C’è qualcosa che ciascuno di noi può fare per mettere in sicurezza il proprio pc, professor Baldoni, direttore generale dell’Agenzia per la Cybersicurezza Nazionale (ACN)?
«Sicuramente è importante avere un antivirus. Ma soprattutto è importante cominciare a pensare che ogni clic ha un rischio. E dunque cosa fare? Seguire dei link solo se siamo certi della reputazione delle pagine di destinazione. Lo stesso vale per l’apertura di allegati su mail, whatsapp, telegram eccetera. Così come prima di attraversare la strada guardiamo a destra e a sinistra, deve diventare un nuovo automatismo».
Ci sono ormai milioni di dipendente pubblici e privati che utilizzano la rete per motivi di lavoro. Come pensate di “educare” tante persone?
«Non basta portare una tecnologia per mettere al sicuro una struttura. Il fattore umano nella cybersecurity è essenziale. I dirigenti per primi devono sapere che il rischio cyber può impattare pesantemente il business, e quindi devono allocare risorse e personale per gestire il rischio da attacchi cibernetici e assicurare la continuità della operatività della struttura».
Prevedete dei corsi, in particolare per i pubblici dipendenti?
«Sì, campagne di sensibilizzazione e corsi, non solo per il personale ma anche per dirigenti e ad. Una ricerca del Censis rivela che il 40% dei dirigenti tra pubblico e privato non ha avuto alcuna formazione sulla cybersecurity. Ebbene, a luglio partirà una summer school, in collaborazione con SNA e funzione pubblica, dove inviteremo i direttori generali della pa per un corso intensivo di cybersicurezza. E stiamo realizzando insieme alle regioni corsi per i giovani per creare quella work force, che vada a coprire quelle posizioni tecniche che oggi sono scoperte. Non c’è da aver paura, ma bisogna capire che l’informatica è diventata il cuore dei media, degli ospedali, della pa, efficientandoli ma introducendo rischi nuovi che dobbiamo conoscere per saperli gestire».
Avete annunciato un’azione di reclutamento straordinario nelle università con dottorati di ricerca e borse di studio. Se un giovane fosse interessato a lavorare con voi che requisiti deve avere? E lo stipendio sarà appetibile?
«Abbiamo iniziato in tempi record con il reclutamento per i primi 61 posti. Cerchiamo prevalentemente profili Stem, ovvero con lauree in materie Scienze, Tecnologia, Ingegneria e Matematica. Ma anche persone con esperienza legata agli aspetti legali sui dossier digitali, esperti in relazioni internazionali, economisti, project manager, oltre naturalmente ai cosiddetti hacker etici, esperti in cybersecurity veri e propri. Non tutti i posti sono già stati banditi, ma oggi siamo circa 90 persone e dovremo arrivare per legge a 300 unità per il 2023 e 800 nel 2028. Possono sembrare tanti, ma la nostra gemella agenzia tedesca, nata 31 anni fa, dispone di 1.800 persone e prevede di assumerne altre 300, in Francia hanno circa mille addetti. Per quanto riguarda gli stipendi, siamo molto grati al legislatore perché abbiamo retribuzioni legate a quelle di Banca d’Italia, tra le più alte della pa. Elemento essenziale per essere competitivi nel mercato delle competenze».
Torniamo ai problemi quotidiani degli utenti della Rete: si è parlato molto nei mesi scorsi del pericolo rappresentato dagli antivirus di produzione russa. Possono essere davvero un cavallo di Troia o è una leggenda da sfatare?
«Gli antivirus sono per definizione dei software invasivi: devono controllare tutti i file che entrano nel nostro computer per assicurarsi che non abbiano dei codici al loro interno che potrebbero infettare i nostri pc. Accedono dunque a informazioni molto sensibili. Non è questione di singolo produttore, ma nello scenario geopolitico attuale è certamente cambiato il rischio associato a questi software».
«Ci prepariamo a scenari con decine se non centinaia di attacchi hacker contemporanei, e sono destinati ad aumentare». E’ stata la sua previsione, presentando con il sottosegretario Gabrielli il piano nazionale della cybersicurezza per i prossimi 5 anni. Cosa rischiamo in concreto?
«Negli ultimi vent’anni tutte le aziende, anche le più strategiche, si sono andate digitalizzando, da quelle elettriche agli acquedotti solo per fare qualche esempio.
Si tratta di attacchi terroristici veri e propri o prevale la delinquenza comune, viste le sempre più frequenti richieste di riscatto?
«C’è di tutto. C’è criminalità che si è spostata sul web, c’è attivismo politico, c’è tutta una parte legata a movimenti che partono da Stati stranieri e si muovono per operazioni di spionaggio o sabotaggio, e ci sono organizzazioni terroristiche più tradizionali. E’ tutto un nuovo mondo di minacce che dobbiamo fronteggiare, e dobbiamo farlo in fretta».
Cosa cercavano quando un anno fa hanno hackerato il sistema sanitario del Lazio, denaro o informazioni sui pazienti? Non sappiamo se la Regione abbia pagato un riscatto per sbloccare i sistemi, ma più in generale si sa quanto pagano in un anno i privati e le istituzioni che vengono ricattati dagli hacker?
«Lavorando io all’epoca per la DIS, sono vincolato alla riservatezza, posso dire solo che in quel caso c’è stato certamente un cryptolocker legato a dei riscatti. La nostra Agenzia è nata anche per poter divulgare con più facilità e immediatezza informazioni, come abbiamo fatto censendo le 71 vulnerabilità più sfruttate negli ultimi attacchi attribuiti da governi esteri ad attori di matrice russa o diffondendo nel giro di poche ore le informazioni tecniche necessarie alla mitigazione degli attacchi DDOS subiti nei giorni scorsi da alcuni siti governativi italiani e stranieri. Per quanto riguarda le somme pagate per i riscatti dei dati a livello globale, sono cifre difficili da calcolare ma certamente portano profitti enormi e questo purtroppo fa aumentare attacchi e cybergang».