Cibernetica deriva dal sanscrito “kubera”, il timone, da cui origina, a sua volta, il termine greco kubernetes (κυβερνήτης) che significa timoniere, nocchiere, pilota (sia terrestre sia marittimo) e il relativo verbo “kubernao” (κυβερνάω) reggere il timone di una nave, dirigere (Platone estenderà il termine anche alla conduzione di popoli: l’arte di governare), sino ad arrivare ai lemmi latini più vicini all’italiano: gubernare (governare) e gubernator (governatore).
Nel 1834 il fisico André-Marie Ampère (1775-1836) introduce il termine “cybernétique” per indicare le scienze del governo inteso come classificazione della conoscenza umana. Con l’affermarsi della meccanica il termine assume una connotazione più tecnica e indica i meccanismi con cui un sistema automatico può auto-regolarsi.
Il padre della cibernetica moderna è considerato il matematico Norbert Wiener (1894-1964), scienza di orientamento interdisciplinare che si occupa non solo del controllo automatico dei macchinari mediante il computer e altri strumenti elettronici, ma anche dello studio del cervello umano, del sistema nervoso e del rapporto tra i due sistemi (artificiale e biologico), di comunicazione e di controllo. La cibernetica rappresenta per Wiener quel tentativo di sintesi fra la biologia, la neurofisiologia e la tecnica di gestione dell’informazione con lo scopo di dimostrare come le macchine fossero assimilabili agli esseri umani per quelle facoltà come il linguaggio, il comando, il controllo e, soprattutto, l’apprendimento.
Il salto da scienza a fantascienza avviene negli Anni ’60 con l’invenzione del termine “cyborg” (da cybernetic organism) riferito a un essere umano potenziato in modo da sopravvivere in ambienti inospitali (es. extra-terrestri). Negli anni ’80 nasce, nell’ambito della fantascienza, una corrente letteraria e artistica che fonde il concetto di cibernetica con il punk e tratta di scienze avanzate (Information Technology), anticipatrici del cambiamento sociale. William Gibson e Bruce Sterling, i due maggiori esponenti del movimento letterario, introducono per la prima volta il concetto di “Cyberspace”, inteso come dimensione immateriale che mette in comunicazione i computers di tutto il mondo in un’unica rete consentendo agli utenti di interagire tra loro. E dalla caduta del Muro di Berlino il Cyberspace diventa teatro dove si consumano le “Nuove Guerre” [Fonte: Umberto Rapetto – Roberto Di Nunzio]. Una condizione di guerra (semi)permanente caratterizzata dall’assenza del tradizionale campo di battaglia e degli opposti schieramenti ben identificati, i cui targets sono rappresentati dal sistema nervoso governativo, dalla mente umana, ecc. per paralizzare l’azione del nemico, condurlo alla rovina economica e garantire il successo dell’azione politica senza operazioni militari (Information Warfare).
All’interno dello sconfinato ambito del Cyberspace si colloca la disciplina dell’Information Security che mira alla preservazione delle informazioni (e assets informatici) in termini di riservatezza, integrità, disponibilità, autenticità, accountability (troppo riduttivo tradurlo con responsabilità), non-ripudio e attendibilità delle informazioni medesime [Fonte ISO/IEC 27000]. La “Cyber-Security” costituisce una delle varie componenti dell’Information Security, ovvero quella che dipende dalla tecnologia. Per fronteggiare attacchi mirati a comprometterne il corretto funzionamento e le performances una tecnologia dovrebbe possedere tre requisiti: resilienza, robustezza e reattività.
Il 6 luglio 2016 il Parlamento UE approva la Direttiva NIS (Network and Information Security) n. 1148 che impone agli Stati Membri dell’Unione l’adozione di una serie di misure comuni per la sicurezza delle reti e dei sistemi informativi. In Italia è stata recepita dal Decreto Legislativo 18 maggio 2018, entrato in vigore il 24 giugno 2018 ed applicato agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). I primi sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali. I secondi, invece, sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale. L’obiettivo principe della Direttiva NIS è quello di definire un’unica linea strategica tra i vari Stati dell’Unione Europea contro il rischio di incidenti, ai danni delle reti informatiche e dei sistemi informativi. La linea strategica prevede la gestione dei rischi, la protezione contro i cyber attacchi, l’individuazione di incidenti e la riduzione dell’impatto di tali incidenti. L’Italia – insieme a Germania e Gran Bretagna – è nel gruppo di testa degli Stati membri UE che hanno concretamente dato seguito agli adempimenti della Direttiva NIS.
Il 17 aprile 2019 il Parlamento UE approva il Regolamento n. 881 (cosiddetto Cybersecurity Act), che definisce gli obiettivi, i compiti e gli aspetti organizzativi relativi all’ENISA (a cui è affidata la gestione operativa degli incidenti informatici da parte degli Stati membri) e nel contempo stabilisce un quadro per l’introduzione di sistemi europei di certificazione della cybersicurezza dei prodotti, servizi e processi ICT. Tale certificazione riguarda le infrastrutture critiche, comprese le reti energetiche, l’acqua e i sistemi bancari, oltre a prodotti, processi e servizi, garantendo che esse soddisfino determinati standards di sicurezza informatica. Gli schemi certificazione unici per prodotti e servizi digitali UE avranno lo scopo di facilitare lo scambio di questi ultimi all’interno della UE e di accrescere la fiducia dei consumatori.
A luglio 2019 il Ministero dello Sviluppo Economico – Istituto Superiore delle Comunicazioni e delle Tecnologie dell’informazione – Autorità NIS, emana le Linee Guida per gli OSE. Il Framework Nazionale di Cyber Security (vers. 2.0 – febbraio 2019), strutturato in Function, Category e Subcategory, diviene la base di riferimento. Lette con gli occhi dell’auditor, le Linee Guida del MISE sono fonte preziosissima utile a ricavare una check list, indispensabile per verificare la presenza (o meno) delle misure di sicurezza e i relativi livelli di maturità.
La notifica al CSIRT (Computer Security Incident Response Team) italiano e all’Autorità competente NIS di incidenti aventi un impatto rilevante (cioè se si verifica almeno una delle seguenti situazioni: l’evento ha generato un rischio per la sicurezza pubblica, l’incolumità pubblica o in termini di perdite di vite umane ovvero ha determinato impatti negativi sul sistema di difesa e sicurezza nazionale, in termini di sicurezza interna e pubblica, servizi di emergenza, predisposizione delle emergenze oppure popolazione e ambiente) sulla continuità dei servizi essenziali diventa attività obbligatoria. La prima notifica deve avvenire entro le 24 ore dalla rilevazione dell’incidente, a seguire aggiornamenti di situazione con cadenza periodica (almeno ogni 24 ore) più dettagliati. A fine incidente si produce tempestivamente una comunicazione e una dettagliata relazione finale.
È notizia di pochi giorni fa la costituzione dell’Istituto Italiano Cybersicurezza (IIC) che vede tra i membri fondatori il Presidente del Consiglio dei Ministri, il Ministro dell’Università e della Ricerca e i ministri del Comitato Interministeriale per la Sicurezza della Repubblica (CISR). La Fondazione, che si avvarrà del coordinamento del Dipartimento Informazioni e Sicurezza (DIS), avrà non solo lo scopo di promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica, ma anche di favorire lo sviluppo e la digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni in una cornice di sicurezza e il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica, a tutela dell’interesse della sicurezza nazionale nel settore.
di Cristhian Re
Chi è Cristhian Re
Chief Security Officer & General Services di Acciai Speciali Terni. Laurea in Scienze Politiche e Lettere Moderne, MA in Intelligence and Security, ufficiale in congedo dei carabinieri, CBCI, PFSO, Lead Auditor ISO 37001, 9001, 27001, 22301, autore de “La misura della sicurezza” e Propedeutica all’analisi del rischio”. Ha maturato la sua esperienza nell’industria della Difesa (Alenia Aeronautica e Finmeccanica), nel settore dell’Energia (Edipower), delle Multiutilies (A2A). Membro del Comitato Scientifico di S News, è curatore della rubrica Il Dazebao della Security.
