La rete italiana ha un nuovo guardiano aggiuntivo rispetto alle risorse già fin qui investite in sicurezza: si tratta di Eni, nome soltanto in apparenza estraneo alle dinamiche relative al contrasto dei crimini informatici ed alla tutela dei sistemi informativi. Nasce tutto da una firma, quella tra l’Amministratore Delegato Claudio Descalzi e il Capo della Polizia, Direttore Generale della Pubblica Sicurezza, Franco Gabrielli.
L’accordo tra le parti è la conseguenza di una indicazione che arriva dall’alto: il Ministero dell’Interno ha infatti richiesto il “potenziamento dell’attività di prevenzione alla criminalità informatica attraverso la stipula di accordi con gli operatori che forniscono prestazioni essenziali” ed Eni è soltanto uno tra i nomi che le istituzioni hanno chiamato a raccolta all’interno di questo ampio progetto di potenziamento della sicurezza della rete. Tra gli altri nomi figurano ad esempio Sky, ENAV, Metropolitana Milanese Spa, Nexi, Fincantieri e SOGEI.
La Polizia Postale e delle Comunicazioni è infatti quotidianamente impegnata a garantire l’integrità e la funzionalità della rete informatica delle strutture di livello strategico per il Paese attraverso il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC).
L’idea di fondo è quella per cui, in qualità di “infrastrutture critiche“, taluni attori hanno il diritto/dovere ad una maggior tutela, a beneficio della collettività e delle attività cruciali per il paese. A questi attori viene dunque richiesta una collaborazione speciale con il CNAIPIC e l’accordo firmato mette nero su bianco il mutuo impegno ad uno scambio di informazioni che possa coadiuvare le attività ispettive, di monitoraggio e di prevenzione dei crimini informatici. Per un mutuo beneficio.
Il #capodellapolizia firma con @eni il rinnovo della convenzione per la prevenzione e il contrasto dei crimini informatici di sistemi informativi di particolare rilievo per il Paese. Una cooperazione operativa basata sulla condivisione informativa con la #poliziapostale pic.twitter.com/8OlwfKOYxy
— Polizia di Stato (@poliziadistato) September 17, 2018
Nel caso di Eni l’aspetto è importante per molti motivi. Eni è anzitutto uno dei principali brand italiani, le cui attività sono capillarmente presenti in tutto il paese ed in settori strategici per l’economia nazionale; inoltre l’azienda (controllata statale) ha da tempo avviato un importante lavoro di trasformazione digitale che ha portato in rete gran parte delle attività; da non sottovalutare inoltre il fondamentale valore che il cane a sei zampe ha costruito all’interno del proprio Green Data Center, ove nasce gran parte delle scoperte petrolifere del gruppo grazie all’elaborazione dei dati raccolti nei bacini di ricerca diffusi in tutto il mondo.
Direttiva Network and Information Security
L’accordo tra Eni e la Polizia Postale si inserisce pertanto all’interno di un protocollo di prevenzione che parte dal recepimento della Direttiva Network and Information Security (NIS), avvenuta a inizio 2018, e che ben esplicita l’importanza che l’Unione Europea ha rivolto alla cybersecurity nel vecchio continente. Questo viene introdotta la direttiva 2016/1148:
Le reti e i sistemi e servizi informativi svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per le attività economiche e sociali e in particolare ai fini del funzionamento del mercato interno.
La portata, la frequenza e l’impatto degli incidenti a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali sistemi possono inoltre diventare un bersaglio per azioni intenzionalmente tese a danneggiare o interrompere il funzionamento dei sistemi. Tali incidenti possono impedire l’esercizio delle attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia dell’Unione.
La direttiva delinea la necessità di una comune policy continentale per assicurare le reti dagli attacchi che potrebbero giungere, e per questo motivo impone ai singoli stati uno standard minimo che tira in ballo chi opera su reti strategiche e potenzialmente permeabili:
È inoltre opportuno che agli operatori di servizi essenziali e ai fornitori di servizi digitali si applichino obblighi in materia di sicurezza e notifica per promuovere una cultura della gestione dei rischi e garantire la segnalazione degli incidenti più gravi.
Se le parti collaborano, i rischi possono essere bloccati sul nascere e gli attacchi fermati prima che possano arrecare danni gravosi. La guerra virtuale in atto ormai da tempo impone una reazione coordinata, che parte dalla tecnica e trova forma compiuta nella legislazione. Al recepimento della Direttiva, l’Italia si è definitivamente allineata e gli accordi firmati con le aziende dotate di “infrastrutture critiche” rappresentano la messa a terra di quanto stabilito a livello UE.
L’accordo rappresenta una tappa significativa nel processo di costruzione di una fattiva collaborazione tra pubblico e privato: un progetto che, in considerazione dell’insidiosità delle minacce informatiche e della mutevolezza con la quale esse si realizzano, risulta essere strumento essenziale per la realizzazione di un efficace sistema di contrasto al cybercrime, basato quindi sulla condivisione informativa e sulla cooperazione operativa.