All'Università di Trento la sfida della cybersicurezza passa da scelte strategiche, tecniche e organizzative che coinvolgono l'intero Ateneo. Ne abbiamo parlato con Fabrizio Granelli, professore di Telecomunicazioni al Dipartimento di Ingegneria e Scienza dell'Informazione e delegato del rettore per servizi e tecnologie informatiche, e Nicola Zanella, dirigente dei Servizi digitali e bibliotecari e responsabile per la transizione alla modalità operativa digitale. Con loro abbiamo approfondito che cosa prevede la direttiva europea Nis2, perché UniTrento è stato inserito tra i "soggetti importanti" e quali passi sono stati avviati per rendere più sicuri dati, infrastrutture e servizi digitali.
«La direttiva europea Nis2 ridisegna il modo in cui enti pubblici e privati devono proteggere dati e servizi digitali, e l'Università di Trento è tra i soggetti chiamati a fare un salto di qualità in questo ambito», spiega Granelli. Non solo per obbligo normativo, ma anche per rafforzare la continuità della didattica e della ricerca: «Al giorno d'oggi è importante stabilire un livello minimo dei requisiti di cybersecurity, in modo da poter fronteggiare questo tipo di minacce moderne e internazionali, migliorare la resilienza informatica e rafforzare la gestione dei rischi e degli incidenti di sicurezza».
Nel quadro Nis2, UniTrento è stata classificata come "soggetto importante", una categoria che riguarda gli enti che svolgono attività considerate rilevanti per il sistema Paese. Per le università italiane il perimetro Nis2 si applica in particolare alla ricerca, come spiega Zanella: «Da confronti con altri atenei emerge che pesano settori come biotecnologie, aerospazio e informatica, ambiti in cui l’Università di Trento è particolarmente attiva. Il fatto di essere stati selezionati significa che la nostra produzione scientifica, i dati e i sistemi che la sostengono sono considerati potenzialmente sensibili e strategici, e quindi meritevoli di un’attenzione specifica sul piano della sicurezza».
Granelli legge questa classificazione anche come un riconoscimento: «I servizi It dell'Ateneo possono avere impatti significativi, sia per l’operatività, sia per la continuità educativa e di ricerca». I rischi vanno dagli attacchi ransomware al furto di informazioni sensibili: «Può succedere che un attacco di cybersecurity vada a invalidare i servizi che offriamo o i registri degli esami, e questo è assolutamente critico sia dal lato privacy, sia dal lato del funzionamento».
Gli obblighi introdotti da Nis2 riguardano l'organizzazione interna, la responsabilità degli organi apicali, la formazione continua e le filiere di fornitura. In Italia, il primo adempimento già in vigore è l'obbligo di segnalare ad Acn, l’Agenzia per la Cybersicurezza nazionale, gli incidenti informatici in tempi molto stretti.
Per entrare nello spirito di Nis2 bisogna misurare e migliorare la "postura di sicurezza", che Granelli definisce come «l'insieme delle policy, delle tecnologie, delle procedure e dei comportamenti organizzativi adottati da un'organizzazione per proteggersi dalle minacce informatiche e rispondere efficacemente agli incidenti».
L'Ateneo ha avviato questo percorso adottando il Nist Cybersecurity Framework 2.0, un modello internazionale poi scelto come riferimento anche da Acn. «Abbiamo avuto l’intuizione di aver fatto una lettura della nostra postura prima che Acn adottasse lo stesso framework, quindi sappiamo esattamente su cosa dobbiamo intervenire per essere pienamente compliant», osserva Zanella.
Il lavoro è partito dalle direzioni centrali e da due strutture pilota, il Dipartimento di Lettere e Filosofia e il Dipartimento Cibio, ma si estenderà a tutti i dipartimenti. Come ricorda Zanella, «la misura della sicurezza dell’Ateneo si basa sulla misura della sicurezza dell'anello più debole. Se una parte dell'organizzazione non è sicura, è come avere una porticina sul retro che si può forzare agevolmente: è un punto di debolezza per tutta l'organizzazione».
Cuore operativo di questo nuovo assetto è lo Csirt di Ateneo, il Computer Security Incident Response Team, che avrà il compito di monitorare e gestire gli incidenti sui sistemi di UniTrento e coordinarsi con gli altri Csirt territoriali, di settore e nazionale alla Acn. Il team dovrà far rispettare le regole di sicurezza che sono in via di definizione, con l'autorità di arrivare fino allo spegnimento dei sistemi in caso di infezioni in corso. Già oggi opera monitorando gli accessi anomali, l’esistenza di vulnerabilità sul software in esercizio, o la presenza di credenziali dell'Ateneo nel dark web.
L'Ateneo ha tempo fino al prossimo ottobre per allinearsi al decreto che recepisce Nis2: «Dovremo costituire all’interno dei dipartimenti una serie di collegamenti tra Csirt, strutture accademiche, personale tecnico e servizio It, per riuscire rapidamente a individuare le minacce e a risolverle in tempi molto brevi», spiega Granelli. In parallelo, proseguirà il lavoro di miglioramento della postura di sicurezza, la definizione delle regole di governo e un piano di formazione che coinvolgerà tutta la comunità accademica.
Per Granelli, tutto questo non è solo un adempimento, ma anche «un'occasione per migliorare i servizi It che offriamo al personale docente e alla comunità studentesca». C’è anche un ritorno sul fronte della ricerca: UniTrento è già attiva su questi temi, con competenze in cybersecurity al Dipartimento di Ingegneria e Scienza dell’Informazione e al Dipartimento di Matematica, e la sfida Nis2 stimola lo sviluppo di soluzioni "security by design", capaci di anticipare nuove tipologie di attacchi e rendere più resiliente l'intero ecosistema digitale dell'Ateneo.