Italy

Baldoni, il Cyberzar d’Italia: «Stipendi più alti a chi combatterà gli hacker»

di Alessia Cruciani

Voluto dal premier Draghi alla guida della Agenzia per la Cybersicurezza nazionale, avvisa: «Subiamo milioni di attacchi al giorno, a rischio gli asset strategici del Paese»

La sfida è enorme, anche per il “Cyberzar” italiano. Per questo Roberto Baldoni ammette che da qualche settimana l’insonnia ha la meglio su Morfeo. Perché il suo compito ora è fare in modo che a diventare più tranquilli siano i nostri di sonni: il Professor Baldoni è infatti l’uomo chiamato da Mario Draghi a guidare l’Agenzia per la Cybersicurezza Nazionale, voluta e ideata proprio dal premier, a cui risponderà direttamente. Massimo esperto di cybersecurity del nostro Paese, Baldoni è stato nominato direttore generale della neonata ACN dopo aver ideato e realizzato il Perimetro di Sicurezza Cibernetica al Dis (nei servizi segreti), ma è soprattutto in qualità di docente universitario — insegna Sistemi distribuiti alla Sapienza — che è consapevole della prima difficoltà da affrontare. E che spiega come recuperare il ventennale ritardo del nostro Paese in questo campo: trovare in fretta i migliori professionisti del settore per fare massa critica e retribuirli adeguatamente. Giovani qualificati contro le più pericolose minacce informatiche, ma che le mansioni e gli stipendi offerti loro in Italia hanno spinto ad accettare gli ingaggi alla Ronaldo dalle società all’estero.

«So di avere una responsabilità enorme per un incarico che non è mai esistito in Italia, e proprio per questo ho preteso di poter selezionare professionisti, esclusivamente sulla base delle competenze e del merito . E conseguentemente di poterle retribuire adeguatamente. Negli ultimi venti anni abbiamo creato grandissime professionalità ma poi questi ragazzi sono andati a lavorare all’estero per Google o Amazon. Mi impegnerò per riportarli qui, a difendere il nostro Paese con le migliori competenze ancora presenti in Italia».
Gli esperti di cybersecurity sono richiestissimi in tutto il mondo e, come ripete spesso ai suoi studenti, “senza lilli non si lalla”. Cosa cambia adesso?
«La legge che ha istituito l’Agenzia prevede che gli stipendi siano allineati ai più alti della Pubblica Amministrazione, quelli di Banca d’Italia. Da professore universitario ho visto per anni ragazzi laurearsi, fare un dottorato e poi partire. Avevo un allievo che ha ricevuto un’offerta di 150 mila dollari più benefit da una nota azienda californiana. Pur sapendo che esisterà sempre un mercato per le persone in gamba, dobbiamo aumentare la base di tecnici, ingegneri, esperti per difenderci dai cyberattacchi. E garantisco che ci sono persone molto brave disposte a restare in Italia se ai loro valori etici, come la voglia di difendere il Paese, abbiniamo adeguati stipendi alle loro professionalità. I primi concorsi per l’accesso all’ACN saranno banditi già nel corso del 2022».
Come si forma una workforce nazionale? Entro il 2027 saranno 800 i cyberdefender dell’Agenzia.
«Bisogna fare qualcosa per avvicinare di più i giovani alle materie Stem fin dalla scuola, non solo all’università. Soprattutto tra le ragazze c’è un ritardo sul fronte della trasformazione digitale, e non possiamo permetterci di perdere il 50% della forza lavoro. In passato, per trovare gli operatori più bravi, creai la Cyberchallenge: una sfida tra studenti di informatica che si è talmente evoluta che ora permette a circa 5.000 ragazzi distribuiti su 40 sedi universitarie di usufruire di corsi specifici di attacco-difesa, su cui poi si sfidano fino a proclamare l’ateneo vincente. Negli ultimi anni è nata anche una nazionale di cybersecurity: i migliori dieci partecipano agli europei. Alcuni dei nostri “azzurri” sono certo che entreranno in Agenzia».
Non si è fatto in tempo a istituire l’Agenzia che c’è stato l’attacco alla Regione Lazio e poi all’ospedale San Giovanni di Roma. In una scala da 0 a 10, quanto siamo in pericolo?
«Siamo ogni giorno a un livello 8. Immagini tante campagne che all’inizio sono piccole azioni offensive, studiano il perimetro per capire se ci sono debolezze e quindi se le società e le P.A. possono essere attaccate. A quel punto si parte con un’azione mirata e si porta avanti l’attacco specifico. Queste campagne per capire i punti di debolezza sono continue, costanti: circa 50-60 milioni di attacchi al giorno a livello mondiale. Bisogna sapere però che la prima vulnerabilità nella cybersecurity è la debolezza umana. E con una cultura della sicurezza si potrà stare più tranquilli».
Che cosa farà l’Agenzia che finora non veniva fatto?
«L’Agenzia si occuperà sia della prevenzione sia della gestione degli incidenti. E diventerà il centro del perimetro di sicurezza nazionale cibernetica, dove sono inseriti gli asset Ict più importanti del nostro Paese: quelli che, se impattati da un incidente, possono avere conseguenze sulla sicurezza nazionale. I settori inseriti nel perimetro sono difesa, spazio, tlc, alta tecnologia, difesa della proprietà intellettuale per le aziende più strategiche, infrastrutture governative, trasporti. L’Agenzia dovrà anche diventare un fulcro per far aumentare gli investimenti e la cultura della sicurezza informatica. Perché nessuno viene risparmiato e potrei fare un elenco lunghissimo di aziende colpite».
Quale sarà il vostro raggio d’azione anche rispetto all’intelligence?
«Siamo come i vigili del fuoco: se scoppia un incendio, andiamo a spegnerlo e poi la polizia fa l’indagine per capire se è stato doloso o meno. Quando interveniamo, magari possiamo sembrare i “cattivi” che sottolineano le falle riscontrate. In realtà aiutiamo nella costruzione di tecnologie più affidabili. L’intelligence, invece, dovrebbe da una parte aiutare la prevenzione, e dall’altra contribuire all’identificazione dei colpevoli ricorrendo a strumenti propri dell’intelligence valutando anche l’uso di operazioni proattive».
Che rapporti avrete con gli altri ministeri, soprattutto con la Farnesina visto che molti attacchi vengono dall’estero?
«L’Agenzia sarà l’autorità nazionale per la cybersecurity, farà da guida agli altri ministeri per costruire sistemi informativi più resilienti ad attacchi. A livello internazionale supporterà le azioni che saranno intraprese a seguito di attacco sui tavoli internazionali, anche insieme al ministero degli Affari Esteri».
Saranno coinvolti i soggetti privati?
«Internet è fatta dai privati, i prodotti vengono dai privati, i servizi su internet vengono erogati da privati. Il problema della cybersecurity è un problema pubblico-privato. I privati non possono stare fuori da un sistema che vuole gestire il rischio cyber ma ne sono un pezzo importantissimo. L’agenzia si pone come interlocutore per tutte le operazioni di awareness, formazione, prevenzione, certificazione dei dispositivi che si metteranno all’interno dei servizi critici del Paese».
Quale cyberattacco la preoccupa di più?
«Il blocco dell’elettricità. Le infrastrutture elettriche sono ormai tutte computerizzate. In questo caso ci sarebbe il tanto temuto impatto sulla sicurezza nazionale. Un buon motivo per non dormire di notte».

Football news:

Josep Bartomeu: il Barcellona ha preso in considerazione la possibilità di firmare Mbappe, ma gli allenatori hanno preferito Dembele
Ferdinand su Manchester United: Sulscher deve essere più impegnativo per i giocatori. Questa è la sua composizione, Ole valuteranno di vittorie
Ancelotti sulle ferite di Hazard: Eden è più sconvolto. È stanco di questi problemi
Mourinho ha mostrato di nuovo tre dita durante la partita contro la Juve. Forse, ha lasciato intendere ai fan su treble con l'Inter
Virgil van Dijk: è difficile tornare dopo un infortunio al ginocchio. L'unica cosa che posso fare è fare del mio meglio per aiutare la squadra
Modric circa la Coppa del mondo una volta in 2 anni: inutile. L'evento è speciale perché è in attesa di 4 anni. I giocatori non chiedono nulla
Jürgen Klopp: non ho idea di come vinca il pallone D'Oro. Secondo me, Salah ha una possibilità