Sprawozdanie z wydarzenia

2021 Progetto dei CDE italiani LA CONFERENZA SUL FUTURO DELL’EUROPA Un nuovo slancio per la democrazia europea CDE Società Italiana per l’Organizzazione Internazionale (SIOI) Roma Piazza San Marco, 51. 00186 Roma e-mail: relazioniesterne@sioi.org TITOLO e DATA: LA STRATEGIA EUROPEA PER LA CYBERSECURITY: VERSO UN NUOVO MODELLO DI DIFESA 16 dicembre 2021 ore 15.30 Evento online su piattaforma Zoom Titolo dell’iniziativa: LA STRATEGIA EUROPEA PER LA CYBERSECURITY: VERSO UN NUOVO MODELLO DI DIFESA CDE coordinatore dell’iniziativa: CDE Società Italiana per l’Organizzazione Internazionale (SIOI) Roma Sede dell’iniziativa: Evento online su piattaforma Zoom Data dell’iniziativa: 16 dicembre 2021 ore 15.30 L’evento è stato rivolto ai giovani studenti universitari, ai partecipanti ai Master della SIOI, agli appartenenti al MSOI - Movimento Studentesco per l’Organizzazione Internazionale e, al grande pubblico, con l’intento di approfondire la strategia europea per la Cybersecurity e il nuovo modello di difesa. L’incontro ha rappresentato un’importante occasione di comunicazione, conoscenza e confronto sulla Cybersecurity come componente essenziale della transizione digitale, del piano per la ripresa europea e della strategia per l'Unione della sicurezza. L’iniziativa è stata caratterizzata dalla elevata interattività dei partecipanti che hanno posto domande sulla nuova strategia europea, sulla necessità di maggior cooperazione internazionale e di miglioramento delle infrastrutture necessarie all’interno degli Stati membri. L’evento ha confermato l’importanza della Piattaforma della CoFE sia presso i partecipanti che presso il grande pubblico, soprattutto, in relazione all’inserimento di proposte e idee, alla consultazione dei documenti e alla partecipazione agli eventi realizzati nella tematica settoriale di interesse. I canali utilizzati per comunicare e diffondere l’iniziativa sono stati: Siti istituzionali, Social network (Facebook, Twitter, Instagram, Linkedin), Biblioteche, Archivi, Istituzioni culturali e di ricerca, Newsletter, Riviste professionali specializzate, Mailing list delle varie Istituzioni coinvolte, Sito nazionale della Rete dei Centri di Documentazione Europea, Mailing list della SIOI. Sono intervenuti: Marco BRACCIOLI, Vp Defense & Cybersecurity - Digitalplatforms SPA e Co-Direttore CyberSec Initiatives Fondazione ICSA Luisa FRANCHINA, Presidente dell’Associazione Italiana Esperti in Infrastrutture Critiche e Docente della SIOI Pierguido IEZZI, CEO e Co-Founder di Swascan - Tinexta Group Stefano MELE, Partner presso Gianni&Origoni, Responsabile del Dipartimento Cybersecurity Law e co-Responsabile del Dipartimento Privacy Ha introdotto e moderato: Vittorio CALAPRICE, Analista Politico e Relazioni Istituzionali, Rappresentanza in Italia della Commissione Europea Elenco dei principali quesiti posti dai partecipanti al dibattito Recentemente su una rivista telematica del settore era stata avanzata una proposta in base alla quale gli Stati maggiormente avanzati a livello di cybersecurity avrebbero dovuto condividere le vulnerabilità "0-day" scoperte in modo da limitarne gli impatti. Volevo chiedere agli esperti oggi presenti se ritengano questa proposta fattibile o se può essere applicata solo a Stati "vicini" fra loro dal punto di vista geopolitico. In merito all'interazione tra AI e stabilità dei sistemi politici, in particolare dei sistemi democratici, i cosiddetti “deep fakes” e i modelli sempre più raffinati di “deep learning” come GPT o Wu Dao, offrono a un attore malintenzionato la possibilità di produrre materiale testuale e audiovisivo la cui autenticità è sempre più difficilmente verificabile. Simili strumenti pongono un rischio per la stabilità politica? Se si, esiste una strategia difensiva in merito? Si evidenzia la mancanza di formazione interna in materia di cyber security nelle piccole e medie imprese. Qual è la situazione attualmente? Quale preparazione tecnica e operativa serve nell’ambito della cyber security? Chiedo un commento sulle grandi società di consulting, che hanno un ruolo importante nella cyber security, soprattutto in paesi poco sviluppati. In quali termini è possibile aiutare le PMI (es. defiscalizzazioni per quanto riguarda gli investimenti in cyber security)? Di seguito i commenti di alcuni dei relatori Formazione in materia di cyber security Ing. Franchina Occorre intensificare la formazione nelle aziende, ma anche nelle scuole. Bisogna formare professionalità, non solo manageriali ma anche operative. Prendiamo come esempio le automobili: pochissimi in possesso della patente sanno risolvere eventuali problemi di funzionamento della macchina; è per questo che ci si rivolge al meccanico, che è una professionalità operativa. Servirebbe un equivalente anche nella cyber security. Ad oggi si tenta solo di formare in modo discontinuo e poco efficace il personale delle PMI, che non ha alcuna preparazione in materia. Pierguido Iezzi Oggi l'attenzione sul tema della formazione e della sensibilizzazione alle aziende è alta; ci sono esempi molto positivi che provengono dalla Francia, dove l’Agenzia Nazionale sulla Sicurezza ha organizzato un cyber campus di grande successo e, da Tinexta Group, che ha lanciato una specifica academy. Bisogna continuare in questa direzione. Da parte del Governo, si potrebbero agevolare con sgravi fiscali le aziende che investono nella sicurezza. Marco Braccioli Un esempio particolarmente valido di formazione efficace è costituito dai programmi STEM della NATO, che servono a mettere a punto quella preparazione di base sulla quale poi si innesta una specialità, di qualsiasi natura essa sia. 0-days e infosharing Luisa Franchina Di questo tema si parla da più di 20 anni e gli USA, sono stati pionieri. Va sottolineato, però, che si può e si deve fare condivisione sulle minacce e sulle contromisure, ma non sulle vulnerabilità delle aziende. Ci si sta organizzando in questo senso in Europa. Ovviamente c'è una certa reticenza che andrebbe superata. Stefano Mele Per quanto riguarda l’infosharing, nel mondo dell'intelligence non esistono alleati, neanche fra Paesi "amici"; al massimo, possono esserci obiettivi comuni temporanei. È da ritenersi molto complicato che una Nazione possa effettivamente condividere informazioni sugli 0-day con un altro Paese. È vero che gli USA lo fanno spesso (in determinate situazioni e con gli Stati amici), in generale la condivisione appare difficile. La situazione cambia, invece, se si parla di contrasto alla criminalità: l'Europol è un bellissimo punto di sintesi tra le forze dell'ordine europee, c'è un ottimo livello di condivisione. Pierguido Iezzi Ci sono già regolamentazioni in materia di 0-day. Se un'azienda trova una nuova vulnerabilità, quindi uno 0-day, c’è una prassi da seguire: si effettua una segnalazione al vendor che poi, se la vulnerabilità viene confermata, la rende pubblica e spiega come vi si può far fronte. Il problema non è tanto la condivisione in sé, ma la finalità con cui si vuole utilizzare lo 0-day: a volte per vari motivi non viene seguita la suddetta prassi. La vera sfida del domani sarà la capacità di scovare gli 0-day all'interno dei vari prodotti. Il cyber crime esisterà sempre, ma cambieranno le modalità. Già ora è possibile notare che in Italia stanno nascendo piccole gang meno organizzate e capaci di quelle grandi, ma che sono ugualmente in grado di produrre danni. Conflitti in materia di cyber security Marco Braccioli È vero che il conflitto più acceso è quello tra USA e Cina, ma bisogna guardare anche all’Europa, dove le minacce cibernetiche arrivano dalla Russia, dall'Iran, dall'Africa. Per usare una metafora, nella cyber security non c'è il pesce grande che mangia quello piccolo, bensì il pesce più rapido che uccide quello più lento. E tanti pesci rapidi possono uccidere anche il pesce grande. Il fattore fondamentale è la rapidità. Stefano Mele La maggior parte delle imprese in Europa è costituita da piccole, medie o addirittura microimprese. Molte di queste aziende poi supportano le attività delle grandi. Spesso avviene che grandi attività di sottrazione di informazioni passino attraverso piccole e medie imprese che supportano grandi aziende. Le PMI sono un cavallo di Troia in questo senso. Per quanto riguarda le aziende di consulenza, in teoria, hanno un obbligo di riservatezza e non possono condividere informazioni. Altri commenti dei partecipanti (via chat) Ciro Candelmo Concordo con la necessità di formazione del personale aziendale. Contestualmente è necessaria anche la sensibilizzazione del Top Management. Francesco Chiappetta Concordo in particolare con il commento del dr. Marco Braccioli - che ringrazio - nell’aver citato il neo costituito “Comando Operazioni in Rete” della Difesa quale elemento di primo piano nazionale sul tema della sicurezza cibernetica. A tal riguardo per eventuali approfondimenti, segnalo l'audizione, alla Commissione Difesa, del Comandante del Comando delle operazioni in rete (Cor-Difesa), ammiraglio di squadra, Ruggiero Di Biase, sugli aspetti relativi alle politiche della difesa nel dominio cybernetico: https://webtv.camera.it/evento/19646#https://www.youtube.com/watch?v=at9B3sSGqtc che si è svolta il 14 dicembre 2021. Numero dei partecipanti collegati sulla piattaforma Zoom: 180 Numero dei contatti sui canali social: oltre 7000 Riepilogo 180 partecipanti al meeting Zoom Contatti Social (persone raggiunte con i due post relativi all’evento):  Facebook: 490 + 473 = 963  Instagram: 1697 + 1306 = 3003  Linkedin: (1436 + 1211) + (1031 + 1947) = 5625  Twitter: 870 + 1481 = 2351  Totale post 1: 5704  Totale post 2: 7108 MSOI Coordinamento Nazionale, MSOI ROMA, MSOI MILANO, MSOI TORINO, MSOI GORIZIA, SIOI sezioni di Milano e di Torino, CDE romani. Il CDE SIOI ha inoltre sviluppato una forte sinergia tra i suoi settori (Formazione, Relazioni Esterne, Ufficio Studi) per promuovere l’evento illustrandolo dettagliatamente ai Corsisti, veicolando la campagna di comunicazione attraverso i canali SIOI e del MSOI e diffondendolo ai propri contatti tra i giovani studiosi e ricercatori interessati alle tematiche proposte. L’iniziativa ha ottenuto un notevole successo sia in termini del pubblico che ha seguito l’evento sia dei contatti sui canali social che sono stati numerosissimi, a testimonianza dell’interesse fortemente suscitato dal tema proposto.   Di seguito si uniscono i link alle principali pubblicazioni riguardanti l’evento: http://europa.formez.it/content/evento-online-strategia-europea-cyber-security-16122021 https://www.assemblea.emr.it/europedirect/agenda/appuntamenti-2021/dicembre/la-strategia-europea-per-la-cyber-security-verso-un-nuovo-modello-di-difesa https://comunicazioneinform.it/il-16-dicembre-levento-online-la-strategia-europea-per-la-cyber-security-verso-un-nuovo-modello-di-difesa/ https://www.giornalediplomatico.it/sioi-webinar-la-strategia-europea-per-la-cyber-security-verso-un-nuovo-modello-di-dife.htm