Sicurezza informatica: l'agenzia europea Enisa lancia uno dei suoi "progetti pilota" con Unibo

C'è chi parla di una "Nuova era del cybercrime" e chi teme "un 11 settembre digitale".  Al di là di titoli apocalittici che a intervalli periodici riempiono le colonne della stampa generalista, alcune sfide cruciali ci attendono nei prossimi anni. Per elaborare piani e contromisure, ma anche per diffondere sensibilità e informazione in tema di sicurezza informatica l'Europa ha dato vita all'agenzia Enisa. 

Dottor Pirotti, dall’alto della sua esperienza quali sono oggigiorno le sfide più grandi in tema di sicurezza informatica?
"In Enisa tendiamo a non dare una classificazione univoca delle sfide e delle minacce nel campo della sicurezza informatica poiché riteniamo che questo dipenda dal punto di vista dell’utente che si pone al centro dell’analisi. Di certo si osserva come oggi più che mai i sistemi informatici e le telecomunicazioni siano vitali per il funzionamento di tutti i settori dell’economia e della società civile: ci colleghiamo a Internet da casa e dal lavoro, eseguiamo on line operazioni bancarie, grosse transazioni commerciali, paghiamo le tasse, acquistiamo libri, biglietti aerei, ci fidiamo delle grandi reti di comunicazione...di conseguenza è chiaro che la sicurezza informatica è sempre più una componente chiave per lo sviluppo dell’economia. Seguendo questa linea riteniamo sia importante dedicare una particolare attenzione a due "anelli deboli" del mercato rappresentati dagli utenti privati casalinghi e dalle piccole e medie imprese".

Qual è la situazione per le piccole e medie imprese e per le utenze domestiche?
"Le PMI sono le protagoniste dell’economia europea: costituiscono il 99% di tutte le imprese europee ed i 2/3 dei posti di lavoro nel settore privato. Eppure mancano di risorse, esperienza e consapevolezza per gestire correttamente il problema della sicurezza informatica. Gli utenti privati casalinghi d’altra parte spesso non sono consapevoli del problema della sicurezza e delle sue serie implicazioni e sono sottoposti a minacce sempre più insidiose: prima lo spam, poi il phishing, ed oggi anche le botnets. Crediamo sia molto importante per il futuro concentrare i nostri sforzi su questi due gruppi di attori del mercato on line. Dal punto di vista delle infrastrutture, puntiamo al miglioramento della Resilienza delle infrastrutture critiche di comunicazione elettronica, ovvero la capacità delle Reti di continuare ad operare anche in presenza di guasti, attacchi e incidenti di varia natura, come black-out elettrici su larga scala o eventi naturali. L'infrastruttura di comunicazione è infatti la base per tutti gli altri servizi (web, mail ed ora anche telefonia) e la sua operatività anche in situazioni critiche è di fondamentale importanza per dare fiducia al mercato. Su richiesta della Commissione e degli Stati Membri l'Agenzia dedicherà nei prossimi tre anni un'attenzione speciale a questo tema: il programma è iniziato quest'anno con analisi normative e tecnologiche e si svilupperà nei prossimi anni con proposte concrete per migliorare le Resilienza delle reti di comunicazione europee".

Qual è, in questo ambito, il ruolo dell’Enisa?
"Enisa è un’agenzia dell’Unione Europea ideata come centro di competenza per la sicurezza delle reti e delle informazioni. In questa veste forniamo consulenza qualificata agli Stati Membri e alle Istituzioni Europee in tema di sicurezza sia sul versante organizzativo (IT risk management, policy) che sul versante tecnico (studi sulle misure antispam, sulle botnet, sulle minacce legate a nuove tendenze come l’online social networking). Inoltre agiamo come punto di scambio dell’informazione tra i vari Paesi dell’Unioni Europea, una specie di "broker" della conoscenza tra gli Stati Membri con l’intento di favorire la diffusione delle migliori pratiche nel campo della sicurezza e promuovere così l’innalzamento della soglia della sicurezza nelle reti europee. Un caso di successo è nella cooperazione fra Cert (Computer Emergency Response Teams): Enisa ha promosso lo scambio di esperienza fra i Cert degli Stati Membri, che sono così passati dagli 8 del 2005 ai 14 del 2008 e 10 nuovi sono attesi nel corso dei prossimi due anni".

In un recente rapporto l’Italia risulta il sesto paese al mondo più colpito per i cd computer zombie. Cosa si può fare?
"Innanzitutto va rilevato come l’Italia sia in "buona" compagnia: il numero dei computer zombies, e di conseguenza dello spam inviato, è in grande aumento in tutta Europa. Nel 2006 solo un Paese europeo figurava nella poco invidiabile top ten dei paesi "produttori" di spam. Nel 2007 si contavano già 4 Paesi membri, e quest’anno se ne aspetta un numero ancora maggiore. Di nuovo, pensiamo che la radice del problema non sia tanto di natura tecnica quanto piuttosto economica: le botnets vengono utilizzate per inviare spam ed il giro d’affari che ne consegue è cospicuo. Occorre quindi studiare meccanismi per attaccare l’aspetto economico che ne è il principale movente. Alcuni di questi ragionamenti sono sviluppati in un recente studio pubblicato da Enisa intitolato "Economic aspects of NIS". Enisa ha inoltre prodotto vari Report sul fenomeno delle botnets e dello spam contenenti suggerimenti di carattere tecnico ed organizzativo per contrastare il fenomeno.

Con quali minacce a suo avviso ci confronteremo negli anni a venire?
"Le minacce hanno una natura dinamica: seguono lo sviluppo della tecnologia e pertanto si evolvono costantemente nel tempo. Noi crediamo però che il problema alla radice non sia tanto di natura tecnica (che si può affrontare con le necessarie risorse tecniche e finanziarie) quanto piuttosto politica. Gli Stati Membri non cooperano abbastanza sulla sicurezza. Questo rappresenta una debolezza strutturale del sistema Europa, perchè le reti di comunicazione hanno un forte carattere transnazionale mentre la protezione del sistema informatico è finora gestito solamente su scala nazionale! Chiaramente un approccio che ci può dare qualche sollievo temporaneo, ma non ci farà risolvere i problemi nella loro interezza in tempi brevi! Più cooperazione è necessaria per governare in modo soddisfacente la sicurezza di questo complesso sistema transnazionale".

Che cosa rappresentano per Enisa i "progetti pilota" e come si inquadrano nel programma dell'Agenzia?
"Enisa per il suo statuto non e' dotata al proprio interno di capacità operativa per collaudare le indicazioni e le linee-guida descritte nei report sulla sicurezza che pubblichiamo periodicamente. Per questo l'Agenzia ha bisogno di cooperare con organizzazioni che si muovono a vari livelli nel mondo dell'impresa e delle istituzioni, al fine di raccogliere loro tramite quei riscontri sull'implementazione delle metodologie che sono di fondamentale importanza per il processo di miglioramento continuo. Questo e' lo scopo dei progetti- pilota: una partnership tra l'Agenzia che offre una metodologia selezionata da un gruppo di propri esperti ed una organizzazione che si offre come laboratorio per collaudarle al proprio interno, con benefici per entrambe le parti. In considerazione dell'importanza che queste attività di collaudo rivestono al fine di validare le indicazioni sulla sicurezza informatica date da Enisa, da quest'anno l'Agenzia ha deciso di includere tali attività' nel proprio programma annuale dedicandogli uno speciale capitolo".

Quali le aspettative dalla collaborazione con UniBo?
"L'Ateneo di Bologna svilupperà con l'Agenzia un progetto pilota per sperimentare una metodologia di analisi del rischio informatico tarata sulle dimensioni tipiche di un dipartimento, che sono simili a quelle di una piccola e media impresa. L'Ateneo sarà  un grande laboratorio per testare e migliorare il processo di analisi ed inoltre servirà ad individuare tecnologie e contromisure per rispondere a varie tipologie di rischio. Considerata l'estensione e la varietà di questo "grande laboratorio" quale e' il vostro Ateneo, e l'elevata professionalità delle persone che gestiranno il progetto al vostro interno (CeSIA) ci aspettiamo feedback molto importanti per arricchire l'analisi e svilupparne una versione migliorata".

Lei è Direttore esecutivo di Enisa da 3 anni. Che bilancio trae da questa sua esperienza?
"Ho realizzato lo start-up dell’Agenzia nel 2005/06. Enisa ha raggiunto dopo due anni l’auspicato riconoscimento internazionale di Centro Tecnico europeo per la Sicurezza Informatica. I media internazionali, quali International Herald Tribune, LeMonde, Der Spiegel etc…, fanno spesso riferimento ad Enisa quando parlano di sicurezza informatica. Ho raggiunto la quota di volo cui puntavo. Tra poco lascerò l’Agenzia per fine del mio contratto con la soddisfazione di aver gestito bene l’investimento finanziario che la Comunità Europea ha fatto in Enisa, ossia "Enisa is good value for money". Ho creato una buona squadra di lavoro fissando obiettivi e gratificando chi lavora bene. Ho creato un buon team. Siamo molto affiatati; lasciarli sarà dura! Per quanto riguarda l’esperienza fatta in Enisa, non credo che essa abbia aggiunto molto a quanto ho già fatto in altre aziende multinazionali in vari Paesi del mondo. Un’esperienza forse però l’ho fatta, in effetti. Ho sperimentato di persona la prepotenza di alcuni (pochi per fortuna) funzionari statali italiani, che pretendono di poter inserire presso le strutture pubbliche europee personale italiano professionalmente incapace ed inadeguato. Io ho rifiutato queste (forti) pressioni ed ho, di conseguenza, subìto l’attacco violento da parte di questi miei connazionali. E’ un comportamento che va a discapito di quei molti funzionari italiani onesti, che lavorano seriamente per il buon nome dell’Italia. Non esito a denunciare questo fenomeno molto deleterio per il nostro Paese. La competizione internazionale odierna è diventata forte e spietata e richiede alta professionalità. L’Europa compete con USA ed Asia e non c’è più spazio per persone non qualificate e raccomandate".

Cosa occorre a chi volesse intraprendere una carriera professionale in questi ambiti?
"Laurea in discipline scientifiche, perfetta conoscenza della lingua inglese, stage in Enisa per qualche mese (in questa maniera vi fareste conoscere in ambiente internazionale), Dottorato in Sicurezza Informatica e pubblicazioni in lingua inglese sull’argomento Nis (Network and Information Security). Periodicamente Enisa pubblica dei bandi per l’assunzione di personale esperto".

Per finire ...qualche consiglio a chi volesse candidarsi?
"Non fatevi raccomandare! Cercate solo, eventualmente, sponsorizzazioni serie che attestino in maniera rispettosa la vostra capacità professionale; il che non vuol dire pretendere di essere assunti, ma solo di testimoniare che siete professionalmente in gamba. Siate pronti a lavorare in umiltà con persone che hanno diversi sistemi di lavoro, accettate le differenze culturali e siate pronti ad imparare dagli altri".