teme che vengono usati per attaccare il regolamento europeo sull'intelligenza artificiale se la ruota
Non l'ha inventato una poi regolare una volta che è stata inventata essere troppo tardi quindi realtà cioè questa contraddizione in termini che praticamente diciamo rende poco un po'difficile nostro esercizio ma vorrei andare su cose più pratiche
Perché altrimenti diciamo ecco poi lei ha detto
Mi ha dato una un assist quando nella parte diciamo così introduttiva di questo mio intervento ma fare un breve mi preoccupa
Mi mi faccia un cenno quando vede che la statua platee stanca
Ricci lei ha detto che sicuramente ci sono
Ci sono ostili report è benissimo allora uno si potrà dire
Ma l'agenzia che cosa serve ma l'agenzia che cosa fa qualche volta se lo dicono be insomma se lo ripetono in qualche scorcio televisivo ecco diciamo che diciamo intanto innanzitutto vorrei dire diciamo a qualcuno che ripete queste parole che c'è un sito che lei ha citato ecco andate sul sito
Ecco andate sul sito il sito è facilmente raggiungibile
Accende punto gov punto it insomma praticamente non lo strame Edipo suo pure mandare intanto non è un mistero nel segreto e quindi possiamo anche rispondere a chi vuole delle notizie e delle informazioni più di dettaglio ecco riguardo a quello che e l'ha portato il nostro impegno e che cosa esattamente fa fa resilienza sistemica
Residenza sistemica del Paese significa mettere in protezione una serie di soggetti e di attori di pubblici e privati peraltro e non appartenenti soltanto alla sfera pubblica che sono considerati di particolare lire rilievo critico per quello che ho detto la continuità della vita del Paese l'ordinarietà delle nostre attività
Beh lei prese per i cittadini per le istituzioni pubbliche per la per le auto istituzioni della Repubblica noi abbiamo Coco realizzato anche protocolli d'intesa con la Camera dei Deputati cose naturali pubblico con il Quirinale recentemente con il Quirinale quindi con la la più alta
Cattedra della del Paese ecco allora da questo punto di vista noi
E lo chiamo informazioni a tutti non è soltanto alla costituenti che vigiliamo a tutti anche le piccole imprese le piccole e medie imprese andando sul nostro sito potranno trovare le informazioni che riguardò gourmet l'abilità scoperte
Riguardo le vulnerabilità scoperte perché adesso si parla di minaccia bisogna anche parlare di vulnerabilità la minaccia si correla una vulnerabilità e naturalmente destinata correlarsi alla vulnerabilità perché altrimenti come farebbe a farci del male se non sfruttando una vulnerabilità
Il problema è che ci sono vulnerabili età che sono zero Bailey che non vengono conosciuti e non sono note nemmeno ai produttori c'è un problema che di di che dobbiamo mettere a terra e lo stiamo per fare previsto è disciplinato dalla sempre danni su due cioè di condividere con ricercatori quelle che sono le vulnerabilità dallo scoperta è che dobbiamo conoscere prima che vengano a essere sfrutta donatore malevolo che magari le ha conosciute nel frattempo e quindi anche qui sì
Manifesta la necessità di accelerare il passo perché un problema di se di rincorsa tra guardia e la
La guardia sei non nell'altro
Ecco e la questo è il quindi se si vuole si può capire che cosa fa l'agenzia che cosa ha realizzato Agenzia fa bollettini di avvistamento della minaccia di a Warner se quindi fa Situation lavorando cioè fa consapevolezza situazionale di quello che è lo Stato dalla minaccia
E possibile e tanto difficile da capire ecco non credo
è tanto difficile poterci distinguere dalle forze di polizia che fanno Crime Investigation non credo
E tanto difficile distinguerlo dalla Crime Inter dalla Intelligence sai perché fanno i colleghi del del SISDE comparto dell'Intelligence nemmeno credo che sia questo perché naturalmente voglio dirlo la sicurezza informatica non è che soltanto appannaggio della dell'organismo dell'agenzia è un quadrilatero della sicurezza ci sono qui i colleghi della difesa che ringrazio per la presenza che saluto che fanno sarebbe Defence
Ovviamente cioè fanno difesa degli assetti militari del Paese guardano diciamo alla sicurezza del Paese dal punto di vista militare da difesa dello Stato lo dice anche noti la direttiva vis e la direttiva mis mi consentite questo un'altra apertura di file prevede appunto questa collaborazione sinergica tra cooperazione civile militare tratti l'autorità civile cioè accende d'autorità militare cioè la difesa perché per la gestione delle crisi di vasta scala prevede che ci sia un coordinamento fatto dall'Agenzia
In via primaria e poi un coordina una azione di gestione che viene fatta la difesa militare nel momento in cui c'è un'escalation della crisi e ci sono compromissioni possibili riassetti che riguardava difeso dallo Stato
E dovremo naturalmente scrivere un piano operativo che colleghi questi due elementi diciamo di intervento in una visione coordinata sistemiche sinergica ancora una volta mi dice ma allora questi questi temi di Tor ma come fanno a non ritornare lo ha detto il presidente la fabbro siamo in una realtà interconnessa a tutti i livelli c'è qualunque cosa ne facciamo diciamo si riverbera ridonda su altri sistemi su altri livelli su altri ambienti
C'è una continuità che oggi toccata con mano proprio dalla trasversalità della orizzontalità di questa dimensione che tutto tiene insieme tutto a mette a fattor comune che proprio quello digitale
Qui si è parlato di tutti i diritti
Di aiuti cioè di tutti quei diciamo ambienti che sono connotati appunto dalla pervasività da dimensione digitale
Dalla loro trasversalità e orizzontali che diciamo di pervade e di e di riassume in qualche modo e quindi diventa la più ecco e chiudo con una realtà vedo che un gesto di pazienza ha ragione chiudo con una con una con una con una supplica diciamo più che altro una la supply chain la catena di approvvigionamento ora la misto due
Ha una grande un grande merito
Di aver in qualche modo diciamo poi perché la l'Europa si si si occupa di sicurezza degli apparati informatici sicurezza digita mai sicurezza qui non se ne dovrebbe occupare ecco applica chiariamolo lo ha fatto perché in realtà guarda alla libertà di circolazione dei beni delle merci delle persone cioè quindi perché perché questa libertà lo ha detto anche l'avvocato ha detto il presidente
Questa libertà è compromessa se io impresa italiano non posso corrispondere in maniera sicura digitalmente con un'impresa francese belga veda lei quale ecco in realtà è compromessa la costruzione europea
Questo è e compromessa la radice la costruzione europea che fonda il suo pilastro sua virtù queste quattro libertà ce ne sarebbe una quinta libertà evocata nel suo bel libro da Enrico Letta che ha fatto uno dei due piani diciamo europee io no
Molto più che un mercato e il titolo è molto significativo in cui ha parlato di libertà dell'informazione c'è un altro tema quello del dominio cognitivo della sfera cognitiva
E della libertà che dobbiamo diciamo in qualche modo proteggere rispetto alla manipolazione delle opinioni pubbliche disinformazione che anche domestica come ho detto basterebbe andarsi a leggere il nostro sito per capire esattamente che cosa facciamo e cosa non ascoltare e invece possono e soggetti che invece vogliono disinformare il Paese in maniera interessata ora c'è un fatto gli attacchi sono incrementate c'è ma la supply chain ed è in fondamentale e importante
E la NIS stabilisce delle regole precise
Perché la supply chain cioè tutti le terze parti vengano a rispondere a un criterio diciamo il più possibile stringente di sicurezza perché la vulnerabilità come abbiamo detto di un fornitori una terza parte
Della catena richiede la filiera del proprio giuramento determina una esposizione anche verso il cliente
Un'esposizione di responsabilità anche verso il cliente del soggetto essenziale che erogano il servizio
E quindi è necessario mettere nero su bianco esattamente questo sarà il compito che dovranno fare sorgere mettere nero su bianco che cosa dovrà fare un operatore come dovrà assicurare e garantire la propria sicurezza informatica che riguarda anche il soggetto che contratto contrattualizzate per una certa attività di fornitura una certa fornitura di servizi quindi in quella visione mi permetta di usare questa espressione un po'abusato olistica di sicurezza che cominciano a soggetto essenziale e termino all'ultima foglia dell'albero l'ultima foglia della
Tutto qui
Grazie tante è alta il sette molto molto chiaro
Siamo un po'fuori tempo siamo a il collega siamo canina collega del Sole ventiquattro Ore terra arata persecuzione nella mattinata grazie
Grazie Fausta buongiorno a tutti
Direi che fin qui la mattinata è stata assolutamente densa e ricca di di interventi di contenuti autorevoli
La continueremo era concluderemo facendo un po'di verticale quindi dapprima verticale sarà sul tema dell'istituzione delle norme se ne è parlato e la seconda sarà su quale delle competenze del capitale umano e anche in questo caso direi che dei diciamo dei semi di discussione molto interessanti sono già stati gettati prima di tutto ciò però cioè il tema e anche quindi questo già parlato del dell'adeguamento dell'impresa era alla direttiva listone del momento che diciamo non sempre va come deve insomma bisogna un po'affinare le cose bisogna assistere accompagnare le imprese in particolare quelle più piccole
Ci illustrerà le tecnologie che possono aiutare le imprese Alessandro Massa direttore tecnico della divisione Cyber Security solutions di Leonardo a cui cedo il palco prego
Facciamo un applauso
Grazie buongiorno buongiorno a tutti grazie presidente grazie all'Italia per la possibilità di condividere il nostro punto di vista veramente su un verticale tecnologico che è quello specifico della fede e sicurezza
Mi riaggancio a dei dati che anche il presidente ha condiviso all'inizio della dell'intervento stamattina relativamente alla criticità che il settore MD Utility a dal punto di vista degli degli attacchi riportiamo alcuni numeri visti dal nostro chiaramente centro di Intelligence cyber
Che lavora nel monitoraggio quindi sono dati percepiti diciamo e poi validati dalla nostra per le nostre persone che lavorano nella parte di intelligenza vediamo che a livello diciamo di attacchi specifici su stessi obsoleta
Ma era parte NRG utili si posiziona terzo posto parliamo quindi di una la classifica composta da di solito i dieci quindici settori merceologici
Questa un impatto importante possiamo anche rilevare chiaramente era stato citato stamattina di incremento nella parte di attacchi di François re quindi gli attacchi che vanno a colpire la parte alta dello stack infrastrutturale
Tecnologico quindi che entrano di solito da sistemi ti vanno chiaramente a cifrare
I dati delle delle diciamo entità che sono state attaccate e creano chiaramente un blocco il risultato finale disservizio specifico
Vediamo che si posizionano gli attacchi Rance per il settore si posiziona al dodicesimo posto e all'ottavo posto per quanto riguarda la parte denario servisse quindi la capacità poi di saturare
Principalmente magari siti o successivamente anche i sistemi di gestione delle utility per permetterne chiaramente mancato utilizzo
Due auto look perché questi dati sono dati due mila ventiquattro che sono stati consolidati chiaramente ad aprire nel riporta dell'Intelligence due altro che abbiamo visto confermato anche dai numeri
Del presidente sono chiaramente focalizzarsi
Di questi attacchi modo prevalente sulla parte idrica quindi che è uno dei settori presidia la mente come punto di riferimento
E l'altro diciamo trenta che essi si aspetta venti comma vediamo confermato posso dirlo dai dati che stiamo raccogliendo l'aggregazione di attacchi ravvivano sia da se sponsor verde sia da Crime Saber trauma quindi era la capacità di mettere a fattor comune due
Diciamo entità di attacco separate per contrattacchi sempre più sofisticati
Relativamente al discorso chiaramente del contrasto ci premeva mettere in evidenza solo in ordine di tempo perché non è l'unico diciamo elemento importante ma e il documento che è stato diciamo pubblicato dal ministero della difesa dal ministro Crosetto
Relativamente a quella che si chiama praticamente guerra ibrida no quindi che sposta abbiamo già citato il focus dalla solamente l'aspetto fisico ha un aspetto cognitivo Sahib andando high tech vedete in alto nella parte alta della definizione nell'ambito di pressione a identificare bene infrastrutture critiche
è quello come uno dei punti centrali della protezione si riportano chiaramente i temi di energia vedete centrale attive elettriche gasdotti rete distribuzione elettrica come pilastro fondamentale del funzionamento e come necessità di focalizzazione nella protezione delle infrastrutture con una indicazione se nel documento è molto ampia sono centocinquanta pagine in cui vengono anche dalle delle diciamo indicazioni dal punto di vista della creazione il prefetto Frattasi ha chiaramente dichiarato che è l'agenzia sta lavorando negli anni dagli ultimi anni e faccio riferimento presentava quanto emanato nel due mila diciannove come il primo del sicurezza nazionale cibernetica che un elemento della protezione delle infrastrutture
Qui vediamo uno shift del paradigma nella protezione che è relativa al passaggio da una diciamo proprio assetto di difesa semplice a un assetto anche proattivo quindi iniziare diciamo delle manovre sistemiche rispondendo alla domanda chi deve intervenire nel caso di attacchi massicci e sistemici alle infrastrutture del Paese no quindi è un tema che riguarda un po'tutti gli attori intorno al tavolo istituzionale industriali ma chiaramente metto un focus importante al tema delle infrastrutture critiche anche a difesa del del Paese
Per parlare un po'al concreto il suo intervento la sulla parte tecnologica non voglio entrare nel dettaglio della singola slide alcuni temi sono stati già citati per precedentemente ma chiaramente sta parlando d'un mondo che si complica perché nel mondo di infrastrutture la cyber sicurezza
A diciamo almeno tre livelli che vedete riportare il mondo degli attuatori dei sensori nella parte bassa che il mondo diciamo il punto d'accesso privilegiato degli attaccanti
Di solito quello è il punto meno protetto perché distribuito geograficamente perché usa tecnologie note che gli attaccanti cercano chiaramente di andare a in compromettere perché compromettendo la volta hanno accesso a diversi sistemi e anche diciamo la parte più facile accedibile fisicamente sui sistemi e in cui può essere eseguito l'attacco
Sulla parte ottiche sono gli ultimi due dalle quindici all'ATO sensori lato centrale quello che gestisce tutti i processi tecnologici
E come vedete tramite il muro vedere riporta al centro ha segmentato dal mondo Vitti traffico quindi vediamo sicuramente i due contesti ittica e rotti
Che devono collaborare che sono sempre più integrati e che prevedono uno spostamento tra i due
Tra i due diciamo mondi di dati c'è sicuramente la necessità nonché lo citava prima al collega di Tita bensì di trasferire le best practice le tecnologie dal mondo alto da partiti alla Bartolotti cercando di trasferire il possibile i concetti che portiamo sopra e vedete nella parte sinistra tutta una serie di tecnologie evidenziata interamente l'intelligenza artificiale di cui faremo focus tra poco che ha un impatto si nella parte attaccante ma anche nella parte difensiva con tutta una serie di Re Max che cercheremo di dimettere chiaramente in evidenza ho riportato i due attacchi citati prima Ram soirée di dosso ma ne vedete altri che sono riportati è generale e chiaramente non vuole essere omnicomprensiva però permette di mettere in evidenza egli stecca che sono parte di questo ecosistema e la complessità che aggiunta dalla parte bassa diciamo dalla parte di Bresson Technology o aiuti in cui chiaramente si vanno a focalizzare gli sforzi e di attacco e di difesa quindi
è sicuramente quella l'aria specifica su cui andare intensificare l'attività nella parte alta avete del cloud chiaramente è stato citato anche prima
Uno degli aspetti importanti oggi molto delle attività della parte alta dello stack si stanno spostando nel cloud che sia pubblico-privato ibrido quindi dipende dal del movimento ma anche in quella in quella parte possibile poi penetrare le reti esperte dare attacchi in modo sempre più profondo
Mettetemi di fare un affondo proprio sulla parte ai no io di solito quando intervengo su questo tema non simpatico tanto non si può fare un convegno conferenza senza non citare l'intelligenza artificiale Archie Mayo ora dargli un focus specifico relativo ai settori in cui noi valiamo quindi difesa e sicurezza
è chiaro che vi parlerà in modo prevalente sue ai predittiva hanno un tratto Tamara giardino che complica un pochino gli aspetti mostra l'arte predittiva noi come Lonardo abbiamo diciamo un focus sul dici tre filoni quattro filoni compresa la ricerca ma tre filoni operativi
La parte sicuramente di stabilizzazione della deposizione di una mostra Bolea ai ma la parte che ci permette di focalizzarci sul nostro dominio di riferimento quindi poter andare attestare la sicurezza anche degli artefatti anche se andaste fatto informatici subiscono attacchi hanno chiaramente una serie di vulnerabilità per permettere chiaramente di portare l'Operation tecnologie che sono state già validate è il parallelo del Secure by Desailly non seguono Kolding atto applicato alla parte di intelligenza artificiale
Come vedete la mista ha definito finalmente una tassonomia gli attacchi agli artefatti ai e alla ai cento due che definisce centoventitré possibili attacchi hai data sette e a modelli su cui noi facciamo lo screening e apponiamo delle azioni di Remediation andando comunque a ridurre la superficie d'
Anche su quei modelli l'altro aspetto fondamentale data colleghi e questi tutti e due diciamo le le componenti dello scarpone ai sono anche parte dell'AIAC la Iat richiede soprattutto per le preghiere azione ad alto rischio di eseguire
Tutte e due le attività la data coliti è una certification sudata sette quindici permette di riconoscere il Dada sette andarlo a certificare dal punto di vista fisico proprio dei dati che il modello ha usato durante l'addestramento
Ma ci permette anche di andare a mantenere continuamente aggiornati moderni parlo in applicazioni veramente a un prema
Dirai chiaramente sul campo su dispositivi occhi e aiuti in cui ho necessità di mantenere un controllo operativo
Entro nel secondo punto l'industrial Zedde ai è un tema chiaramente di depone mentre la tecnologia le hai non è una tecnologia installo informi Earth non è un cura del sette concedessimo lasciate sul campo senza portarla
Chiaramente monitorarla soprattutto per mantenere sì
La compliance ai requisiti prestazionali che il cliente o comunque l'applicazione ciglia del ma anche il livello chiaramente di sicurezza mantenendo la giornata rispetto a nuovi attacchi che potrebbero emergere quindi avviene una catena di di poi mente dell'intelligenza artificiale che arriva anche ai nodi Ergife quindi alla parte ottimi in questo caso ma nella parte prese per l'applicazione di questa si parla di campo operativo quindi attività sul campo operativo è un tema importante
Nella parte specie Larizza deridere i settori su cui noi principalmente lavoriamo un punto specifico alle ai forzati era stato citato chiaramente Deay nella parte difensiva è presente
Viene utilizzata presentano gli ETR meglio imponente viene utilizzata una parte del personale ndr quindi è dia attiva pesantemente sui temi di detection si sta spostando lo shift che vediamo all'uscita verso la parte di diciamo predittiva o comunque proattiva quindi si vanno a ricercare le minacce non si aspetta chiaramente che la minaccia attacchi ma si prova ricercarla andando a correlare tramite le ha i segnali che arrivano chiaramente da sensori in questo caso parlo di e mondo Vitti quindi quella un tema importante l'altro tema in cui vediamo applicata le hai è il tema dell'automazione no l'automazione dei servizi gestiti di sicurezza quindi tutte i servizi a supporto dei sopra degli operatori di analisi del di analisi di sicurezza che possono diciamo mantenere gli operatori focalizzati sui temi specifici quindi abbassare tutta la dal lavoro a basso valore quindi il ticket in la risposta ticket che non hanno valore e focalizzare gli analisti sulla parte sulla parte alta dello stecca
Dal punto di vista prete cronologico il secondo fra oracolo della Zarro trust o no anche qui come le hai uso una parola una base guardano e parlano ne parliamo
Sappiamo che non c'è qui purtroppo uno standard abbiamo diversi approcci no mister addio di Forrester o ce ne sono anche altri
Quello che abbiamo fatto dal punto di vista proprio di gruppo a quello di portare a terra un'architettura di riferimento quindi ci siamo chiesti quali sono vedete dei lavori ma non voglio entrare nel dettaglio
Ma ci siamo chiesti come poter avere una tecnologia nazionale
Quindi nostra che possiamo portare in ambiti difesa sicurezza e come avere chiaramente la possibilità di un impostare devolversi di migrazione il passaggio da perché non conosce il tema della mente si sta passando da uno schema di protezione perimetrale
A degli schermi chiaramente che vanno a proteggere il dado in una modalità Nomentana granularità di controllo quindi si parla di policy Besa da piazza scontro la quindi
Un controllo gli accessi basato sulle bolle si basato sul controllo annuale del doveva più qualche località maggiore scusate dell'utente del suo dispositivo del workflow perché va a gestire
Devo corso e del dado quindi pensate che incrociando le sette Villar che vedete riportati qui che sono utenti dispositivi metto a pedalare applicazioni più la parte sicurezza si possono tirare policy veramente Fini questo che sicuramente un assetto dell'amico segmentazione quindi aumento la complessità Maria sparge stile anche tutto il sistema di udito Londra importantissimo per l'attività validi forensi gradi poste insediamento comunque di supporto
Portando leggermente in ambienti importanti vi faccio solo per dare degli esempi solo complessità del tema il Dio di americano a un piano di migrazione allo zero Trust di tutte le leve della difesa americana anche a un come dieci anni più o meno il Timeline del piano sono dieci anni ogni due anni lo spostano avanti di due anni perché stanno incontrando dei problemi una parte implementati a questo per dire che è una giornalista è un processo di immigrazione che parte dall'architettura attuali deve prevedere degli step successivi
Riportandolo nel mondo chiaramente occhi aumento alla complessiva aumentarle in modo veramente importante come portare questa tecnologia che già nel mondo e ti a delle complessità a diciamo ambienti che sono specifici che risentono chiaramente di distribuzione geografica e che hanno degli apparati che non sono proprio oggi adatti essere integrati in questo tipo di tecnologia però il trend questo queste date Congia permetterà allenamento un controllo puntuale
Degli accessi e delle autorizzazioni capite che il policy management system ma che al centro è il corpo in termini di sicurezza scalabilità di questo tipo di architettura quindi qui noi abbiamo fatto diciamo una si diciamo delle acquisizioni specifica per acquisire tecnologie europeo perché il grosso di questa deco già sono americane quindi tornando ai temi di sovranità ai temi specifici che sono stati trattati prima questua
Secondo noi un vantaggio e nel mondo diciamo delle utility dell'energia stiamo già lavorando con alcune aziende per iniziare dei percorsi di migrazione alla all'ecologia zero Trust
Finisco
Chi te Gawain chiaramente l'abbiamo citato prima molti punti l'abbiamo già trattati
Bisogna sua valle dei dati ma lo sapevamo implementare idealmente solide misure di sicurezza informatica
E il tema secondo me sbilanciato nell'ambito energie Utility sulle piccole e medie imprese sulle grandi son sicuro e sicuramente anche la messa sta dando uno stimolo importante dell'applicazione
Dovremmo ragionare meglio come applicarlo sulle piccole e medie imprese con degli schemi che facilitino caramente l'applicazione delle norme che ci diano la possibilità di utilizzare già al lavoro fatto creare dei template architetturali dei cataloghi di prodotti già fermenta corali
ACM ha chiaramente questo ruolo con medici VCM che sono gli enti che vanno a certificare gli apparati che possono essere utilizzati in questi ambiti quindi abbiamo già delle basi solide ma vanno importati veramente servite misure di sicurezza
Il monitoraggio con l'attivo della sopra cenno ha citato anche operatori ma secondo me questo è il tema questo è il tema perché dovessi decidere oggi come attaccare magari un'infrastruttura potrà posso studiare la singola struttura è stato citato prima del caso
Della piccola del tipo l'acquedotto
Penso di dagli allevamenti e quindi posso fare quel tipo di attacco Maio mi concentro sui sistemi ricorrenti che utilizzano tutti come attaccante quindici così inserire o delle vulnerabilità note o deve potrebbe darsi lenti all'interno di quegli apparati quindi attività di certificazione la capacità di screening avere un catalogo nazionale ben identificato su cui deve fare leva è sicuramente un tema importante
L'ultimo il penultimo punto relativo idealmente alla postura che deve passare chiaramente in una modalità concretamente difensiva la tratto ha citato abbiamo visto nel documento del ministro Crosetto
è importante iniziare a vedere questa sinergia con diciamo delle direttive chiare perché il problema voi sarà quando fu quando avremo il caso come reagiamo no la responsabile chi fa il nostro lavoro la responsabilità delle procedure guidato in modo sistemico
E oggi secondo me questo un focus su cui dobbiamo dobbiamo porre chiaramente un'attenzione e l'ultimo punto l'ho citato prima la transizione dal mondo e ti ho ti oggi ancora diciamo a metà non c'è proprio la stessa consapevolezza non sanno dette comprate tecnologie
Si deve fare un lavoro dopo su questo tipo di infrastrutture noi nel nostro ambito abbiamo anche un altro mondo che con Lamberto data delle piattaforme quindi abbiamo ancora un terzo Villar che ci vede chiaramente
Fu aria ancora non completamente mature perché liti agitate debba astrattezza delle tecnologie ben definite lotti è una zona grigia su alcuni mondi di piattaforma si sta chiaramente faticando ad eseguire questo CIPE quindi per concludere importante soprattutto nel vostro settore avere chiaramente attenzione al mondo per il perimetrale al mondo chiaramente
Distribuito su cui vanno integrati i concetti di una global signorili è quella che mette insieme fisico più cyber per poter permettere da mentre aggiunge mento degli obiettivi posti
Grazie mille ingegner Massa molto interessante sia la parte più tecnica sia la prima parte quella più generale in cui abbiamo avuto anche la conferma che il comparto energetico del comparto delle utilities sono tra quelli che vengono maggiormente prese di mira dagli attacchi cyber
Proprio per questo e anche piaccia molto riferimento alle PMI
Diventano particolarmente importanti sia l'istituzione sia le norme che possono agevolare la creazione di un contesto Piper l'adeguamento alla NIS due in sostanza a mettere in pratica da parte delle utility anche quelle più piccole delle contromisure adeguate intermezzi di cyber sicurezza
Ne parleremo nel nel panel che adesso vado a convocare il richiamo qua sul palco a fianco a me partendo dal prefetto Milena Rizzi capo servizio regolarmente regolazione ACN
Buongiorno
Coi abbiamo il generale Massimiliano Conti vice capo di gabinetto del masse
Il generale Alfredo Ramponi esperto di Intelligence
Infine l'avvocato Cesare San Mauro professore associato di diritto dell'economia Università degli studi di Roma la Sapienza
Dove preferisce
Fa più vicino
Allora partirei dalla partirei dal dal dal prefetto millenari si
Insomma
Come dicevo prima argomenti discussione tantissimi fa piacere anche sottolineare il fatto che
Nelle nelle slide e dell'ingegner Massa all'inizio si faceva vedere come il settori maggiormente presi di mira dal dagli attacchi cyber siano quelli infrastrutturali panche settore infrastrutturale c'erano i trasporti vado abbastanza emulare la sanità l'energia le utility in particolare a relitti
Poi se rifletto però ci sono alcuni di questi elementi che noi diamo particolarmente per scontati altri chiediamo meno per scontati quindi per esempio che so avere un ritardo di cinque minuti del treno per non è una cosa normale
Invece andare ad aprire il rubinetto dell'acqua per cinque nazionali va l'acqua è già una cosa che ci cambia abbastanza giornata
Questo per dire cose che noi diamo i servizi degli utilizzi molto per scontati
Però coi a maggior ragione queste imprese devono essere protette magari anche essere aiutate proteggersi da determinati tipi di attacchi
C'è una certa diciamo complessità legata al fine poi anche alla all'adozione della normativa NIS due
Ci sono temi amministrativi c'è il tema che si citava prima dalla di una saprà c'è in che da che da qualificare vorrei capire un po'il vostro punto di vista è come vi state sommato per anno per facilitare questo percorso
Perfetto grazie bene dunque sono particolarmente contenta di poter partecipare intervenire oggi a questo importantissimo evento perché
Come ha già detto il prefetto Frattasi e quindi adesso per me è un po'difficile riprendere le fila del discorso dopo tutti gli spunti di riflessione che il nostro direttore generale
Ha ha messo sul tavolo però a è vero l'Anis altamente complessa
Però è altrettanto vero che il tema delle Utilities proprio perché sono così essenziali per la vita di noi i cittadini e per la nostra società
è un tema che era già stato preso anche in considerazione dalla mi sono perché si trattava di operatori di servizi essenziali
Ora in quel contesto in realtà il margine di complessità era decisamente inferiore perché parlando proprio solo di operatori di servizi essenziali se prendere in considerazione quella singola porzione
L'infrastruttura necessaria per l'erogazione del servizio mentre la Nissan due invece introduce questo fattore di complessità perché va a inserire nel suo ambito di applicazione
Tutta l'infrastruttura del soggetto e di conseguenza prevede che le misure di sicurezza che sono descritti dieci ambiti delle misure di sicurezza Danisi due
Che sono descritte nella direttiva si devono applicare a tutta l'infrastruttura
E questo comporta una notevole complessità perché obiettivamente e applicare tutti i requisiti di sicurezza su tutta l'infrastruttura allo stesso modo cioè in maniera piatta significherebbe esporta i soggetti che erogano questi servizi essenziali
A costi molto molto considerevoli
Tenuto conto altresì del fatto che mentre l'information technology ha avuto uno sviluppo negli ultimi quindici anni progressivo graduale con un'impennata più recente ma comunque è un cammino che incominciato tanto tempo fa a l'ambito della Operational technology non ha avuto lo stesso sviluppo per gli stessi motivi che sono stati illustrati prima
E cioè che si tratta di sistemi legacy che quindi hanno tempi di ammortamento perché costano moltissimo nella loro al momento della loro fornitura
E di conseguenza il tempo di aggiornamento di questi sistemi serve per consentire di a ammortizzando i costi
In più un'esigenza di protezione di questi sistemi quando ancora non erano diciamo coperti da strati di software
Per eventuali qui per consentirne il controllo da remoto era meno sentita perché c'era la protezione fisica a protezione di questi
Sistemi
Ecco allora che cosa ha fatto ACN per poter ricondurre a a diciamo all'Unità e a un coordinato modello di implementazione delle misure tutte queste criticità
Ha adottato quell'approccio che ha proprio illustrato il nostro direttore generale che è stata una sua grandissima intuizione cioè quella di
Fondare l'attività messa a terra per l'implementazione dell'Anis su una visione prettamente collaborativa intanto sull'installazione con l'adozione del decreto legislativo di recepimento della miss due
Con la previsione appunto di un percorso graduale distinto per fasi nell'ambito del quale è possibile per l'autorità nazionale competente Nissan
Accompagnare gli attori di questo i protagonisti di questo cambiamento epocale
Per innalzare il livello di sicurezza delle reti e di sistemi informativi dei soggetti essenziali importanti che ricadono nell'ambito applicazione della due nel loro nella loro attività di implementazione e l'ha fatto non sono ricercando la collaborazione per esempio noti in Italia con la quale abbiamo incominciato a collaborare ancora prima del recepimento
Ma continuando questa attività di collaborazione con i tavoli settoriali avvalere quali poi sono stati adottati linee guida Facca tutte pubblicate come già detto il nostro direttore generale sul sito dieci anni
Anche di come dire le parlato anche lei di collaborazione collaborazione a questo punto io guardo al generale conte dico alla collaborazione con i Masai perché sicuramente un asse importante visto che poi il Maser quello che fa la capofila per il settore delle utility anche in questo percorso quindi chiedo a Luís come va questa collaborazione come soprattutto come potrà andare in futuro per agevolare anche le imprese del settore
Ma principalmente la collaborazione fondamentale per la buona riuscita del raggiungimento di obiettivi NIS due partendo da da alcuni dati
Il ministero dell'ambiente sicurezza energetica è e se stesso
Per il soggetto essenziale ed è autorità di settore per quattro e per tre settori l'energetico il Acque potabili acque reflue rifiuti ma nell'energia abbiamo abbiamo diversi sottosettori che coinvolgono all'attualità migliaia di su oggetti che senza uno stretto raccordo e qui il ruolo delle utility è fondamentale perché altrimenti sarebbe difficilissimo mantenere una Matteo collo di supervisione di orientamento di coordinamento
Consideriamo ecco alla qualità nel settore energetico abbiamo oltre due mila e cinquecento soggetti fra essenziali importanti oltre due mila solo in quello dell'energia elettrica e settecento sul settore gas
Fra i cento e duecento nel nell'o il e nel tempo riscaldamento abbiamo già i primi soggetti nel settore idrogeno e e stato focalizzato l'attenzione sul settore idrico
Che a una fragilità superiore rispetto alla a quelle energetico i sessantadue ambiti territoriali e ottimali
Hanno centoventi gestori affidatari e a carattere industriale ma in molti settori questi servizi idrici integrati
Hanno delle forti fragilità organizzativa e quindi richiedono
Una un forte supporto in che modo possiamo accompagnare no abbiamo iniziato a coppie con la borsetta Rizzi si ha sostenuto già dal due mila ventiquattro prima ancora dell'approvazione del decreto legislativo e anche dopo a fare degli incontri con tutti i portatori di interesse dei tre settori Energia quei rifiuti
Molti sono presenti preziose è stato il contributo ad esempio di utilitaria proprio per questa funzione in termini di intermediazione con i soggetti la linea che ne perdiamo di dover seguire quello di assicurare la la la la
Di mettere de di la realizzazione di tavoli di tavoli disse di settore di congiunti di di un forum permanente i dove condividere le best practice anche che ci sono soprattutto de de de liste colte più performanti ma anche gestire le le criticità le tematiche collegate alla supply chain e così via quindi dei tavoli di lavoro che dovranno vera una come dire a una periodicità una periodicità stretta e anche per condividere di progetti pilota abbiamo visto come l'innovazione tecnologica ecco
è così rapida e quindi coinvolgere in particolare e i soggetti senso di importanti in meno meno performanti su questo
Secondo punto fondamentale è quello della formazione in questo caso il ruolo anche loculo prevedono stesse nei due della dell'autorità competente nel supportare nel alla formazione del personale che così centrale ecco desse un focus un focus da attenzionare comma con particolare cura si potrebbe pensare da ultimo anche a creare delle piattaforme digitali condivise per velocizzare anche alcune forme di informazione
Grazie il tema della formazione assolutamente cruciale infatti poi ce ne occuperemo nel prossimo panel
Esaurito adesso solo per il momento il tema italiano proverei a guardare generale generale Ramponi le cose un po'più a livello europeo anche perché poi insomma
Parlare per confini ormai a a pochissimo senso questi parliamo di guerra ibrida di dire che non ha assolutamente senso
Ne abbiamo un'Europa unita però unità su alcune cose ma su altre no infatti in tanti settori economici presso le banche le assicurazioni si parla sempre di livello le infinite cioè giochiamo tutti sullo stesso sullo stesso campo dà già per poi se le regole sono diverse se io faccio il fuorigioco e tu non lo fai allora come dire non possiamo giocare lo stesso campionato nella due nell'adeguamento alla alla mise due
Il Stati europei hanno giocato tutti io stesso campionato o rischiamo di di vedere qualche di qualche qualche differenza
Io la ringrazio per la domanda ma inizialmente però volevo fare volevo fare i miei complimenti personali al prefetto Milena Rizzi
Perché come come colei che ha gestito tutto il processo di implementazione e di sviluppo di un di un attività concettuale a differenza di altri paesi
Ad esempio europee in
Che ci ha permesso di essere
Tra i primi che hanno implementato una normativa nel nostro Paese
E le e faccio immediato riferimento a quello che è particolarmente significativo quello che diceva prima su un processo di implementazione
Che non è ex abrupto bensì a deve avere per forza una sua gradualità in base alla maturità del i soggetti economici coinvolti
Come menzionava per esempio il presidente Dal Fabbro in una eccezionale
Prolusione che condivido integralmente e che ho avuto difficoltà
Il riferimento ad altri interventi che ho sentito nel passato a comparare per la sua sede eccezionale assertività
Come come non concordare comunque facendo riferimento a quanto dicevo sul l'approccio del
Del di ACM riguardo l'implementazione del della normativa molto importante che questo sia graduale perché abbiamo un tale a lei una tale differenza di
Maturità e postura di sicurezza cibernetica nelle varie
Componenti del nostro tessuto produttivo nazionale che pensare di avere un'applicazione immediatamente è pressoché impossibile e qui mi ricollego alla sua domanda che mi chiedeva qual è il livello di implementazione neri in Europa allora so che la dottoressa Rizzi ha altri dati
Ma sicuramente le più aggiornata di me a settembre di quest'anno
Solo sei Paesi avevano approvato la l'implementazione della dove della direttiva miss due in Europa
Questo ora la dottoressa Rizzi bonariamente mi ha detto che lo sono passati a qualcuno di più però questo non cambia l'ordine l'ordine
Dei fattori perché la normativa se non sbaglio doveva essere approvata entro il ventiquattro ottobre due mila venti T quattro
Più e
In quella data c'erano tre scarsità di di dissero di soggetti nazionali che l'hanno provata che che era francamente imbarazzante tanto da spingere la Commissione Europea a ad attivare vent'tiritere procedure di di infrazione ma questo che cosa ha fatto ha fatto sì che se noi eccezionalmente siamo stati uno dei primi Paesi implementarla e quindi a ragionare su come allinearci a quelle che sono le nuove le nuove richieste
Previsionali su due cerchi un rischio cioè che il rischio di perdere di perdita di competitività rispetto ad altri Paesi perché è chiaro che un costo adeguarsi a questa normativa è un costo
Oltre che poi dobbiamo anche vedere come veniva richiamato prima se abbiamo il le risorse per poter sostenere ma non io non parlo di risorse tecniche
Quelle sì sì sì si acquisiscono problema sono risorse umane sono sicuro che Pannella che Pannella successivo ne parlerà ma dicevo è un costo l'adeguamento a queste normative è sempre un costo e quindi accolgo con eccezionali a favore la quanto detto dal dal prefetto Rizzi di avere un ingresso graduale nel nel nella nel nella RIS due fermo restando che come lei menzionava
Il problema è un problema globale cioè in termini cibernetico un dominio che non ha confini
In considerazione dei del degli dei mutamenti geopolitici avvenuti negli ultimi due anni
La difesa deve ha necessità di esso la difesa comune
E le implichi implementazione di di normative che in azione livello e anche la la la UE Hermès verso il pericolo è assolutamente fondamentale il problema qual è
Che quello che è chiamato dalla dalla dalla di sue cioè il controllo della supply chain
Perché poi alla fine questa tutta l'interconnessione fa sì che la azienda X acquisisca o abbiate o abbia correlazione o abbia rapporti economici con un'azienda Y che non è magari soggetta Alanis due e questo fa sì che tutto l'archetipo
Crolla come un castello di carte quindi è necessario avere un processo progressivo comune in ambito europeo
Io parlavo con dei dirigenti d'azienda di agende di aziende che lavoro nel settore cyber che hanno aperto diciamo dei dei centri nei Paesi in alcuni Paesi dell'Est Torin ogni litro
Si può di pressione
Geo politica al momento estremamente avanzata come Lettonia per esempio nella nel settore cyber e descrive e sono tra i primi Paesi che hanno implementato questa questa normativa per cui sono estremamente avanzati
Però spostandosi un po'verso est Paesi diciamo dell'ex blocco sovietico appartenne ora ora europea in un anno lastre non hanno avuto la stessa sensibilità e quindi si possono essere considerati dei canali d'ingresso degli attacchi
Bene anche quello che è successo nei rapporti europei forse anche quello che successe Spagna anche seri bisogna capire bene cosa succede dovrebbe farci dovrebbe farci riflettere mi consenta di dire una cosa su quello che è successo in Spagna
Io non ho ancora avuto nessuno che mi abbia spiegato cosa sia successo no perché nessuno ancora lo ha capito esattamente
Avvocato San Mauro lei un giurista un esperto di diritto quindi da lei vorrei in qualcosa di leggermente diverso capire al al livello diciamo normativo a che punto siamo nel settore della cyber sicurezza
Ma io mi spiace inizierei con una domanda intanto rimarrà legato sia a me perché no no no no forse forse prefetto ad inizio potrà rispondermi spero che presentano insieme sulle sponde
Ed è questo insider crème caramel di cui stiamo parlando voglio dire a due vigili completamente diverse con obiettivi diversi
Uno è quello di tipo politico che ha origine statuale o criminale di un'organizzazione terroristica perché vuole colpire l'efficienza la qualità la sicurezza del soggetto destinatario del canale
Ok
Un altro e non c'entra niente col primo è invece un'organizzazione sempre terroristica se volete o comunque criminale che vuole un riscatto per i dati cioè un soggetto che ha interessi economici
Allora mi sarebbe piaciuto a vere e finora non l'abbiamo voluto però il convegno in corso una ripartizioni in percentuale
Degli attacchi complessivi per la vostra esperienza avvenuti nel due mila e ventiquattro Rizza beccate quanti sono in percentuale di carattere economico e ieri parlavo con un autorevole
Componente
Di questo convegno anzi ringrazio il presidente del fabbro per aver avuto l'intelligenza dell'lungimiranza di focalizzarlo sul tema del cyber crime
E non e non non era semplice lui raccontava che hanno dovuto pagare ovviamente cripto valute voglio dire perché il l'attacco non era a con finalità politiche davvero meravigliare Hidalgo Romica acquisire dei dati con per poi utilizzare per finalità economiche e quindi questa ripartizione a me sembra importante dal punto di vista
Istituzionale debbo dire che la confusione c'è ancora per vari motivi innanzitutto voglio dire a livello nazionale perché abbiamo un ripartizione delle competenze
Che non sono integralmente nello Stato noi ancora abbiamo un articolo centodiciassette ricostituzione
Che io chiedo a tutti voi che avete
Importantissime cariche all'interno delle utilities locali di farmi interprete presso i parlamentari perché venga riformata domani mattina sto presso la Costituzione dice infatti l'articolo centodiciassette
Che sono materie di legislazione concorrente la produzione il trasporto e la distribuzione nazionale dell'energia cioè alla Costituzione repubblicana lei ha radice che questi sedimenti che in tutti gli Stati del mondo sono di competenza esclusiva dello Stato sono di competenza dello Stato e delle regioni questo non funziona non funziona evidentemente perché proroga un primo elemento a questo elemento possiamo dire che si aggiunge la completezza della fase genetica della
Delle autorizzazioni delle concessioni per le grandi derivazioni idriche per le piccole derivazioni idriche per ciò che concerne gli scavi del sottosuolo ad esempio
Nelle condutture del gas no come genere quindi è il tema della sicurezza non cibernetica ma fisica anche legato alla capacità degli enti pubblici territoriali il comune di vigilare voglio dire su come avvengono questi
Queste opere nel sottosuolo e questo voglio dire a livello di enti locali lo dico senza tema di essere smentito il livello di competenza è zero ecco da questo punto di vista ha ben detto il ministro
Pichetto Fratin il problema della formazione è fondamentale non solo a livello statuale ma anche a livello regionale e degli enti locali a mio avviso voglio dire
E
Mi riallaccio all'esatte valutazioni generale Ramponi testé affermate bisogna trasferire più competenze a livello dell'Unione Europea cedere pezzi di sovranità nazionale in materia perché la cyber security come peraltro l'ambiente non è che conosce confini geografici precisano dogane o
Finanzieri che possono
Con anzi vaglio di ricco e da questo punto di vista la cooperazione internazionale è assolutamente fondamentale poi naturalmente
La questione molto varia dalle condizioni in cui siamo nella concorrenza nel mercato cioè in cui ci sono una pluralità di soggetti che operano ha io giudico concorrenza rispetto invece alle condizioni di monopolio naturale dove invece la concorrenza e poi il mercato ritengono i cinque minuti e sono tre minuti quaranta sotto zero
E quindi il tema della concorrenza per il mercato è legato anche al tema della durata le concessioni anche qui voglio dire
Un tema assolutamente aperto e poi volevo lanciare un altro sasso nello stagno siamo proprio sicuri che anche parzialmente
Imbrogli non siano usciti dalla stalla in alcuni settori voi mi insegnate che la trasmissione di energia elettrica in Italia viene
Effettuata da un soggetto che si chiama Terna il quale soggetto agisce in regime monopolistico quindi farà la produzione e la distribuzione e per avermi ed abbiamo un solo dello SMI sornione
E abbiamo anche un solo trasmesso riunendo che si chiama Slam il quale
Il trans Mick colui che trasmette il gas su tutto il territorio nazionale bene entrambi i soggetti sono proprietari di Cdp sono di proprietà di Cdp Reti
Quello sul quale però dobbiamo riflettere ancora una volta lo rivedo magari in modo magari un po'noioso che Cdp Reti e per il settanta per cento di proprietà di Cdp
Ma per il trenta per cento di perdita Piccenna deride State che non è di proprietà dello Stato cinese ma del partito comunista cinese alias il Partito comunista cinese oggi in Italia a il trenta per cento di Cdp Reti che a sua volta approdare il cento per cento delle due grandi reti di trasmissione delle leggi elettrica
Del gas beh e questo francamente penso che sia un tema che mi preoccupa dal punto di vista voglio dire è vero voglio dire che in più convegni i rappresentanti di stabilità ed hanno detto sì però i rappresentanti di cene che rivestite nei consigli d'amministrazione stanno zitti va be'stavano intima decidessero che bellissimi di stare zitti e poi elaborare nel tempo strategie no hanno una presenza ricco sia messa insieme a una presenza nel collegio sindacale infine sulla governance voleva aggiungere alla brillante relazione del collega Lisi
Anche un altro profila un altro soggetto chiamato secondo me a necessaria e nuove attività anche l'organismo di vigilanza lo dico cioè oltre ai citati così amministrazioni con incise magari dovranno essere anche io di blu a occuparsi di questo tipo e della sede che o sfiorato di un minuto e mezzo chiedo mai
Sul set
Allora se si accorgerà stiamo tutti un pochino più agile perché siamo un pochino in ritardo
No io mi permetto solo di replicare parzialmente la questione ICI di Pieretti perché io sono in parte d'accordo però mi stupisce che queste perplessità vengano solo adesso che Berlino ci ha negato l'ingresso reti tedesche
Per dieci anni nessuno ha mai parlato dei cinesi incipiente poi lei magari l'ha fatto tra i giornalisti no coi comunque gli operatori del settore no
E aggiungo anche che nel nostro governo Islam e nessuno ha alzato il DT ha protestato contro il no dei tedeschi quindi la questione della su un pochino perplesso
Dottore molto di questo convegno per fare un altro se il presidente no però insomma buttata qualche elemento di riflessione chi chi vuole capire capisce
Dottoressa Rizzi vediamo un secondo giro di domande ma secondaria già fatto abbastanza dove vuol partire perché c'è il tema del prima dice le ha dati diversi sull'adeguamento alla Annis due in Europa poi c'è anche la domanda molto interessante del dell'avvocato San Mauro Suma su quella spartizione poi dei dei degli attacchi cyber
Allora dunque partiamo dallo stato dell'arte del recepimento effettivamente sono purtroppo il sito della della commissione non è update con la frequenta frequenza necessaria ma all'ultima riunione del riscopre su un gruppo tenutasi sotto la presidenza danese a Copenaghen a verso la metà fine di di settembre la commissione ha dato un aggiornamento dicendo che hanno nel frattempo recepito in totale quattordici Stati membri comunque siamo sempre in una situazione di non perfetto allineamento fra tutti gli Stati questo cosa comporta però comporta dal mio personale punto di vista non uno svantaggio per l'Italia ma un vantaggio e spiego subito perché
Perché gli Stati che non hanno ancora recepito e stanno decidendo come fare a recepire hanno la possibilità di guardare ad un modello di implementazione delle attività richiesta dalla miss due
Che funziona calmo dall'italiano che non è un caso infatti che stiamo partecipando ad una serie di sessioni richieste da altri Stati tra ad esempio l'Irlanda tanto per citarne uno che guardano con favore a questa nostra metodologia che dal punto di vista
A più tecnico e basata ai fini della definizione dei requisiti di sicurezza sul freno nazionale per la saga istituita Data Protection che
A sua volta è basato sul misto e due punto zero e questo non è una cosa da poco
Perché dovete sapere che ne Oropa si combatte la solita a discussione tra impostazione sulla base degli standard ISO e impostazione invece più flessibile basata appunto sul mista il fatto di
E se nella condizione di poter invogliare gli Stati che ancora devono recepire ad abbracciare un modello basato su un framework mister quindi un framework
Universale sostanzialmente
Porta un vantaggio per le nostre imprese perché
Quando saremo in grado di poter esportare all'estero il modello per dimostrare che nel caso concreto l'implementazione delle misure basata su una modalità flessibile di applicazione dei vari requisiti
Di Cyber Security è quella traduzione concreta del principio di proporzionalità declinato dalla direttiva che tanti altri stati invece l'hanno presa in considerazione
Invece per la sollecitazione relativa alla a distribuzione insomma delle e le percentuali per quanto riguarda la tipologia degli attacchi a dir la verità al questo è un tema che richiama in campo competenze che in parte esulano dall'ambito o della del del ventaglio delle competenze di ACN perché come sappiamo il contrasto al K Isabel carne siamo nella casa del ministero dell'interno del Dipartimento la pubblica sicurezza
Incardinato presso il dipartimento aggiungo che diventa anche difficile lato ACN fare una ricognizione di questo tipo perché
Ci sono o ci possono essere tanti casi in cui purtroppo incidenti non vengono segnalati ad ACN e questo non perché
Si tratta di situazioni alle quali soggetti essi
Diciamo sottraggono all'obbligo di notifica che per inciso preciso attualmente vige per i soggetti che stanno nell'ambito perimetro nazionali Sanders Security
E per questo oggetti diciamo ex nessuno perché l'obbligo di notifica ai fini della miss decollerà a partire dalla metà di gennaio
Ma a molti di questi soggetti invece magari fanno denuncia le forze di polizia ecco perché è molto probabile che se dovessimo mettere a confronto i nostri dati potrebbero non non coincide se mi consente una sola battuta riguardo ai fornitori
Critici perché questa è una pratica troppo importante per non richiamare l'attenzione su questo aspetto e mi riferisco in particolare a quei fornitori critici particolarmente critici che sono i fornitori dei servizi di sicurezza dei forni e i fornitori di servizi sicurezza gestiti
C'è una situazione che si sta verificando in questo momento nella quale notiamo che esso oggetti che erogano o servizi di sicurezza gestiti e che hanno il dimensionamento di media impresa al non sto e che avrebbe dovuto registrarsi nel due mila venticinque non si sono registrati
Allora a questi soggetti dico che è il caso che procedano a registrarsi per il semplice motivo che ad aprile del due mila ventisei
Attraverso la comparazione per la lista dei soggetti che sono fornitori vedo l'amico Manfrin perché insieme all'UE e a tanti altri amici vedo anche Yuri in in platea abbiamo riattivato il tavolo di collaborazione interistituzionale ai fini proprio della protezione da Sapri cena
Estrarremo la lista dei fornitori dei tutti i soggetti Nissa e confrontandoli scopriremo che sono i fornitori critici grazie grazie
Generale fonti
Si diceva prima il tema delle risorse risorse sono sono quelle che sono c'è un tema di di competenza ma c'è anche un tema prettamente economico per le imprese e quindi investimenti da fare sono tanti
E quindi era coperte quella ecco quindi quando io insomma quando le risorse scarseggiano assessore cioè Six colleghi insomma si si si auspica sempre anche un supporto da parte del sistema
Sì anche perché l'anima dove Chiara che riconosce l'autorità competenti
Una un obbligo di supporto il supporto non è soltanto in termini di sensibilizzazione orientamento ma anche quello di favorire la dare concretezza alla possibilità e soggette appunto i soggetti essenziali importanti di raggiungere gli Obiettivi resilienza che che il il decreto prevede
In primo luogo
è opportuno che essi si lavori anche a favorire dei partenariati pubblico-privati o favorire anche delle delle delle partnership congiunte per per realizzare determinati obiettivi quindi fare un po'squadre in questo senso
Indirizzare ma in questo caso anche individuare incentivi mirati di risorse finanziarie a sostegno dell'impresa attualità l'attualità la situazione finanziaria abbastanza critica se vogliamo soprattutto su alcuni settori ci avvaliamo delle risorse della della strategia d'azione della cyber sicurezza ci avvaliamo ancora dei fondi di di investimento strategico della missione uno del PNR R. sono tutte progettualità che stanno andando a completamento ne vorrei
I care un attimo solo sulla tematica dell'acqua che forse particolarmente significativa sottomessa aspetto
Utilità lei lo sa benissimo conosce benissimo questi dati dal punto di vista del supporto infrastrutturale gli investimenti da fare nei prossimi anni sono quantificabili sì al settore acque potabili che refoli sui sei miliardi circa un miliardo l'anno
A questo va aggiunto l'entrata in vigore nel gennaio scorso della direttiva acque reflue che quota una cifra simile conoscete benissimo noi supportiamo quotidianamente il commissario unico alla depurazione
Che deve portare avanti delle iniziative per far fronte a delle procedure di infrazione che vanno avanti su su fognature e depurazioni da da anni anni saremo in Italia
Vanno a compimento vanno esaurirsi anche fondi appunto oltre quelli del PNR anche quelli del Pennisi quindi in questa sforzo che il governo deve fare di individuare le risorse va a trovato anche come dire una fetta da quotare sulla Cyber Security che nel settore acqua come diceva il presidente
Quota sui quaranta milioni l'anno ma ha una grande importanza strategica perché assicura la sicurezza della
Di un servizio fondamentale come la distribuzione dell'acqua potabile in termini appunto di di di di di insicurezza dei cittadini anche per la sicurezza per l'ambiente per la gestione di tutto il sistema delle fognature depuratori delle possibilità possiamo individuarle nel prossimo quadro di fabbisogno pluriennale della della Commissione europea il trenta trentacinque per cento dei due mila miliardi intorno a settecento miliardi e rientrano nel versante Green dove c'è pure il settore idrico però ecco bisogna lavorarci perché sono Defoe delle risorse finanziarie che verso vanno messe subito a terra per affiancare appunto tutte le conseguenti iniziative uno tutti in un unico accenno faccio
Sulla prossima legge di bilancio che all'articolo novantaquattro pensiamo una goccia nel mare comunque dovrebbe essere rifinanziato libera Portelli per ammortamenti o di beni materiali e immateriali che prevede anche la possibilità di esca un che riguardanti gli investimenti in sé e per sicurezza
Però è chiaro che il focus sulle risorse finanziarie soprattutto per le piccole e medie imprese altrimenti perdiamo dei pezzi di importanti di questo di questo sistema
Grazie mille generalità può nella l'altro c'è l'altra faccia della medaglia di quello che ha appena detto il generale Conti e la partnership pubblico-privato può essere una soluzione
Allora assolutamente sì assolutamente sì per dire quasi pleonastico capire il perché
Oggi come ho menzionato prima abbia un problema di risorse umane
Lei migliori nostre risorse umane sono ovviamente attratte da
Soggetti economici diversi come le bistecche per cui noi già perdiamo in partenza
Centinaia di migliaia di euro che noi abbiamo speso per la formazione di questi soggetti che vanno poi ad essere impiegati all'estero generalmente all'estero
Sfruttando le conoscenze apprese da noi
Il partenariato pubblico privato a un valore fondamentale bisogna essere
è un è uno step che dobbiamo ancora compiere come come sistema Paese
è molto dice direi nord Atlantico e con delle accezioni israeliane il tipo di rapporto che si può instaurare tra società di chiamiamola ingenerano Stearns di sicurezza informatica e Lost e lo Stato
Ma faccio un esempio faccio faccio richiamo a quanto detto sia dal dal presenta fabbro sia al documento
Ah non paper del del ministro Crosetto
Se noi pensiamo di poter creare delle strutture che possano controllare la supply chain
E da vere
E ed avere anche strutture che possano avere una una un atteggiamento di chiamiamola
Difesa proattiva ovvero una capacità di deterrenza sul sulla scorta di quanto già avvenuto per il nucleare verso attori ostili estremamente pervasivi che e direi continuativi nella loro azione costante giornaliera
Noi dobbiamo fare di di corso assolutamente al privato ma in che termini in termini di creare delle opportunità sia per i nostri migliori talenti
Nel settore della sicurezza cinghie cibernetica sia offensiva che difensiva sia allo stesso tempo di immaginare che questa tipologia di talenti a un costo ha ha dei costi estremamente elevati faccio un esempio un penetri Shawn teste Junior in negli Stati Uniti vale uno stipendio partenza di centoventi mila euro
In svizzera mi sembra che salga centocinquanta mila franchi in Italia sono venti mila venticinque mila quindi capi prego sì quindi non siamo competitivi invece attraverso questo partenariato pubblico-privato ne possiamo sviluppare queste competenze uno con un approccio nuovo diverso
Che deve essere soprattutto mi consenta coraggioso ma coraggioso nella misura in cui M e e qui concludo
Coraggiose misure in cui non abbiamo una visione del futuro
Noi dobbiamo vedere dove vogliamo andare non a domani ma a lungo termine
Il signor ministro Crosetto a presentato questa idea questa questa questa proiezione questa visione verso verso una la creazione di una forza armata che abbia capacità di difesa proattiva bene
Benissimo anzi benissimo
Il problema è che noi abbiamo in Italia un sistema
De che dal punto di vista legislativo è ottimo rispetto comparato agli altri sistemi europei ottimo
Ma manca proprio questa componente la componente di un attività della difesa proattiva che però non può eludere
Non può dimenticare un il fare sistema con le altre tre gambe che sono le forze di polizia ACN e l'Intelligence
Perché per un motivo ben preciso ricordiamoci che in tempo di pace il un'azione ostile poste posso posta in essere da una forza armata
è considerato un'azione di guerra
Grazie
Grazie a lei su avvocato sommare anzitutto grazie per gli spunti del primo intervento ma volevo capire se ero d'accordo su quest'ultimo punto che poneva il generale Ramponi
Sì certamente fondamentale noi per
Adottare ogni tipo di strategia devo conoscere e quindi dire
Conoscere vuol dire studiare avere una capacità di di integrazione tra i diversi soggetti e questo è necessario rispetto invece alla così mia la risposta del prefetto
Rizzi era mia domanda
Lancerei qualche qui un appello cioè voglio dire troviamo una modalità per cui tra la polizia postale la CNL Mimì essere interni e Palazzo Chigi esista comunque un centro unico ed elaborazione dei dati
Che sappia rispondere
Alla mia domanda di prima cioè quanti di questi attacchi sono di carattere di criminalità comune tendente a un riscatto e quanti invece sono degli attacchi alla sicurezza dello Stato laico secondo me è fondamentale avere questo questo elemento
Cognitivo non solo a livello italiano ma sulle addirittura a livello europeo
Risponderò e poi chiudiamo possiamo travolto per proprio perché no il punto e questo per fare questo tipo di analisi occorre avere dati che siano comparabili c'è già
Il problema e che non sono comparabili nel senso che mi spiego
La fonte che determina l'obbligo della notifica nei confronti di Acilia né è una fonte che guarda a una specifica tassonomia di incidente informatico e guarda a una determinata fonte normativa che impone un determinato obbligo a carico di alcuni soggetti
Ok poi c'è tutto l'universo mondo che invece purtroppo non rientrando in uno dei radicali cioè tipo agli alcuni dei settori presi in considerazione dal perimetro di sicurezza nazionale cibernetica che attualmente l'obbligo prevede l'obbligo di notifica attualmente vigente nei confronti di un numero i soggetti che intorno al centinaio i Soggetti perde terminate tassonomia di incidenti
Dopodiché è evidente che cento Soggetti e non posso essere più esplicita non esauriscono il la platea dei soggetti che tra settore In Praise tra settore pubblico possono purtroppo essere targhette di attacchi e tutti questi altri soggetti che subiscono attacchi che non sono obbligatoriamente da notificare
Alla alla CN ma che trattandosi di un incidente informatico perché ne teme un accesso abusivo a un sistema informatico che quindi è una violazione del Codice penale di conseguenza dà luogo all'avvio di un'azione fortemente penale nei confronti di soggetti che poi di fatto non vengono raramente vengono individuati fa sì che il numero delle denunce che il no anticipò riportare è grandemente evidentemente diverso rispetto a quello di dieci anni ecco perché diventa questo il mio difficili
E misera meneghine l'obbligo di attività anche un disagiati questi beni io vi ringrazio è essendo posizionavano c'è dibattito perché il dibattito per definizione costruttivo poi quando i relatori dibattono tra di loro
Il moderatore ha raggiunto il suo obiettivo perché diventato tra praticamente inutile grazie
A questo punto abbiamo parlato di somale abbiamo evocate durante tutta la mattinata grazie
Le competenze quindi il capitale umano passiamo all'ultima tavola rotonda siamo un po'tirati quei tempi quindi invito subito qui
I prossimi relatori parto dalla professoressa Paola gir Dini ordinare di elettrotecnica facoltà di ingegneria Università degli studi di Genova e presidente del Centro di competenza starter quattro punto zero
Intanto il dibattito prosegue
Positivo ribadisco passiamo al professore Ettore Francesco Bompard d'professore ordinario dipartimento Energia del Politecnico di Torino
E infine il dottor Alessandro Manfredini direttore Group sicuri che sarebbero Defense di A due A e presidente di Axa ovvero Associazione italiana professionisti della Security aziendale Benvenuti
Allora parte RAI dalla professoressa CIR Dini o lei quattro privilegiato che citavo prima quindi da una parte dialoga con le PMI dall'altra con gli studenti
Dell'università quindi insomma diciamo un legame che per definizione va rafforzato non soltanto in ambito di cyber sicurezza
Che progetti state portando avanti
Tutte e due tutte e due
Allora con le Università sicuramente in particolare a Genova e per la mia passione per questo tema io mi occupo di Saddam nel mondo Titano circa dieci anni
Abbiamo istituito un master molto significativo perché ha avuto all'unico master italiano in questo tema Caputo riconoscimento europeo che si occupa di Cyber Security e protezione delle infrastrutture critiche proprio per evidenziare l'importanza della protezione non solo nel nel mondo detti ma anche del mondo precedente etnologica un mondo diverso interconnesso ma che va protetta in maniera diversa perché ogni infrastruttura chiaramente alle sue
Anche Porlezza e non le sue criticità dei suoi diritti non è il mondo ittiche è un server un server no
L'infrastruttura ferroviarie sono in un certo modo quelle elettriche sono diverse e vanno protette in maniera completamente diverso e con normative diverse
Io in particolare ho voluto nel corso di laurea d'ingegneria elettrica un corso nella magistrale di Cyber Security per i sistemi energetici
Che è attivo da parte sarà attivo a partire dall'anno prossimo collaboriamo attivamente col centro di competenza che io dirigo che io presiedo che un cento e competenza sulla sicurezza delle infrastrutture critiche e che vede un su è un parterre variato guarda caso pubblico privato se vogliamo rientrare
Quanto detto precedentemente che mette insieme competenze del mondo della ricerca e del mondo aziendale proprio finalizzato a supportare il sistema Paese a rafforzare la resilienza delle infrastrutture critiche abbiamo una collaborazione in essere posso dire Milena no diciamo siamo quasi sorelle tratto con con l'agenzia proprio per supportare le piccole e medie imprese anche a ottemperare Nanni su due con tutto il tema della della della supply chain e su questo facciamo formazione cioè il fondo alla poi rientriamo magari poi dopo parlerò con mi prendo questi primi cinque minuti poi dopo quello che suggerirei alle sì
Lo facciamo formazione proprio finalizzata a quello che ha richiesto da anni due ma anche formazione specifica proprio per aiutare le aziende a far crescere internamente già ai loro dipendenti perché è tutto vero c'è c'è carenza di di queste competenze
Dobbiamo fare tanta strada
Ma bisogna anche usare le competenze che si hanno e fare formazione continua poiché un onde evitare una trasformazione digitale formazione continua è alla base ed altre soluzioni digitali non parliamo del mondo era Cyber Security
Per cui come centro in collaborazione con l'università
Abbiamo facciamo corsi però per vari responsabili centrale piuttosto che per inciso piuttosto che per tenere aggiornamenti
E dipendenti perché bisogna insultare risorse che si hanno dentro anche in un in particolare in un momento in cui c'è una grossa carenza di competenze in questo settore per cui questo è un messaggio che da RAI
Formate i vostri dipendenti sia sul digitale che sulla cyber a tutto tondo
Ammetto che almeno alla è una memoria siccome qua a fianco a un amico carissimo che esce con questa sera del quale ho fatto un Progetto inalterata spettacolare proprio uno anzi seguendo anche tante suoi suggerimenti
E e anche in Italia siano portando per esempio da sei anni stiamo portando avanti un progetto che ha dato dei risultati molto significativi troppe nel settore risale Hunter solo stanno stanno facendo lavori questo genera ammetto che alla non a me il ticket sono molti Mondardo io con lui ci sono le basi rischiamo ho finalmente fatto il corso del saldo sicurezza ormai da
Professor Bompard da abbiamo visto che la cyber sicurezza in generale molto tra pensarla come qualcosa per iper specializzati invece molto trasversale e poi come diceva giustamente adesso al possesso Gilardino necessita di una formazione continua
I giovani sono pronti a a dedicarsi a una macchina di questo gene qual è la sua percezione
Allora rispondo frutto a sua domanda volevo solo di fare due piccole due piccoli punti prima il blackout spagnolo non ha nulla a che vedere con la scelta Security e su questo non c'è nessun dubbio non giusto per essere chiari
Non non ho tempo per raccontarvi la storia di come è successo ma non c'entra il secondo punto che che butto lì come provocazione perché oggi non ne ho sentito parlare e la questione della data sovrani che nazionale
Non ne possiamo parlare ma l'Italia è un Paese che ha abdicato alla sua data sovrani ti se voi guardate le politiche di Germania e Francia sono diverse
C'entra con la Cyber Security perché in qualche modo è collegata la butto lì come provocazione non è il tema del Nord è nostra conversazione
Arrivo al a alla sua domanda
Diciamo che
Siamo in una situazione in cui la digitalizzazione delle fratture del jazz che cresce noi abbiamo avuto nel due mila ventiquattro investimenti per le gli utili che assieme ai circa ottocento milioni di euro settecentottanta
E rispetto al due mila ventitré avevamo cinquecentottanta cioè l'aspetto di averle digitalizzazione quindi io ti
Nell'infrastruttura delitti relazionali estremamente importante volevo dare due per aver risponde alla sua domanda volevo dare due numeri
L'assedio sicurezze d'Italia alcuni parlano di quattro miliardi come valore di mercato il Politecnico Milano un po'meno due e mezzo però dipende però questi sono ordini grandezza abbastanza importanti che dicono
Che si investa poi bisogna capire l'efficacia di questi investimenti
Il fattore umano che quello della formazione del coinvolgimento dei giovani è importante perché sostanzialmente il phishing non le le tecniche di ingegneria sociale rappresentano il sessanta per cento delle modalità di infiltrazione
Lo sfruttamento delle invece delle così delle
Vulnerabilità del sistema circa il venti per cento quindi avere persone formate conscia del problema importante
Vi davo in estrema sintesi nuovo un un dato della Commissione europea che dice che c'è una carenza in tutti i settori perché legati alla sicurezza informatica di trecento mila unità in Europa questo nel due mila ventiquattro e dice anche che il settantasei per cento dei dipendenti
Che ricoprono ruoli legati alla sicurezza informatica non possiede alcuna qualifica
Formale o formazione più specifica di Taranto
Che cosa fa l'Accademia italiana
L'Academy italiano nell'anno accademico due mila ventiquattro due mila venticinque avuto settecentosettantaquattro tra così insegnamenti relativi alla Sai per sicurezza il cinquanta per cento in più dell'anno precedente
Alle prime stava dicendo no tutti quanti corrono a fare formazione trecentoventitré insegnamenti nell'ambito dei corsi di laurea magistrale centocinquantotto insegnamenti nelle lauree di primo livello ottantasei progetti di un dottorato di ricerca
E sessantanove corsi all'interno del master di secondo livello cinquantaquattro master di primo livello ci sono trentuno corsi di laurea magistralis sette corsi di primo livello
Interamente dedicati alla Sai persino allora questo per dire che il discorso picchiarono
E e c'è una consapevolezza del mondo accademico italiano per andare in questa direzione il tema io credo torno a sua domanda e che non sia semplicemente un problema di Harare dei super specialisti di Cyber Security
Perché la cyber security una specie di conoscenza trasversale che poi deve essere declinati in verticali diverse che riguarda un sistema fisico osserva
Lo stesso tipo di minaccia cyber può essere come dire
Di struggente rispetto a una certa situazione una certa infrastruttura fisica e ininfluente rispetto a un'altra
Non solo nel momento in cui io devo tener conto delle minacce di tipo
Cyber sull'infrastruttura fisica devo attrezzarmi per essere resi niente rispetto a queste minacce e questo vuol dire che io devo avere persone
Che abbiano una competenza integrata fra gli aspetti cyber trasversali e gli aspetti di dominio
Non per avere un tuttologo che sa tutto ma per avere persone che riescono a rapportarsi all'interno della realtà nazionale
Mettendo riuscendo a dialogare quindi mettendo insieme la protezione cyber con la conoscenza del dominio e quindi poter
Mettere insieme delle strategie di difesa e dia ripresa dei servizi
Che tengono conto di queste due attività da questo punto di vista quindi il capitale umano estremamente importante e credo che sarebbe importante anche ragionare all'interno dell'azienda su questo aspetto
L'altra cosa che mi permetto di dire rapidamente e concludo il tema della formazione deve essere un tema di formazione continua Hillary sulla non sul questo perché la dinamica del mondo che ci sta intorno che sempre più rapida
Da un lato porta nuove minacce dall'altro porta ad un suo evoluzione tecnologica di tecnologie che Porsche penso sia soggetta minacce che Risoluzione o protezione rispetto ad altre minacce
E e e quindi da da questo punto di vista non si può pensare di avere una formazione che viene fatto una volta e non più la collaborazione università
Mondo dell'industria e istituzioni credo sia anche importante nel designare questi percorsi che permettono di essere sempre adeguati a fronte già a fronteggiare le minacce grazie
Comunque abbiamo capito che letta spagnola piaccia quindi andiamo all'attacco degli altri sette affatto prossimo scontro a sinistra perché è una fase
Si esaurisce in poco non lo so perché io sono stata so intervistato un mese e mezzo fa un evento un esperto dell'R se che ha fatto la presentazione di venti slide
E alla fine la conclusione è stata molto filosofica so di non sapere quindi non sapeva no spiace Enzo io a una commissione se vuole suoi a una commissione che sta investigando questo è abbastanza chiaro pure cos'è successo
Tutto Manfredini
Quali sono allora lasciamo ancora il mistero l'otto marzo dire quali sono le principali scrisse che vengono richieste per gli esperti sarebbe sicurezze qual è poi il ruolo di un associazione come la vostra
E grazie parlare dopo con due professori mi mi creeranno un po'un po'di imbarazzo però cercherò di dargli una visione un po'più azienda aziendalista no perché poi alla fine abbiamo la compliance abbiamo i rischi alla fine però siamo tutti uomini e donne d'azienda
Che dobbiamo fare quotidianamente il nostro lavoro non solo per fare impresa ma evidentemente anche per erogare servizi essenziali di pubblica utilità quindi questo si aggiunge al nostro dovere di fare impresa
E quindi io ruolo che deve avere questo nuovo rinnovato professionista della Sea chiusi passa evidentemente dal livello di maturità
Della singola organizzazione allora
Abbiamo visto quanto è complessa la tematica quanto anche tra tecnici a volte si faccia fatica a parlare una lingua che sia che sia comune no anche solo banalmente e uso banalmente come un femminismo per definire un incidente c'è un incidente che tale che ha delle cause di una certa natura che riverberano però conseguenze di tutt'altra ok e questa è la Ignis l'Anis
E più sulle affetto che sulla causa ci sarà una nuova norma che arriverà che si chiama Cerra che si chiama già certe che più sulle sulle cause ok e poi c'è tutto il tema dell'azione di natura penale che e lasciata ai singoli nell'esercizio della tutela dei propri interessi quindi esisteva notifica ed esiste poi la denuncia
Quindi per governare questa complessità le aziende hanno bisogno di persone che sappiano parlare con altre persone che sappiano governare la multidisciplinarietà
Della cyber che fino a qualche anno fa era interazione uomo-macchina oggi è qualche cosa di più complesso
Quindi se io dovessi da uomo d'azienda dare un consiglio e quello di cominciare a investire su persone di azienda
Che abbiano la capacità di governare
La complessità della materia cyber sfruttando evidentemente un ecosistema fatto di parte né di fornitori
Senza però subirle
Perché il vero tema di a vere un fornitore unico buono per tutte le stagioni va benissimo per un'organizzazione che evidentemente a una maturità e magari una complessità di un certo tipo però attenzione ai blocchi in perché poi alla fine il singolo punto di folte no può creare dei grossi dei grossi dei grossi problemi
Quindi investire sulle nostre persone è sicuramente la prima la prima cosa creando opportunità come queste per confrontarci noi con un'utilitaria ed ha diversi anni oramai che abbiamo dei tavoli tecnici in cui ci confrontiamo e cerchiamo soprattutto di dare una risposta da un settore così particolare e dove ci sono enormi competenze
Per dare delle risposte delle interpretazioni che possono aiutare anche chi ha un ruolo di vigilanza e di indirizzo come la CN
Per dare la risposta del mondo delle utility
Alla sfida della Cyber Security perché le Telco devono fare il loro le Utility a hanno le loro peculiarità noi abbiamo da sempre ed è stato detto oggi
La grande focus dell'Operational Technologies perché le nostre attività stanno là i gioielli della corona stanno nei nostri nei nostri scada più che sui sistemi gestionali
Quindi io se ribadisco che il tema della formazione come diceva il professor Comba arte la professoressa Serginho
E assolutamente trasversale quindi bisognerà anche come come terzo settore e cercare di promuovere formazione nelle scuole in modo tale che la cultura di base sul sul digital avvenga non nelle aziende oggi noi aziende sì dobbiamo colmare un gap culturale
Perché evidentemente abbiamo le nostre persone che utilizzano gli strumenti senza conoscerne le le minacce
Alla Società delle scuole mi dà un assist che voglia tornare sul tema con con la professoressa ciellini e però prima volevo chiedere a lei quindi anche lei ovviamente vede un forte tema di carenza di competenze
Ma allora sì il innanzi più che più che carenza di competenze essi vedo che c'è la necessità di vede la grande difficoltà di avere dei team
Inter funzionali e multidisciplinari e quindi alla fine si fa fatica il mercato le a queste competenze il vero tema è che comunque hanno un costo non è detto che tutte le organizzazioni non solo non abbiano la maturità ma abbiamo la capacità di poter sostenere anche determinati costi quindi bene la gradualità
Però la gradualità c'è la c'è la consente l'interpretazione del decreto miss le minacce che potrebbero compromettere irrimediabilmente i nostri business non c'è gradualità cioè abbiamo esempi concreti di Società che sono state vittime di un attacco di Rameau suerte e hanno tenuto le loro fabbriche ferme per delle settimane
Jaguar un esempio per tutti che non ha niente a che fare con il nostro mondo però un colosso e che comunque avuto una grave perdita stimata di miliardi di dollari senza pensare a tutte ai danni indotti quindi se è vero che da una parte la norma e la compliance cita una gradualità
Le minacce concrete con rischio di non poter rimanere sul mercato ci pongono di fronte alla necessità in assoluto di dover accelerare e magari cercando e quindi mi faccio anche del portatore degli di interessi e del della richiesta di aiuto che le imprese hanno fatto sfruttano il terzo settore per promuovere iniziative veramente di sostegno concreto alle imprese per defiscalizzazione ma anche sulle persone cioè incentivare i nostri Giovani in che hanno studiato magari in Italia a non andare all'estero e quindi trovare delle formule
Ecco a pagarli di più senza magari gravare sul sul sui bilanci delle aziende trovando delle formule per cui alla fine l'azienda paga meno i nostri e i nostri giovani guadagnano di più scusate lo dico male
Ma questo potrebbe consentire no di mantenere un know how che ha molto a che fare con la sovranità digitale anche con la sicurezza nazionale professoressa Gervinho il
Se lei era d'accordo su questo punto è poi il tema di sensibilizzare come dire i giovani magari partendo anche già presentano le scuole superiori si immagina
Allora tanto volevo solo sottolineare una cosa tanto per dare un'idea del problema grosso della nella fuga dei cervelli
Un comune è una distesa dello Stato italiano su uno studente parlo di università
Ritorna l'Italia zero sessanta zero sei un è un speso dalla Gran Bretagna ritorno al paese uno virgola cinque
Questa moltiplica attorno al contrario è successo questo però e i nostri stipendi oggettivamente non sei ragazzi io i miei quando si laureano preferisco andar fuori perché qua non li paghiamo e per cui cioè questo è un è un dato di fatto
Sì io addirittura
Partirei dall'elementare ma perché le dico che partire dalle elementari
Perché il tema del processo digitale o l'utilizzo perché purtroppo si bambini sono già sempre avanti al cellulare fin da piccoli tutto il tema anche del li aiutiamo anche se capisco l'oggetto perché Quaratesi un da vale che rapporti
E analisi che son stati fatte sapete chi sono paradossalmente quelli che vengono più cercati e a quegli attacchi poi cosa l'attacco una cosa e l'incidente quando si verifica cioè quando l'attacco va a buon fine sui giovani sembra incredibile perché comunque la gente dannoso generazione siccome almeno confidenzialità con questi strumenti è più attenta
I ragazzi hanno una grande confidenza con questi oggetti e per cui tutto quello che arriva a tutte le comunità cliccano su tutto no qualunque cosa che arriva perché loro hanno confidenza li sanno usare ma non li conosco
Per cui già alla scuola se iniziasse a far capire che cosa vuol dire questo oggetto che un computer a tutti gli effetti no che abbiamo in mano e leninista iniziassero a spiegare i quali sono i vantaggi ma anche i rischi che comporta dell'inverno la faremo
Un un lavora da un podestà sociale importantissimo e non ultimo con confermo quello che dice lui perché anche in università quando arrivano i ragazzi preparati dalle scuole di è sicuro
Vorrei stendere un pietoso velo sulla preparazione del tanto non so neanche più l'italiano che voglio dire questo è già grave molto più grave però non banca troppo sembra che il mondo scolastico non abbia capito che il mondo è cambiato
Cioè che piaccia o non piaccia non possiamo continuare a insegnare cose che sono obsolete no dovrebbe ogni dovremmo iniziare anche insegnando le cose tradizionali che devono rimanere perché la cultura di base assolutamente fondamentale
Ma il segnale usando metodi che diverso e non magari facendo capire cosa vuol dire utilizzare una ditta avvertì di usare il cellulare berlinese per avere conosce selezionare quello che troviamo nonché però è un altro tema
Incredibile
E questo secondo me estremamente importante ed estremamente importanti poi perché quello lo trasferiscono i genitori no ai genitori che a loro volta utilizzano il cellulare poi rubano e le credenziali della
Della carta di credito magari su un cellulare e così via un altro tema che mi sta molto a cuore e l'altro
Il organizzare certe elencando e Gender Gap no se noi riuscissimo a superare un paradigma veramente
Sociale su quello che una donna deve fare da adulta hanno che può fare benissimo l'ingegnere non necessariamente la professoressa di filosofia fin da piccola
E questo è già ci fornirebbe l'altra metà del cielo che invece va a studiare sempre
Per fa prevalentemente per corsi umanistici per cui
E anche iniziare fin da piccola il far capire che siamo tutti uguali veramente non perché l'intelletto non è né maschile né femminile
E si potrebbe invece ecco qua per uomo e per donna iniziare anche questo percorso ma questo deve partire anche dalle famiglie vere e proprie un fatto di paradigma culturale no alla bambina gli regaliamo la bambola un maschietto può fare quello che vuole non sarebbe mai
Che la femminuccia potesse giocare con altre cose che non siano il pentolino qualcosa del genere per cui assolutamente sì però
Voglio dire una cosa che succede in Italia che è molto bella il Consorzio nazionale delle Universiadi c'è un consorzio che ha messo insieme tutte le università
Gli italiani in particolare il settore dell'informatica danni
Porta avanti un'iniziativa molto interessante che Al Sadr Challenge che una sfida nei licei tra per invogliare poi di ragazzi a studiare queste materie all'università
E vanno in tutti i licei italiani supportate da molte aziende che vedo qua oltretutto perché chiaramente discorso che deve essere sponsorizzato
E questo ha portato già a un aiuto perché stimolare la voglia di diventare l'hacker buono perché poi al discorso di prima per per proteggere divise per attaccare no non c'è niente da fare e quest'anno abbiamo vinto il sì per il poi si proietta in Europa la squadra che vince in Italia va in Europa
E quest'anno abbiamo vinto i campionati europei
Per cui questa
è una cosa carina che
E devo dire tutto fatto pro bono per cui una cosa che fanno le università e che stanno muovendosi anche in questa direzione proprio per stimolare questo settore l'ultima cosa assolutamente
Importantissimo quello che è stato detto
Sì era il professore che D'Alessandro è un tema però molto il multidisciplinare noi pensiamo che la cyber possa essere risolta con la tecnologia no la tecnologia come in tutto quello che è il mondo digitale è l'ultima cosa
Prima ci sono le persone i processi definite in maniera chiara il processo
Poi ci sono le tecnologie Cad a scegliere questa volta in maniera corretta perché ho definito bene il processo e per cui un team che lavora in ambito cyber deve vedere
L'esperto di compliance un ottimo avvocato l'esperto di governance che è la cosa più importante perché procedesse governance e poi ci sarà la tecnologia questo e ha aggiunto un altro messaggio molto importante che la modesta della formazione giusto dei board piuttosto che dei silana
Che devono
Capire poi come gestire questi processi
Ringrazio il tema della multidisciplinarietà buon parte chiudiamo lasse potenziale tra utilizzi università sulla cyber sicurezza
E eccetera e un terzo in coro terzo ingrediente che sono l'istituzione di governo diceva prima presente al fabbro che no tutti quanti e sono state caratteri piace citare una frase di George Amberson dieci anni fa se non statale delegato di Cisco diceva ci son due tipi di aziende mondano conoscete questo cioè quelle che sono stata chiara te e quelle che ancora non sanno di essere stata chiara e e io l'ho fatto esperienza dirigendo un progetto europeo sulla sicurezza anche contro gli attacchi malissimo delle infrastrutture elettriche parlavamo di trasmissione ma il concetto era quello ed era rimasto molto sorpreso con facendo dell'incontro e di John a Bruxelles con ITS europei
E ce ne erano alcuni che erano consci di una minaccia perché l'avevano subito ed era diventato un attacco altri che ignoravano la pot la potenzialità una potenziale esistenza
Di questa minaccia ecco da questo tipo di cose credo che la collaborazione ed è un'operazione che un'associazione come utilitarie naturalmente può fare tra gli operatori tenendo conto che ci sono delle caratteristiche specifiche per una certa infrastruttura anche dello stesso tipo non so le reti elettriche distribuzione ma ci sono le caratteristiche trasversali per tutti i sistemi di distribuzione e l'idea di poter mettere insieme da un intorno non c'era un tavolo gli operatori diciamo i soggetti istituzionali che hanno competenza sui processi per reati sarda Security
Mette allo stesso tavolo levare gli Utility che possono scambiarsi
Sia come dire esperienze generali in termini di analisi di strumenti di tra Palmerston ma anche in termini di condividere le le sciagure che sono capitate quindi mettere a sistema
Gli attacchi che hanno ricevuto per poter creare poi a livello di sistema Paese una maggiore resistenza in tutto questo c'è l'università che cosa c'entra
E l'università può essere apportatrice di competenze e anche creare se volete essendo per la terziaria età
Che un'università di Stato ha in questo Paese creare un Lever Lights playground in cui questi vari attori istituzionali
Diciamo del mondo dell'industria degli atti teso possano sedersi attorno attorno a questo tavolo
Per dialogare e a ragionare insieme facendo un po'una visione di sistema Paese cosa non sempre semplicissima devo dire in questo Paese maiuscole con i casi può può funzionare bisogna vedere l'università non come una fornitrice
Disservizi di risposte rispetto domande fortuna formulate ma un parlato nella costruzione di una visione insieme a gli attori istituzionali e gli attori del mondo industriale
Grazie credo che quest'ultimo concetto sia fondamentale non solo per vincere la sfida sulla cyber sicurezza
Io vi ringrazio molto grazie per è insomma il contributo alle discussione che abbiamo avuto
A questo punto siamo siamo direi alle alle conclusioni
Purtroppo non è potuto essere qui con noi il il ministro dell'Interno prefetto Matteo Piantedosi che abbraccia ci ha inviato un messaggio video che invito la regia a mandare prego
Grazie per questo invito e per me un piacere chiudere una giornata dedicata alla sicurezza cibernetica
Un tema che riguarda tutti noi perché incide direttamente sui nostri diritti sulle nostre libertà
La sicurezza lo sappiamo è un bene primario e ciò che permette alla società di funzionare diressero vita di garantire a ciascuno la tutela dei propri diritti e noi oggi viviamo in un mondo in cui la tecnologia ha trasformato il modo in cui ci esprimiamo e ci relazioniamo ci offre la possibilità enormi ma ci espone anche nuovi rischi ogni giorno affidiamo ai social e alle piattaforme dati personali opinioni pezzi importanti della nostra vita
è un ambiente che amplia le nostre possibilità ma che può mettere in discussione la privacy e persino alterare il dibattito pubblico attraverso la disinformazione
E lo stesso vale per l'economia
I servizi digitali rendono più semplice investire gestire risparmi ma al contempo aumento hanno anche i tentativi di furto di identità e le truffe on line
Sono rischi concreti che toccano la vita delle persone e richiedono risposte rapide e competenti e dobbiamo poi considerare quanto le nostre infrastrutture siano interconnesse i trasporti le comunicazioni l'energia tutto dipende da sistemi digitali che dialogano tra loro
E questo significa che un attacco cyber può avere effetti immediati sulla vita quotidiana per questo essenziale progettare infrastrutture capaci di reggere anche l'emergenza garantendo la continuità ai servizi pubblici
La politica il compito di guidare questo cambiamento e di farlo senza timori ma corresponsabilità sviluppo e sicurezza devono procedere insieme per questo investiamo nella formazione del personale e collaboriamo con le università e con i centri di ricerca
Le tecnologie evolvono in fretta ma al centro deve sempre rimanere la persona non esiste un'etica delle macchine esiste l'etica di chi le usa e prende decisioni che influenzano la vita delle comunità
Il ministro
Dell'interno in questo quadro sta rafforzando in modo significativo la propria capacità di prevenzione la nuova direzione centrale
Per la polizia scientifica la sicurezza cibernetica i centri regionali il Centro nazionale anticrimine informatico il comitato di analisi strategica per la cyber sicurezza
Rappresentano strumenti fondamentali
In questi luoghi lavorano insieme forze di polizia Intelligence agenzia per la cyber sicurezza le forze armate è un modello che rafforza il Paese lo rende più presidente da ultimo voglio ricordare un aspetto che spesso sottovalutiamo la violenza che nasce nelle piazze digitale dice Eaters diffondono odio prendono di mira soprattutto i più giovani e quindi proteggere le persone significa intervenire anche su questo terreno con fermezza e corresponsabilità
L'aspide orientare il progresso tecnologico verso un nuovo umanesimo un progresso che metta al centro la persona i suoi diritti la sua dignità è questa la direzione che vogliamo seguire dell'impegno che portiamo avanti ogni giorno grazie
Grazie direi che che l'intervento del ministro se possibile diciamo rimarca ancora di più quella che è la nuova sfida degli ultimi tre abbiamo parlato abbondantemente oggi non si tratta soltanto di di tenere la guardia alta sul fronte della cyber sicurezza si tratta di approntare una serie di norme
Di Cortina secoli istituzioni con il privato
Con il mondo accademico per approcciare questo questo tema nel modo più efficace possibile soprattutto in ottica futura grazie a tutti e a questo punto termina la parte diciamo pubblica
Elemento è l'appuntamento è per la parte privata dopo pranzo grazie