È una questione che, spesso, è stata evidenziata tra quelle più critiche mai affrontate dalla nostra pubblica amministrazione. E che, di conseguenza, ha avuto un riflesso anche sulla percezione del nostro Paese – per questo settore – a livello europeo. Stiamo parlando della divulgazione coordinata delle vulnerabilità su portali digitali pubblici, ma anche da parte di operatori privati. Nel piano nazionale della cybersicurezza che è stato presentato nelle ultime ore, è presente un passaggio molto interessante su questo aspetto, che – non a caso – è stato immediatamente individuato dai massimi esperti italiani del settore. Con una buona dose di fiducia.
LEGGI ANCHE > I 623 milioni previsti dal governo per la strategia italiana di cybersicurezza
Al di là dei titoli sensazionalistici sulle cifre stanziate per il piano – si parla di 623 milioni di euro -, è importante considerare (e cercheremo di farlo anche nei prossimi giorni) i singoli aspetti su cui questo stesso piano va a incidere. Uno di questi è stato individuato prontamente su Twitter da Gianluca Varisco, esperto di trasformazione digitale, che ha manifestato buoni auspici rispetto a quello che è stato inserito all’interno del documento presentato dal presidente del Consiglio Mario Draghi, dal sottosegretario Franco Gabrielli e dal direttore dell’ACN Roberto Baldoni.
Ieri l’Agenzia per la Cybersicurezza Nazionale (@csirt_it) ha pubblicato la Strategia Nazionale di Cybersicurezza 2022-2026. Tra gli obiettivi, un accenno interessante al tema Coordinated Vulnerability Disclosure (CVD) di cui vi ho parlato molto in questi anni
— Gianluca Varisco (@gvarisco) May 26, 2022
Il piano mira a definire, tra gli altri obiettivi, una «politica nazionale sulla divulgazione coordinata di vulnerabilità, così da porre il Paese al passo con altre nazioni e con quanto richiesto dalla comunità internazionale». Questa strategia si poggia sia sulla reazione della pubblica amministrazione, sia su quella degli operatori privati. Questi ultimi, in particolare, dovrebbero essere incoraggiati a creare dei Product Security Incident Response Team, ovvero delle sezioni apposite dove poter ricevere, da parte degli utenti, delle segnalazioni su possibili vulnerabilità e sfruttare così la partecipazione per migliorare i servizi erogati e i loro livelli di sicurezza. Una strada che aprirebbe, di fatto, a una nuova cultura della cybersicurezza a livello pubblico e a livello privato, un passo in avanti rispetto a uno scarto – attualmente – fatto da sospetti nei confronti delle segnalazioni di vulnerabilità e di reticenze (dovuti a presunti motivi reputazionali) nel comunicarle al pubblico.