PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

La seduta comincia alle 8.30.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione di Roberto Setola, Professore ordinario di Automatica presso l'Università Campus Bio-Medico di Roma.

PRESIDENTE. Buongiorno a tutti. L'ordine del giorno reca l'audizione di Roberto Setola, Professore ordinario di Automatica presso l'Università Campus Bio-Medico di Roma, nell'ambito dell'indagine conoscitiva sulla difesa cibernetica: nuovi profili e criticità.
Saluto e do il benvenuto al Professor Setola, al quale cedo la parola per il suo intervento.

ROBERTO SETOLA, Professore ordinario di Automatica presso l'Università Campus Bio-Medico di Roma. Signor presidente, sono onorato di essere qui e spero di fornirvi elementi utili alla vostra indagine.
Quando si parla di sicurezza cibernetica, di sicurezza informatica, la prima cosa che viene in mente sono gli strumenti tipici che noi utilizziamo: il computer, il sistema di videoconferenza, la posta elettronica. In realtà, esiste un'altra classe di computer che nasce, non per interfacciarsi con un operatore umano, non per dare dei servizi direttamente a una persona, quanto piuttosto per controllare dei processi fisici, chimici, biologici. Sono dei sistemi che, a differenza dei normali computer, sono dotati sostanzialmente di una serie di sensori, quindi di elementi in grado di misurare cosa stia succedendo nel processo fisico; una capacità di elaborazione a cui segue una capacità di attuazione, cioè di modifica del mondo reale, in modo che alla fine il processo sia quello che desideriamo. Questi sistemi sono utilizzati in tantissimi posti. Ad esempio, abbiamo la corrente elettrica perché c'è un sistema di questo genere che garantisce il flusso di corrente elettrica o, ancora, i treni funzionano per tale motivo. Molto più vicino a noi, le auto oggi sono dotate di sistemi di guida più o meno automatizzata, ma anche nella normale guida – penso a sistemi di iniezione – esse sono gestite da centraline.
Questi sistemi hanno, però, delle peculiarità. La prima risiede nel fatto che il modo di funzionamento è dettato da quelle che sono le particolarità del processo fisico. Questo comporta che vi sono una serie di vincoli, legati alla necessità di garantire la disponibilità del dato, una latenza certa, di avere dei lunghi tempi di life cycle (questi sistemi durano anche 15-20 anni, perché normalmente sono creati insieme all'impianto, all'infrastruttura, e rimangono in vita sempre). Inoltre, hanno dei problemi legati al fatto che devono lavorare continuamente, il che pone dei vincoli rispetto a quelli che sono le normali contromisure cyber. In genere, si hanno difficoltà ad installare un antivirus o fare attività di patching.
In letteratura, per sottolineare la differenza fra questi sistemi e i sistemi IT, sono stati etichettati con la sigla «OT», Operational Technologies. In realtà, se si analizzano i documenti, appariranno anche sigle Pag. 4diverse come Industrial Control System, SCADA, PLC (in realtà SCADA e PLC sono dei componenti di questa architettura).
Qual è, però, dal punto di vista di questa indagine, la principale differenza fra un normale sistema IT e un sistema OT? La vera differenza è che un'azione cyber contro un sistema OT può generare un evento cinetico, cioè può trasformare un attacco cyber in qualcosa che impatta direttamente sull'ambiente, sulla salute delle persone. Non solo posso paralizzare un impianto, una fabbrica, i treni, ma posso arrivare a fare qualcosa anche di più drammatico. Nel 2007, negli Stati Uniti, il Governo americano ha fatto – con il progetto Aurora – un esperimento: dimostrare cosa si possa fare attaccando in maniera cyber un sistema (in quel caso un gruppo elettrogeno da 27 tonnellate). Nei video che si trovano su internet si vede che questo gruppo elettrogeno inizia a vibrare, inizia a emettere fumo denso, a perdere olio, fino a rompersi meccanicamente. Vuol dire che con delle azioni cyber (in realtà hanno mandato una serie di comandi sofisticati per portare il sistema a lavorare in condizioni al di fuori del range operativo normale) si riesce a trasformare il mondo virtuale in qualcosa che ha impatto direttamente sulla vita; inquino, posso far male a qualcuno, ho tempi di ripristino estremamente sofisticati.
Nel corso degli anni abbiamo avuto vari di questi esempi. Forse il più famoso è stato Stuxnet, un malware che nel 2010 ha distrutto fisicamente circa mille centrifughe per l'arricchimento dell'uranio nel sito iraniano di Natanz. Poi abbiamo avuto una serie di blackout in Ucraina, nel dicembre 2015-2016 o, ancora, la paralisi della più grande raffineria in Arabia Saudita.
Gli episodi sono tantissimi. In alcuni casi, questa paralisi è stata dovuta a una eccessiva contiguità tra il sistema IT e il sistema OT, cioè tra i normali sistemi informatici (come la posta elettronica, in cui gli operatori umani possono commettere errori) e i sistemi di controllo. È il caso di Colonial Pipeline. In quel caso, un malware ha paralizzato per una settimana il più grande oleodotto che portava il carburante dalle raffinerie del Golfo del Messico fino a New York e Washington. Una settimana di paralisi, di assenza di carburante, in una Nazione come gli Stati Uniti è stato un impatto significativo. Si è trattata, in realtà, di un'azione quasi accidentale: c'è stata una propagazione e il sistema OT, che nasce per garantire la safety, si è accorto che qualcosa non funzionava, perché i file erano corrotti, e ha fatto uno shutdown.
In altri casi l'azione è molto più sofisticata. Nel caso di Stuxnet, ad esempio, il malware sceglieva di dare al sistema OT comandi specifici che hanno portato il sistema a lavorare al limite del funzionamento, fino ad andare anche oltre. Per fare questo occorre, però, una pianificazione di lunga durata.
Nel caso di BlackEnergy 3, il malware che ha creato il blackout in Ucraina nel 2015, il CERT degli Stati Uniti ha evidenziato che lo stesso malware era presente nei sistemi informatici di diverse aziende americane già da cinque anni. Vuol dire che si tratta di un'azione preparata ampiamente in anticipo e posta in essere quando l'attaccante decide di ottenere il suo risultato.
È evidente che non è un'azione con uno scopo meramente lucrativo. È difficile che un criminale che ha lo scopo di perseguire un profitto mantenga dormiente un oggetto per cinque anni e poi lo faccia esplodere solo in una realtà e non ovunque. È ipotizzabile che dietro queste azioni ci siano soggetti che hanno interessi geopolitici. Dal punto di vista della letteratura, questi tipi di attacchi vengono etichettati come state-sponsored.
Il problema dei sistemi OT, in realtà, si sta allargando. Fin'ora si è parlato di impianti industriali, di infrastrutture nazionali, ma sempre più spesso anche oggetti più consumer (ho citato prima l'esempio dell'automobile, ma può anche trattarsi di un frigorifero o qualunque altro elettrodomestico) hanno una componente fisica su cui si va a sommare la componente cyber, realizzando dei veri e propri cyber physical system, cioè sistemi in cui la parte cyber è in grado di interagire e di modificare il mondo fisico.Pag. 5
È ovvio che questi sistemi aumentano il rischio di attacchi verso questo componente. Attacchi che, però, sono estremamente sofisticati. Per realizzarli, quindi anche per difendersi da essi, si ha la necessità di conoscere sia lo strato IT, ma anche le peculiarità del sistema OT. Normalmente, le comunità scientifiche e culturali sono diverse. Nel mondo IT sono gli informatici, mentre nel mondo OT sono gli automatici. Peraltro, si ha la necessità di conoscere anche il processo sottostante, perché solo dalla conoscenza di questi tre domini si riesce a realizzare azioni che effettivamente si trasformano da eventi cyber in eventi cinetici.
Qual è il ruolo che la Difesa può giocare in questo dominio? Se stiamo parlando di azioni perpetrate da soggetti state-sponsored è evidente che ci vuole una capacità dello Stato di difendersi da questi attacchi, capacità che, ovviamente, deve essere sia in ottica difensiva che, qualora serva, in ottica di proiezione all'esterno di questa tipologia di azione. Va, quindi, costruita questa competenza, e va costruita partendo dalla realizzazione di sistemi di test range, cioè di sistemi in cui è possibile analizzare tecnologie, comprendere le vulnerabilità, comprendere come queste tecnologie si interfacciano con l'architettura OT e, al di sotto, con il progetto sottostante. Ciò significa che questi test range debbono avere sia assetti simulati, ma anche i principali componenti dell'architettura OT devono avere parte nel processo.
Negli Stati Uniti i grandi laboratori (Idaho National Laboratory, Argonne, Sandia) hanno convertito parte delle loro infrastrutture per supportare questo tipo di analisi. Lì troviamo delle infrastrutture, dei sistemi OT riprodotti, in cui c'è la possibilità di testare azioni sia di blue team, quindi di difesa, sia di red team, quindi di attacco, avendo contezza immediata di quella che è la realtà fisica. Ritengo che per fare ciò la Difesa debba interfacciarsi in primo luogo con gli operatori delle infrastrutture critiche nazionali. Sono loro che conoscono le nostre architetture, sono loro che possono aiutare a capire come funzionano i sistemi, quindi definire assieme le strategie di difesa.
Questa collaborazione, però, da un lato deve spronare i soggetti delle infrastrutture critiche a comprendere il loro ruolo sistemico, a comprendere l'importanza di collaborare con il mondo della Difesa. Una strada per ottenere questo è, a mio avviso, quella di favorire la nascita all'interno di ognuna di queste infrastrutture critiche, di queste società, di una figura che abbia specifiche responsabilità e competenze nel campo della security. Sto pensando a figure tipo il security manager, quello che nel mondo anglosassone è chiamato chief security officer. Attualmente le norme italiane, da questo punto di vista, non hanno una formulazione esatta. Abbiamo il responsabile della safety (adesso, con la NIS 2, della cybersecurity), ma non abbiamo, per legge, un responsabile della sicurezza tout court.
Va anche promossa una collaborazione con il mondo della ricerca. Esistono in Italia varie eccellenze. Con il centro di competenza Cyber 4.0 e il Ministero delle imprese e del made in Italy abbiamo realizzato un test range del sistema idrico, che potrebbe essere condiviso con la Difesa. Altre realtà nazionali stanno percorrendo questo tipo di strada. Collaborare con il mondo della ricerca vuol dire poter lavorare sulla frontiera tecnologica e in un dominio così dinamico, come quello cyber, è fondamentale.
Non possiamo trascurare che nel mondo della difesa cyber, così come si sperimenta in maniera efficace per il mondo della difesa tradizionale, non si è delle monadi. Dobbiamo dunque confrontarci anche con i nostri alleati, iniziare a cooperare con loro, per dare ai nostri militari la possibilità di testare tecnologie diverse, operare in ambienti diversi. Tutto questo per creare una massa critica tale da poter essere pronti a reagire a una situazione di rischio. Massa critica che necessariamente deve basarsi anche su un altro aspetto, che è il secondo che vorrei cogliere in questa mia presentazione: quello della formazione.
Il mio suggerimento, in analogia a quanto previsto nella recente legge che ha recepito Pag. 6in Italia la NIS 2, la direttiva europea sulla sicurezza cibernetica, è richiedere che tutti gli ufficiali superiori abbiano una formazione in ambito cybersecurity. Solo in questo modo inizieremo ad avere una classe dirigente che ha contezza del rischio e che ha elementi per poter comprendere lo scenario e le possibili contromisure.
A fianco a questo vanno creati poi degli specialisti. Qui, però, abbiamo un grosso problema: il mondo della cyber security soffre di un gap skill enorme. È stimato che a livello mondiale manchino circa 3,5 milioni di professionisti della cyber security. In Italia si parla di un gap di circa 100.000 professionisti. In questo scenario non è difficile immaginare che la capacità attrattiva del pubblico in generale e delle Forze armate in particolare non è così forte. Ho avuto modo di partecipare alle ultime commissioni selettive per i ruoli tecnici dell'Arma dei Carabinieri e non avevamo «orde» di candidati interessati a lavorare nel campo della cyber security.
Sicuramente c'è un problema economico, infatti, il mondo privato offre remunerazioni decisamente diverse, ma vi è anche un altro tema. Oggi l'aspetto cyber è relegato nei ruoli tecnici e, conseguentemente, non attrae con entusiasmo. Viene vista come una carriera subalterna ai ruoli regolari. Il mio suggerimento è provare a inserire la formazione cyber già a livello di accademia, quindi ai ruoli regolari, il che avrebbe anche un altro vantaggio: anticipare il momento in cui le Forze armate offrono ai potenziali candidati questa strada, che è anticipata alla fine della scuola media secondaria, in cui il privato ancora non è pronto a offrire qualcosa. Agganciandoli in quel momento abbiamo anche la possibilità di fare una formazione specifica e mirata sulle esigenze delle Forze armate.
Concludo sottolineando solo due aspetti principali. La cyber security IT è quella che gestiamo tutti, ed è conosciuta. Abbiamo, però, un grosso problema, che è la cyber security operational technologies, su cui vi è ancora poca consapevolezza e le figure professionali con le competenze adatte sono poche, anche perché sono sparse fra informatica, automatica e altre competenze. Dobbiamo aumentare la formazione e la capacità delle Forze armate di attrarre quei talenti e formarli per gestire questo complesso scenario.
Grazie.

PRESIDENTE. Grazie a lei, Professore.
Do la parola ai colleghi che intendono intervenire per porre quesiti o formulare osservazioni.
Prego, onorevole Loperfido.

EMANUELE LOPERFIDO. La materia è certamente molto interessante e dimostra quanto ci sia tanto da lavorare, sia in fase di formazione che anche in fase culturale per convincere dell'importanza del dover dedicare attenzione a questo tema.
Da ex amministratore locale, sono consapevole che le amministrazioni locali non seguono infrastrutture strategiche, però gestiscono delle infrastrutture e strutture che in fin dei conti, nel momento in cui non dovessero funzionare, potrebbero creare disagi (anche se certamente meno impattanti che in caso di malfunzionamento di infrastrutture come quelle che sono state citate, quali ad esempio gli impianti nucleari).
Mi chiedo, con riferimento agli enti locali, se vi sia la necessità di approfondire e fare in modo che si abbia consapevolezza di quanto sia importante anche l'attenzione verso i fornitori con una preparazione specifica, al fine di mettere in sicurezza la gestione degli ospedali, del traffico e delle infrastrutture.
Le amministrazioni locali, secondo lei, hanno bisogno di essere sensibilizzate sul tema?

PRESIDENTE. Grazie, onorevole Loperfido. Prego, Professore Setola.

ROBERTO SETOLA, Professore ordinario di Automatica presso l'Università Campus Bio-Medico di Roma. Grazie della domanda, onorevole.
Distinguerei la risposta in due parti. Con l'introduzione della NIS 2 tutti i soggetti medio-grandi, quindi semplificando chi realizza un fatturato di 50 milioni in su, che operano in una serie di settori – e tutti Pag. 7quelli citati da lei rientrano in questi settori – saranno obbligati a migliorare il loro standard di sicurezza. Peraltro, i vertici di tutte queste aziende dovranno fare essi stessi una formazione e, quindi, iniziare a comprendere il problema.
Dal lato della pubblica amministrazione, in realtà, è un po' più variegato il segmento. In ogni caso, la awareness va fatta crescere perché mentre le grandi infrastrutture hanno già attivato un percorso virtuoso per crescere, le società piccole, le municipalizzate in particolare, hanno meno competenza al loro interno. Peraltro, questo tema porta a scontrarsi con l'altra problematica di cui parlavo. Se le Forze armate possono offrire qualcosa di interessante a un candidato esperto nella materia cyber, una piccola amministrazione ha sicuramente maggiori difficoltà.
Il punto principale risiede nella necessità di partire dalla consapevolezza e poi fare un percorso, come dice anche la NIS 2, di gradualità e proporzionalità per andare a crescere in questa direzione.

PRESIDENTE. Grazie, Professore Setola. Prego, onorevole Polo.

BARBARA POLO. Intanto ringrazio il nostro ospite per questa interessantissima esposizione. È una tematica che sicuramente, come diceva il mio collega, è da riportare anche a quelle che sono le amministrazioni pubbliche. Proprio il profilo della sicurezza è quello che mi preoccupa di più. Dato che lei ha impostato la discussione rispetto alla formazione prettamente all'interno dell'ambito della Difesa e delle Forze armate, non sarebbe invece utile predisporre dei corsi di formazione universitaria in questo settore? Anche considerando che molti di quelli che noi definiamo «piccoli hacker» e che sarebbero utilissimi alla causa, potrebbero non essere interessati al mondo della Difesa. Peraltro, si sta allargando tutto il mercato a cui faceva riferimento: chi produce un malware di quel tipo probabilmente lo «tiene in caldo» per progetti bellici. Questa considerazione, peraltro, mi trova d'accordo solo in parte, poiché potrebbe anche essere semplicemente una questione economica: trovo il Paese che me lo compra perché gli serve per fare un determinato tipo d'intervento.
Vengo alla domanda che le volevo fare. Come siamo messi, in una percentuale da 0 a 100, a livello di preparazione base, perlomeno allo stato attuale, con tutto quello che c'è da fare?

PRESIDENTE. Grazie, onorevole Polo. Prego, Professore Setola.

ROBERTO SETOLA, Professore ordinario di Automatica presso l'Università Campus Bio-Medico di Roma. Do prima una risposta al suo commento sulla formazione. Sarebbe auspicabile aumentare i corsi di formazione. Io sono presidente di un corso di laurea in Ingegneria dei Sistemi intelligenti in cui trattiamo questi argomenti. Il problema è che il numero di studenti iscritti sono limitati, perché esiste un problema di non attrattività in generale di tutti i corsi di formazione STEM (Science, Technology, Engineering & Mathematics), ma questo è un problema più grande. Tuttavia, potremmo comunque aumentare i corsi.
Una strada diversa, che sto in parte seguendo e la stanno seguendo anche altri colleghi, è quella di avviare attività di formazione di reskilling, cioè persone che hanno fatto percorsi diversi e completano la formazione con alcuni elementi di cyber security. Non saranno hacker, però almeno ci aiutano in parte a colmare quel gap.
Come siamo messi? Sicuramente non siamo messi male, nel senso che abbiamo, ad esempio, una ottima competenza nell'ambito della Polizia. Il CNAIPIC (Centro nazionale anticrimine per la protezione delle infrastrutture critiche), è stato uno dei primi a livello mondiale a crescere e a essere istituito anche con un'idea molto innovativa di cooperazione pubblico-privato, ed è sicuramente un fiore all'occhiello.
Inoltre, abbiamo l'ACN (Agenzia per la Cybersicurezza Nazionale), che sta facendo un ottimo lavoro. Abbiamo i grandi operatori di infrastrutture critiche che si sono resi conto, anche per la loro attività internazionale, che devono irrobustire la parte Pag. 8cyber e hanno fatto molta strada. Cito un caso esemplificativo: quest'anno ad agosto abbiamo avuto un problema con CrowdStrike, che ha creato blackout in tantissimi sistemi in tutto il mondo. In Italia non abbiamo quasi avuto alcuna azione, perché le grandi realtà avevano una competenza tale da gestire questo evento.
Dove ancora soffriamo è in tutto quello che è pubblica amministrazione e soprattutto piccole e medie aziende. L'Italia oggi è al settimo posto a livello mondiale per numero di attacchi cyber effettivi e questo è dovuto in gran parte al fatto che noi abbiamo un tessuto in maggioranza costituito da piccole e medie imprese che non sono preparate a questa aggressione. Quello che dobbiamo cercare di elevare è il livello delle piccole e medie aziende. Come diceva prima il suo collega, ciò potrà essere fatto nel momento in cui iniziamo a coinvolgere le grandi aziende nel far crescere il livello di cyber security della loro catena di fornitori, come in parte previsto già nella normativa NIS 2.

PRESIDENTE. Grazie mille. Se non ci sono altre richieste di intervento, ringrazio i colleghi presenti e il nostro ospite per le risposte.
Dichiaro quindi conclusa l'audizione.

La seduta termina alle 9.