Speaker 0
0:16 – 0:16
Bentornati
Speaker 1
0:18 – 0:21
a Tecnopolicy e benvenuta a Nunzia Ciardi.
Speaker 0
0:21 – 0:22
Grazie.
Speaker 1
0:22 – 0:43
Grazie per essere con noi oggi. La prima domanda che facciamo ai nostri ospiti è una domanda che l'intervistatore lascia all'intervistato, cioè gli chiediamo di presentarsi, di raccontare come è arrivato al momento in cui è nella sua carriera, nella sua vita e perché fatto questa strada.
Speaker 0
0:47 – 4:58
Allora io nasco come funzionario di polizia diciamo dopo la laurea in giurisprudenza un po' per caso in realtà perché allora dopo la laurea così ci si orientava da 3 o 4 professioni classiche mio padre mi dice guarda c'è questo concorso è bello eccetera a me non interessava molto per la vetta Però mi intenerei con questa sua voglia perché era una cosa che a lui piaceva molto per cui andai a fare il concorso da laureato in giurisprudenza per funzionare di polizia e inaspettatamente lo vinsi. Andai per provare e poi come accade nella vita uno si ritrova a fare qualcosa per puro caso e poi si appassiona e quindi io mi sono appassionata a quella professione che è stata la mia vita per per trent'anni più o meno e in polizia ho fatto varie esperienze una realtà che tra I tanti lati positivi anche quello di offrirti una varietà, una serie di sfaccettature professionali. Puoi fare molte cose diverse e io le ho fatte, ne ho fatte diverse fino a quando nel 2009 sono approdata alla polizia postale che è quel segmento della polizia di stato che si occupa di crimine cyber ovviamente un segmento recente nuovo perché come nuova è l'idea di società digitale di crimine digitale quindi sono approdata alla polizia postale quando ancora era una realtà in divenire però l'ho fatto con entusiasmo perché sono sempre stata un'appassionata di tecnologia Per cui sono arrivata in Polizia Postale e ho fatto un percorso all'interno di questa struttura, ne ho diretto degli uffici, ho diretto l'ufficio di Roma della Polizia Postale fino a quando sono diventata direttore di tutta la Polizia Postale nazionale. Lì sono rimasta per 5 anni, è stata un'esperienza entusiasmante sotto tanti punti di vista anche perché era un mondo che si andava modellando via via. Nel tempo ne vedevamo le modifiche giorno per giorno, per cui era molto interessante star lì. Io ho apprezzato che cosa significa questo sviluppo convulso dei fenomeni, quanto sia oggi importante parlare di sicurezza digitale, quanto sia il tema dei nostri anni la sicurezza digitale spesso non apprezzata appieno perché neanche ci rendiamo conto di quanto oggi la nostra vita avvenga tutta su una trama digitale io molto spesso mi sono sentita dare risposte e ho detto vabbè ma io non ho un account social quindi tutto sommato senza pensare che I nostri dati, le nostre vite sono tutte online anche quando noi non ce ne rendiamo conto La sicurezza digitale è la sicurezza delle nostre vite oggi. Un giornalista detto: La rete è entrata in ogni interstizio della nostra vita. Ed è così, se ci pensiamo è così. Quindi ho fatto questa bellissima esperienza dopodiché c'è stata la nascita dell'Agenzia per la Cybersicurezza Nazionale, un'altra realtà entusiasmante completamente nuova. Mi è stata fatta la proposta di assumerne la vice dirigenza e devo dire senza esitazioni ho accettato questa sfida perché la trovo importante perché è un percorso affascinante lo definirei e importante per il Paese e quindi mi cimento volentieri sperando di poter dare il meglio di quello che ho imparato in questi anni. Eccoci e quindi
Speaker 1
4:58 – 6:33
arriviamo a oggi all'Agenzia per la Cybersicurezza Nazionale che che sta muovendo I suoi primi passi è stata istituita da poco e ci racconta perché molti ancora non conoscono le competenze non conoscono chi la compone non sanno esattamente qual è il perimetro di azione di questa nuova agenzia. Perché ovviamente ci sono una serie di competenze cyber che finora erano divise tra altre istituzioni o finora erano di competenza di altre istituzioni o che finora proprio non erano state neanche regolate non erano state neanche pensate. E quindi invece oggi l'ANCN, l'Agenzia per la Cybersicurezza Nazionale è probabilmente l'avamposto della sicurezza italiana perché lo abbiamo visto durante la pandemia le nostre vite sono ancora di più online andiamo verso un futuro in cui la nostra identità sarà ancora più digitale. I nostri dati sanitari, I nostri dati più importanti saranno, speriamo, digitalizzati perché sarebbe anche una grande conquista perché ci permetterebbe sicuramente di fare dei grandi salti in avanti nelle cure, nell'attenzione, per esempio, che può avere il sistema sanitario nazionale per ciascun paziente. Però insieme a questa cosa c'è bisogno di qualcuno che tuteli questa nostra vita on life e quindi che cosa fa l'agenzia per la cyber sicurezza nazionale?
Speaker 0
6:34 – 12:25
L'agenzia fa tantissime cose tantissime è autorità nazionale di cyber sicurezza e questo già definisce in 2 parole un ruolo che è quello di rappresentare nel suo complesso la sicurezza del nostro Paese l'agenzia nasce da pochi mesi è tutto sommato molto giovane e quindi nelle sue numerose competenze io direi che nasce forse come un salto culturale perché si inserisce in un affresco che non era un affresco vuoto in cui c'erano soltanto assenze è vero che l'agenzia nasce in ritardo rispetto a realtà di paesi europei che avevano già creato realtà di questo tipo alcune addirittura decenni prima del nostro Paese, parlo di Francia, Germania eccetera, quindi è vero che sotto certi punti di vista eravamo in netto ritardo ma è anche vero che non eravamo all'anno 0 la cyber sicurezza è un tema trasversale che tocca tutti gli aspetti delle nostre vite e tutti gli aspetti organizzativi dedicati alla sicurezza per cui io ho parlato della mia esperienza alla polizia postale che è la forza di polizia che per ragioni storiche la competenza più radicata a occuparsi di cyber crime ma lo fanno per altri versi anche le altre forze di polizia. Quindi il settore della cyber investigation già c'era, il settore della cyber intelligence già c'era, anzi l'agenzia nasce come uno spin off dell'intelligence. Il comparto intelligence svolto una funzione di supplenza per certi versi rispetto ad aree che non rientravano nella naturale competenza del comparto intelligence che conserva invece le competenze naturalmente sue in campo cyber esisteva ed esiste la cyber difesa insomma tutta una serie di realtà che già operavano in tema di sicurezza c'erano ma l'agenzia pone l'accento su un tema specifico: la resilienza del Paese. Quando parlo di salto culturale, lo dico con grande convinzione, penso che oggi la resilienza, la prevenzione siano l'arma vincente in questo campo. La società digitale lei detto ci auguriamo che I dati sanitari finiscano tutti online e detto una cosa molto giusta nel senso che la transizione digitale di un Paese è quanto mai fondamentale perché un Paese sia in grado di competere sotto il profilo economico, sociale, industriale. Quindi diciamo che la digitalizzazione è un tassello fondamentale nella crescita di un Paese, ma un ecosistema digitale anche molto fragile, molto vulnerabile e bisogno di cure, di essere sicuro. L'investigazione non basta, siamo in un mondo complesso che si interseca costantemente. La rete per sua definizione travolto ogni confine spazio temporale per cui ragionare in termini di individuazione dell'attaccante, di individuazione del pericolo non sempre è facile tra il poter dire quel paese ci attaccati, quella persona compiuto un attacco Non è facile, il tema dell'attribuzione in questo campo è un tema molto complesso e delicato. Tra l'attribuzione e il danno c'è tutta un'area, un'area grigia delicatissima che va tenuta su con la resilienza, con la prevenzione e l'agenzia si occupa di tutto questo, far crescere la sicurezza del Paese. Occupandosi di tutto questo poi la sua attività tantissime declinazioni, all'interno dell'agenzia Check Cirte, il centro che si occupa di monitoraggio, prevenzione, aiuto nella remediation di incidenti informatici, c'è il CVCN che è il centro di valutazione e certificazione nazionale, come ho già detto l'agenzia essendo autorità di sicurezza cibernetica fornisce supporto al Presidente del Consiglio nella sua qualità di autorità nazionale e cyber sicurezza si occupa di formazione, di diffusione, di consapevolezza cyber si occupa di crescita delle professionalità cyber nel nostro Paese quindi fa crescere la cultura della cyber sicurezza. Insomma tutto un insieme di compiti è in costante collegamento col centro tutto sommato anche questo di recente costituzione il centro europeo di Bulgarest che si occupa anche di essere un enzima per far crescere l'indipendenza tecnologica europea e l'indipendenza tecnologica è un altro fattore importantissimo per l'Europa e per il nostro Paese. Le competenze sono varie e hanno questo tema comune di garantire e di aiutare la resilienza del Paese in un percorso quando si parla con
Speaker 1
12:26 – 14:15
le aziende, quando quando si parla con le aziende, quando si parla con gli esperti del settore, non solo in Italia ma in tutta Europa e anche negli Stati Uniti, anche in altre parti del mondo, c'è una carenza, c'è una grandissima richiesta di professionalità in questo settore. Non sempre c'è una disponibilità di personale e probabilmente quello che è uno dei ruoli più importanti che avrà all'Agenzia è proprio quello anche di creare la consapevolezza nei ragazzi, nelle persone, nelle famiglie che c'è tanto lavoro in questo settore. Ci sono dei lavori che possono essere fatti da subito anche dopo il liceo, dei corsi, delle specializzazioni, delle strade nuove perché probabilmente c'è un problema anche culturale in Italia che è inevitabile perché fa parte di come siamo cresciuti ciascuno di noi con dei modelli, con delle idee, con delle strade che immaginavamo anche lei citato appunto lei si è trovata in una strada professionale senza averci pensato prima. E invece ci sono tanti che immaginano che serva per forza una laurea di 5 anni, magari in ingegneria, magari in materie che possono essere anche complesse o che possono avere delle difficoltà di accesso o comunque delle durate che possono spaventare. E invece ci sono dei ragazzi che possono con un corso di 2 anni acquisire una professionalità sufficiente per iniziare a lavorare. Poi magari dopo 3 anni o 5 anni fanno un corso di aggiornamento. È un tema che è in continua evoluzione e quindi una formazione continuerà tutta la vita. Per La formazione è un tema fondamentale.
Speaker 0
14:16 – 19:18
Non La formazione è un tema fondamentale non a caso è una delle competenze dell'agenzia noi scontiamo un deficit di professionalità da applicare in questo campo enorme Lo scontiamo a livello globale, sia chiaro, non è una vulnerabilità, non è una carenza che soltanto il nostro Paese soffre. La carenza è generale ed è dovuta al fatto che la rivoluzione tecnologica come è evidente a tutti avuto dei tempi contenutissimi, si è sviluppata moltissimo in un tempo relativamente breve. Io dico sempre facendo un esempio molto banale ma altrettanto evidente che una realtà come Facebook che per certi versi si sta già reinventando perché nella sua veste tradizionale risente un po' dell'usura del tempo, è nata nel 2004, non neanche vent'anni. Parliamo di tempi brevissimi in cui I fenomeni esplodono, si bruciano, crescono. Il fenomeno della digitalizzazione è un fenomeno per sua natura velocissimo e che direi delle caratteristiche di rivoluzione antropologica più che tecnica e culturale cambiato veramente il nostro rapporto con la realtà In tutto questo scenario è evidente che la metabolizzazione da parte delle società non potuto avvenire con dei tempi naturali, necessari. Ecco qui che le professionalità che poi nel giro di pochi anni di cui si sente la necessità nel giro di pochi anni non ci sono sul mercato non sono pronte non sono Poi il nostro Paese in particolare forse in questo campo è stato più mio per gli altri. Quelle poche professionalità che avevamo spesso hanno scelto di andar fuori perché fuori all'estero trovavano maggiori soddisfazioni professionali. Quindi qual è l'ambizione dell'agenzia? È quella di stimolare la crescita professionale in questo campo dei giovani, quindi di fornire da una parte al mercato che ne un estremo bisogno, professionalità in grado di gestire aspetti diversi di questo mondo e dall'altra coniugando felicemente questa esigenza col fatto che molti giovani sono disorientati, non trovano lavoro eccetera offrendo una possibilità a questi giovani, offrendo una visione, una prospettiva che in questo campo non solo si può lavorare ma c'è una ricerca, c'è una fame di questo tipo di preparazione. Come correttamente diceva lei, se è vero che ci sono facoltà e università che si stanno attrezzando, molto attrezzando benissimo per garantire e fornire opportunità di studio che conducano a professionalità di questo genere, non è necessariamente quella la strada. In questo campo occorrono professionalità di vari livelli, non serve soltanto il laureato. Ci sono persone che partono da un auto-addestramento, da un'auto-formazione e che poi magari I concorsi di 2 anni, 3 anni riescono a raggiungere livelli di espertise assolutamente preziosi, appetibili da parte di pubblico e privato, perché poi la carenza si sconta sia nel pubblico sia nel privato. Ad esempio, di recente c'è stato il nostro accordo con la Regione Lazio che voluto creare una scuola post diploma per giovani proprio per fornire una preparazione in questo campo. Stiamo muovendo interlocuzioni con altre regioni in questo senso. La nostra attività sarà su più piani, con rapporti con le università, con le istituzioni pubbliche per organizzare corsi, per organizzare formazioni anche a livello di pubblica amministrazione per chi già lavora all'interno di Pubblica Amministrazione che abbia almeno un'infarinatura, abbia almeno la coscienza del problema sia a livello di vertice per poter investire nei settori giusti sia a livello di base o medio per poter lavorare con I necessari criteri di sicurezza e io ritengo sia importante spingersi fino all'orientamento dei giovani nelle scuole superiori andare a offrire a questi ragazzi una visione, una prospettiva, dire loro che cosa significa avere una preparazione in questo campo, che cosa questa preparazione può offrire, dirlo ai ragazzi giovani e dirlo alle ragazze giovani per ridurre quel drammatico divario di genere che continua ancora a caratterizzare l'accesso a queste professioni.
Speaker 1
19:19 – 21:35
Ecco lei menzionato la formazione della Pubblica Amministrazione e anche sia a livello di vertici sia a livello di funzionari. L'anno scorso c'è stato un caso che è diventato un po' paradigmatico di attacco alla Regione Lazio e in particolare sui dati sanitari della Regione Lazio. La questione sempre più diffusa in Italia è la questione del ransomware e quindi degli attacchi fatti con l'obiettivo di ottenere un riscatto, di ottenere diciamo un vantaggio economico o prendendo il controllo di sistemi o sottraendo dati e sono in crescita e sono stati molto in crescita ovviamente negli anni della pandemia perché si sono spostate online una serie di attività che non erano pronte probabilmente a essere spostate online con persone che non avevano neanche gli strumenti adatti per gestire magari una grande mole di dati fuori dagli uffici, magari addirittura con I computer personali, eccetera. Abbiamo imparato una serie di lezioni in questi 2 anni, abbiamo capito cosa sta succedendo in questo campo ma come si fa a combattere il ransomware? Ovvero la strategia è cosa si fa con questi riscatti? Si riesce a recuperare I dati? Ci sono molte aziende che magari non vogliono denunciare perché hanno paura di perdere reputazione, perché ammettono di essere state bucate da un attacco. Andiamo verso un un sistema di repressione più duro che quindi possa emulare un po' quella che fu la strategia con I riscatti nell'epoca dei sequestri in Italia. Cioè è un argomento dove tra l'altro la psicologia entra tantissimo, entra tantissimo la psicologia di chi è vittima poi di questi attacchi perché sia a livello di un piccolo funzionario pubblico sia a livello di una grande azienda entrano in gioco una serie di ragionamenti che spesso non sono nell'interesse né nazionale né della sicurezza ma devono poi in qualche modo mettere insieme l'interesse personale con la sicurezza e il disincentivo nei confronti di questo tipo di attacchi.
Speaker 0
21:36 – 25:16
Lei tocca un tema assolutamente fondamentale e interessantissimo e tra l'altro io questo tema l'ho seguito nella mia precedente vita professionale oltre che in questa. Il ransomware è una delle minacce in assoluto più insidiose che siano oggi configurabili in questo campo. Avuto una crescita enorme alcune statistiche dicono che oggi quasi il 35 por 100 degli attacchi è costituito da ransomware e tra l'altro è uno degli attacchi in assoluto più pericolosi perché rende indisponibili al titolare le informazioni che questo titolare detiene perché attraverso un attacco informatico ci cifra tutti I dati a disposizione chiedendone poi un riscatto. Noi ne abbiamo visto un'evoluzione anche in tempi rapidi, abbiamo visto che quello che prima era soltanto un rendere indisponibili dati poi è diventato esfiltrare questi dati e fare un ricatto ancora più pressante, cioè non solo non ti restituisco I tuoi dati integri ma te li pubblico per fare maggiore pressione. Pensiamo a quale danno reputazionale ma anche a quale danno reale si quando dati sanitari oppure dati economici, dati attinenti a noi, alle nostre vite, alle persone vengono travasati in rete sul dark web e lì cannibalizzati, venduti, utilizzati per altri crimini perché poi in rete non si butta nulla. Io ogni tanto dico. E tutto questo è una minaccia enorme e vengono richiesti riscatti spaventosi. Come lei giustamente detto poi le aziende sono poste di fronte a una pressione psicologica fortissima perché rendere pubblico un attacco del genere significa una perdita in termini reputazionali che poi si traduce in una perdita economica in modo simultaneo enorme, quindi c'è l'interesse, ci sarebbe l'interesse a tenere nascosta pagando. Però innanzitutto pagare significa foraggiare ulteriormente una criminalità informatica agguerritissima che di tutto bisogno fuorché di cifre enormi per continuare a investire in questo campo. Poi non c'è mai la sicurezza che pagando anzi probabilmente il fatto di pagare quindi dimostrare di essere soggetti suscettibili a questa pressione vuoi per informazioni detenute, vuoi per interessi da tutelare può essere invece un incentivo magari non subito a continuare a trovare strade per attaccare quell'azienda. Apro e chiudo parentesi. Io nelle mie 2 vite professionali vedo che poi gli investimenti ingenti in sicurezza informatica avvengono quasi sempre a valle di un attacco. Dopo essere stati attaccati ed aver subito un danno decisamente rilevante poi ci si rende conto di quanto sia importante la sicurezza informatica e si investe tantissimo. Qual è una delle prime chiavi? Investire prima, prima di essere colpiti e mettere in atto tutta una serie di misure perché purtroppo poi spesso I soggetti colpiti sono stati colpiti attraverso vulnerabilità non sempre così nascoste ma insomma diciamo attraverso anche varchi
Speaker 1
25:18 – 25:18
se
Speaker 0
25:20 – 25:37
avessero investito si sarebbero accorti pensiamo a Wanna Crai che fu uno dei primi attacchi che fu scatulì da una vulnerabilità non pecciata per la quale l'aggiornamento
Speaker 1
25:38 – 25:39
era già disponibile
Speaker 0
25:40 – 27:00
da mesi e lì non era soltanto chi era stato disattento e non aveva aggiornato era anche chi non poteva investire e aveva in sistemi vecchi che non consentivano un aggiornamento quindi occorre investire in sicurezza informatica, occorre prevenire perché poi quando si è attaccati il danno è difficile. È difficile investigare su un ransomware che proviene dall'estero, da Paesi che magari non collaborano. È difficile noi molto spesso nella mia vecchia vita professionale quando ci si rendeva conto di essere stati colpiti, non proprio nel ransomware, ma magari in altri tipi di raggiri informatici quando la denuncia era precoce riuscivamo a bloccare le somme. Sul ransomware neanche questo è possibile perché tu 6 attaccato, hai tutto cifrato, la minaccia è lì attuale e la tentazione di pagare è forte. Purtroppo la minaccia di pubblicare in rete I dati viene quasi sempre mantenuta perché anche questo dobbiamo dire quindi la soluzione è prevenire prevenire prevenire investire investire in sicurezza oggi questo è il tema
Speaker 1
27:01 – 27:24
chiarissimo grazie per queste risposte adesso l'ultimissima domanda che facciamo ai nostri ospiti è quella di consigliare un profilo Twitter, un libro, una pubblicazione, un autore, qualcuno che possa aiutare chi ci ascolta a comprendere meglio il tema della giornata il tema di cui abbiamo parlato
Speaker 0
27:25 – 28:29
Io di recente ho letto Etica dell'intelligenza artificiale di Luciano Floridi che è una riflessione secondo me molto importante su un tema in particolare quello dell'intelligenza artificiale ma in realtà può essere una riflessione generale sulla digitalizzazione cioè quanto l'intelligenza artificiale quanto quindi questo ecosistema poi possa essere declinato in modi diversi e ci si auspica che ci sia una riflessione per declinarlo per il bene del pianeta, per il bene dell'uomo Al di là di ogni banalità sono temi che sono fondanti e lo saranno sempre di più per le nostre società Poi c'è un libro divulgativo sulla fisica quantistica che è un po' più lontano dall'argomento però a chi interessa la branca della quantistica che poi viene può essere applicata anche al nostro mondo, il libro di Carlo Rovelli Elgoland
Speaker 1
28:30 – 28:40
che è veramente molto interessante. E poi la fisica quantistica sappiamo che diciamo rischia di bucare anche qualunque sicurezza dalla blockchain in poi.
Speaker 0
28:41 – 29:14
E' necessario investire tantissimo anche in quel tipo di ricerca. L'agenzia per la cyber sicurezza nazionale anche questo come incarico: guidare in qualche modo essere anche un faro per la ricerca per capire laddove ci siano le nuove problematiche, laddove bisogna investire e quindi anche questa in qualche modo è resilienza. La resilienza tante facce e l'agenzia cerca di essere impegnata su tutte queste facce. Bene, grazie 1000 Annunzia Ciardi. Grazie a voi.