Un Paese di ignoranti in sicurezza digitale. E quindi di vittime ideali. Quella della formazione è la grande ferita che mina la credibilità di ogni piano di cybersecurity nazionale; di ogni tentativo di porre le nostre aziende e il nostro sistema economico al riparo dagli attacchi informatici.

È uno dei messaggi più importanti, tra quelli del libro bianco presentato dal laboratorio di cybersecurity del consorzio interuniversitario Cini a Itasec18, questa settimana. Ne è convinto Rocco De Nicola, docente all’IMT Lucca e nel consiglio di amministrazione del Cini. “Ci sono pochi laureati in informatica e ancora meno sono quelli che restano, dato che molti lasciano in Paese attratti da stipendi migliori all’estero”, spiega.

Questo è il primo aspetto della questione. Ce ne sono almeno altri due.

Secondo: non basta solo “sapere le cose”, ma anche imparare a gestire le situazioni di attacco informatico. Per questo motivo, servono master che formino nuove professionalità, in grado di combinare competenze tecniche e gestionali assieme”.

Gli esperti cybersecurity non possono essere solo tecnici informatici, ma devono anche comprendere la complessità dei sistemi industriali in cui lavorano. Queste competenze servono per esempio a evitare gli attacchi di ingegneria sociale, che possono colpire qualsiasi dipendente dell’azienda. L’idea di fondo è che un esperto di cybersecurity ideale, in azienda, è una figura in grado di proteggere non solo i sistemi informatici; ma anche le risorse umane. Ossia “aiuta l’azienda a fare salire il proprio livello complessivo di cultura cybersecurity, distribuita tra tutte le persone che la compongono. A sviluppare anticorpi diffusi. Che è il solo modo per dirsi davvero pronti a fronteggiare il rischio cyber”, ha detto a Itasec18 Carlo Mauceli, national digital officer di Microsoft Italia. “È il percorso che ha seguito Microsoft per la propria cybersicurezza”, aggiunge.

Il terzo punto, che rientra nel modello di formazione cybersecurity necessario in Italia secondo il Cini, è “diffondere la cultura della sicurezza informatica in generale nella società”, dice De Nicola.

Secondo i docenti del Cini – cioè praticamente tutti quelli che si occupano di informatica in Italia nelle università – l’Italia fa poco o niente in ognuno di questi punti, a quanto si legge nel Libro bianco.

La svolta arriva da nuovi, veri investimenti Paese in cybersecurity. Anche pubblici, laddove finora sono stati individuati solo 150 milioni di euro, per altro finora ancora non spesi, nelle disponibilità del Dipartimento delle Informazioni per la Sicurezza (DIS) sotto la presidenza del Consiglio.

Il Cini insiste inoltre sulla necessità di migliori partnership pubblico-private, anche per rafforzare il sistema formativo.

È una partita senza dubbio di matrice politica. E politica può (e deve) essere la risposta a questi problemi, come si può leggere qui e lì tra le righe del Libro bianco. Perché solo una strategia nazionale coordinata e integrata – ad attuazione del piano Gentiloni sulla cybersecurity del 2017 – può affrontare un problema che non è solo “tecnologico”. Ma che investe tutto il sistema Paese, in ogni sua parte (aziende, cittadini, istituzioni) e nel profondo. Perché le minacce informatiche minano le identità delle persone, la tenuta economica delle aziende e la competitività del sistema Paese in generale.

È un messaggio quindi che il Cini e il Libro bianco passano alla prossima legislatura, nell’auspicio di trovarvi una nuova sensibilità politica a un tema per anni sottovalutato in Italia.

 

Un problema strutturale, quindi, che investe sia la domanda sia l’offerta di lavoro in cybersecurity