Sommario
L’articolo presenta “The Big Game”, una iniziativa gratuita di formazione e gioco sui temi della cybersicurezza, della consapevolezza digitale e dell’uso sicuro della Rete e dei social network, rivolta ai giovani, realizzata dal Cybersecurity National Lab del CINI (Consorzio Interuniversitario Nazionale per l’Informatica), con il patrocinio dell’Agenzia per la Cybersicurezza Nazionale – ACN. Oltre 30mila i ragazzi e le ragazze coinvolti finora, grazie anche alla costituzione di una rete di scuole, che supportano queste attività accompagnando studenti e studentesse nei diversi programmi organizzati.
Abstract
The paper presents “The Big Game”, a free training and gaming initiative on cybersecurity, digital awareness, and safe use of the Net and social networks, aimed at young people, carried out by the Cybersecurity National Lab of CINI (National Interuniversity Consortium for Informatics), under the sponsorship of the National Cybersecurity Agency – ACN. More than 30 thousand students have been involved so far, thanks also to the development of a network of high schools, which support these activities by accompanying their students in the different organized programs.
Keywords
Cybersecurity; Training; Digital Awareness; Gamification; Gender gap; CTF competitions; Skill shortage; School
Introduzione
L’Italia si colloca al 25º posto su 27 paesi dell’UE per capitale umano secondo l’indice DESI 2022, ovvero l’indice che traccia i progressi compiuti negli Stati membri dell’UE nel digitale. Solo il 46% delle persone, infatti, possiede perlomeno competenze digitali di base, un dato al di sotto della media UE pari al 54%. Un problema molto sentito da anni nel nostro Paese e in Europa, tanto da portare la Commissione europea a fissare l’obiettivo dell’80% di adulti con competenze digitali di base entro il 2030 e a riaffermare che “tutti gli europei hanno bisogno di digital skill per studiare, lavorare, comunicare, accedere ai servizi pubblici online e trovare informazioni affidabili”.
Un percorso non banale quello che porta all’acquisizione da parte dei cittadini delle competenze e conoscenze necessarie a muoversi in modo consapevole e sicuro in un mondo ogni giorno più digitalizzato e connesso.
Se è vero che la sicurezza informatica assume un ruolo sempre più centrale e di primo piano per lo sviluppo dei Paesi, è vero che non c’è adeguata disponibilità della forza lavoro richiesta. Solo per citare qualche numero, secondo l’Unione Europea, nel 2022, “la carenza di professionisti della sicurezza informatica nell’UE variava tra 260.000 e 500.000, mentre il fabbisogno di forza lavoro della sicurezza informatica dell’UE era stimato a 883.000 professionisti. Inoltre, le donne rappresentano solo il 20% dei laureati in cybersicurezza e il 19% degli specialisti in tecnologie dell’informazione e della comunicazione”.
Quali le azioni a supporto dello sviluppo di competenze cyber in Europa e in Italia?
A livello europeo, la Strategia di sicurezza informatica dell’Unione europea1 fissa, tra gli altri, l’obiettivo di promuovere la consapevolezza, lo sviluppo delle competenze e le opportunità di carriera nella sicurezza informatica. Questi obiettivi sono stati ulteriormente sviluppati nell’ambito della Cybersecurity Skills Academy2, di recente costituzione. L’Accademia, che rientra nell’ambito delle iniziative organizzate dalla UE per l’anno europeo delle competenze 20233, è progettata per mettere insieme iniziative pubbliche e private, volte a promuovere le competenze in materia di sicurezza informatica a livello europeo e nazionale, con l’obiettivo di aumentare la forza lavoro europea in ambito cyber e migliorare le competenze dei professionisti della sicurezza informatica e renderli visibili su una piattaforma online.
Nel nostro Paese, a supporto della Strategia europea c’è la Strategia nazionale italiana per la sicurezza informatica 2022-264, che tra le sue 82 misure a rendere il Paese più sicuro e resiliente prevede anche azioni specifiche in termini di sensibilizzazione di tutti i cittadini e le cittadine.
Come il gioco supporta l’acquisizione di digital skill: l’esperienza di The Big Game
Il Cybersecurity National Lab5 del CINI (Consorzio Interuniversitario Nazionale per l’Informatica, composto da oltre 50 Università italiane)6, con il patrocinio dell’Agenzia per la Cybersicurezza Nazionale ACN, ha dato vita a una iniziativa gratuita di formazione e gioco sui temi della consapevolezza digitale e dell’uso sicuro della Rete e dei social network, rivolta ai giovani, chiamata “The Big Game”.
Oltre 30mila sono stati i ragazzi e le ragazze coinvolti finora, grazie anche alla costituzione di una rete di scuole, CyberHighSchools, che supportano queste attività accompagnando studenti e studentesse nei diversi percorsi organizzati. The Big Game si inserisce all’interno della misura 65 del Piano di Implementazione della Strategia Nazionale di Cybersicurezza 2022-2026: “Favorire l’organizzazione di iniziative e competizioni nazionali in materia di cybersicurezza e innovazione tecnologica, che tengano in debita considerazione principi di bilanciamento di genere, mirate all’individuazione di giovani talenti anche al fine di propiziarne l’ulteriore formazione e l’inserimento nel mondo del lavoro. Ciò, anche al fine di promuovere iniziative volte a colmare il “confidence gap” delle studentesse nei confronti di carriere in ambiti scientifici e tecnologici.”
Il grande gioco della sicurezza informatica rientra tra le azioni che il Cybersecurity National Lab – organizzato come una rete di 65 nodi interconnessi, dislocati nelle principali Università italiane, Enti di ricerca e Accademie militari – introduce per favorire la costituzione di un ecosistema nazionale italiano di cybersicurezza.
Le anime di The Big Game: CyberChallenge.IT, OliCyber.IT e CyberTrials
Il gioco, partendo da una prima esperienza con CyberChallenge.IT, si è arricchito negli anni di altre iniziative rivolte a target differenti, come OliCyber.IT e CyberTrials, che andiamo a vedere più nel dettaglio.
CyberChallenge.IT
CyberChallenge.IT7 è il primo programma italiano di formazione e training in cybersicurezza per studenti delle scuole superiori, laureandi e laureati (16-24 anni) che mira a ridurre l’odierna carenza di forza lavoro informatica in Italia, identificando, attraendo, reclutando e collocando la prossima generazione di professionisti della cybersicurezza, mettendo così a disposizione del Paese le loro competenze.
In particolare, il programma mira a creare e far crescere la comunità dei cyberdefender stimolando l’interesse per le aree STEM e principalmente per l’informatica e l’ingegneria informatica; individuando i giovani talenti informatici, contribuendo così alla loro crescita professionale; affrontando le sfide multidisciplinari del mondo reale in diversi settori della sicurezza informatica, compresi gli aspetti etici e legali; condividendo opportunità di occupazione professionale offerte dagli sponsor e dalle parti interessate pubbliche e private del programma.
Ogni edizione si svolge ogni anno da gennaio a luglio in oltre 40 sedi, tra università, centri regionali e accademie militari, sparse in tutto il territorio italiano. Le 7 edizioni del programma hanno registrato finora 25.170 studenti iscritti e 3.474 partecipanti al percorso di formazione. Una panoramica delle varie edizioni è nella Tabella 1, mentre le statistiche dettagliate per le varie edizioni sono disponibili tramite il sito web del programma8. Vale la pena sottolineare che l’attuazione del programma è stata resa possibile grazie alla peculiarità nazionale del Cybersecurity National Lab: nessuna università italiana, anche tra le più grandi, avrebbe avuto la capacità di realizzarlo in proprio raggiungendone gli attuali livelli di coinvolgimento.
Dal 2021 CyberChallenge.IT è riconosciuto dal MIUR come “Progetto per la Valorizzazione delle Eccellenze”9; di conseguenza, il Ministero assegna annualmente agli studenti delle scuole superiori primi classificati numerosi premi e riconoscimenti. Inoltre, molte università italiane riconoscono crediti secondo il Sistema Europeo di Accumulo e Trasferimento dei Crediti (ECTS)10 ai partecipanti al programma CyberChallenge.IT.
Lo stesso Ministero ha contribuito alla realizzazione delle ultime due edizioni nell’ambito di un Accordo quadro tra il MIUR e il CINI.
Come si svolge CyberChallenge.IT?
Ogni edizione del programma prevede 4 fasi principali: test di ammissione e formazione delle squadre locali, percorso di addestramento, gara locale e gara nazionale. I partecipanti vengono selezionati attraverso una sequenza di test on-line, finalizzati rispettivamente a una selezione iniziale e alla composizione delle squadre locali. Una volta ammessi, i partecipanti vengono raggruppati in gruppi di formazione di 20 persone ciascuno (più 5 riserve) e ogni gruppo viene formato in uno dei Nodi di formazione del programma.
In particolare, il processo di selezione si articola in due fasi, tra cui un pre-test e una prova di programmazione.
Gli studenti iscritti possono formarsi in preparazione alla prova di ammissione sfruttando una piattaforma software personalizzata sviluppata internamente. Su questa piattaforma gli studenti possono affrontare i quiz proposti e sottoporre le proprie soluzioni ai problemi di programmazione per ottenere una valutazione automatica. Il punteggio acquisito tiene conto sia della correttezza delle soluzioni sia dei tempi di risoluzione.
Il percorso formativo mira a fornire le basi metodologiche e pratiche necessarie per analizzare debolezze, vulnerabilità e possibili attacchi, individuando le soluzioni più idonee a prevenirli, nei diversi ambiti della cybersicurezza. Nello specifico, gli argomenti trattati sono raggruppati in otto aree tematiche (Introduzione alla Cybersicurezza, Crittografia, Sicurezza Hardware, Sicurezza Software, Sicurezza delle Reti, Sicurezza Web, Attacco-Difesa, Etica & Soft Skill), a loro volta composte da un totale di 24 moduli. In genere, ogni modulo viene svolto nell’arco temporale di una settimana e comprende 6 ore di attività sorvegliate (2 di lezioni e 4 di attività pratiche). Queste sono organizzate per guidare gli studenti, passo dopo passo, nella risoluzione di sfide di tipo Capture the Flag (CTF) di crescente complessità. Non si presume alcuna conoscenza precedente in materia di sicurezza informatica. Le attività didattiche e formative sono programmate localmente in fasce orarie compatibili con le attività scolastiche e universitarie dei partecipanti, includendo, in alcuni casi, il venerdì pomeriggio o il sabato mattina. Il programma di formazione completo dura 12 settimane e l’insieme dei moduli da coprire in ciascun Nodo di formazione è liberamente selezionato a livello locale.
Il percorso formativo si conclude con due gare, organizzate rispettivamente a livello di Nodo formativo locale e a livello nazionale. La prima è una competizione CTF in stile Jeopardy gestita centralmente e giocata contemporaneamente da tutti i partecipanti di tutti i Nodi. La seconda, ovvero il campionato nazionale in Cybersicurezza, è una competizione CTF in stile Attacco-Difesa, alla quale partecipano squadre composte da 6 membri ciascuna, uno per Nodo, e organizzata ogni anno in una sede specifica.
OliCyber.IT, le olimpiadi italiane di cybersicurezza
Nel 2020 ci siamo resi conto che su 2.035 studenti delle scuole superiori inizialmente iscritti al programma CyberChallenge.IT, solo 156 erano stati ammessi al programma di formazione, avendo superato tutta la fase di ammissione. L’alto tasso di fallimento era dovuto in primis al fatto di dover competere con studenti universitari, laureandi e laureati, che ovviamente avevano background e competenze differenti. Così, si è deciso di dare vita a un nuovo programma di formazione e gioco rivolto solo agli studenti delle scuole superiori: OliCyber.IT11, le Olimpiadi italiane di cybersicurezza.
Il gioco è aperto a tutti gli studenti degli Istituti superiori di secondo grado, con l’obiettivo di favorirne e incentivarne l’avvicinamento alle sfide della sicurezza informatica. In particolare, OliCyber.IT mira a creare e a far crescere la comunità dei cyberdefender investendo sui giovani e puntando a stimolarne l’interesse verso le materie tecnico scientifiche e, in particolare, verso l’informatica e la sicurezza informatica. Il programma mira, inoltre, a identificare i giovani talenti, contribuendo al loro orientamento e alla loro formazione professionale, anche condividendo le opportunità offerte dai vari percorsi formativi su tematiche di cybersicurezza.
Il programma Olicyber.IT si avvale dell’esperienza e degli strumenti messi a punto nell’ambito del programma CyberChallenge.IT, al quale, come abbiamo visto, è possibile accedere al compimento del sedicesimo anno di età. Da questo punto di vista, le Olimpiadi Italiane di Cybersicurezza si pongono come programma “propedeutico” a CyberChallenge.IT, che ne è visto come il naturale complemento a valle.
OliCyber.IT è riconosciuto dal Ministero dell’Istruzione come Percorso per le Competenze Trasversali e per l’Orientamento (PCTO)12 e, dal 2021, in modo dal tutto analogo a quanto avviene per CyberChallenge.IT, lo stesso Ministero lo ha riconosciuto come “Progetto per la valorizzazione delle eccellenze”.
Come si svolge OliCyber.IT?
Le varie fasi di ciascuna edizione del programma possono essere così riassunte:
1. L’adesione (gratuita) al programma CyberHighSchools da parte degli istituti superiori di secondo grado;
2. L’iscrizione (gratuita) al programma da parte degli studenti interessati;
3. Una fase di selezione scolastica per tutti gli iscritti, svolta contemporaneamente online, e finalizzata a selezionare i migliori studenti di ogni istituto federato;
4. Una seconda fase di selezione territoriale, a cui prendono parte gli ammessi dalla prima selezione, finalizzata a selezionare i migliori 100 partecipanti alla competizione finale nazionale;
5. La competizione finale nazionale in presenza: l’Olimpiade Italiana di Cybersicurezza, seguita, il giorno successivo, da una cerimonia di premiazione nazionale, cui partecipano personaggi di rilevo del mondo cyber e rappresentanti delle istituzioni italiane.
Uno dei problemi principali riscontrati nelle prime edizioni delle Olimpiadi Italiane di Cybersicurezza è stato quello del “gap” di conoscenze teoriche richieste tra le diverse fasi del programma. Se, infatti, superare la selezione scolastica richiede solo una buona capacità logica e qualche conoscenza scolastica di base, la fase territoriale, in formato CTF, richiede conoscenze tecniche e pratica in cybersicurezza che possono essere acquisite solo attraverso formazione e addestramento specifico per questa tipologia di eventi.
Questo fenomeno, se in alcuni casi è stato affrontato dai ragazzi più competitivi come una sfida da superare e una nuova opportunità per mettersi alla prova, ha purtroppo rappresentato un motivo di “abbandono” per la maggior parte dei ragazzi che, superata la fase precedente, riscontravano grandi difficoltà nella risoluzione degli esercizi proposti in questa fase.
Per questa ragione, a partire dalla edizione 2023, il problema è stato affrontato e risolto creando un numero maggiore di attività e di possibilità di crescita per i partecipanti nelle fasi iniziali del progetto. Un primo significativo passo in questa direzione è stato rappresentato dalla creazione del portale training.olicyber.it13 che, tramite videolezioni ed esercitazioni, rende disponibili ai ragazzi gli strumenti per proseguire nelle fasi successive. Un ulteriore passo è stata la creazione di una serie di eventi, denominati “Training camp”, per permettere ai ragazzi di conoscere questo mondo grazie al tutoraggio da parte di partecipanti più esperti che hanno vissuto un’analoga esperienza in passato. L’obiettivo principale è portare i ragazzi, al termine del camp, ad avere gli strumenti e le conoscenze necessarie per affrontare la fase di selezione territoriale.
Queste attività hanno preso forte ispirazione dagli stage locali e nazionali delle Olimpiadi della Matematica e di Informatica, che, negli anni, hanno dimostrato come le attività di training intensivo da parte di ex-partecipanti e organizzatori, svolte in presenza anche a livello locale o regionale, siano essenziali per far crescere il progetto.
Quanti hanno superato con successo la selezione scolastica vengono informati della possibilità di partecipare ai camp sulla base di un criterio “first-come first-served” e del consenso da parte dal docente di riferimento della scuola, che ne giustificherà anche, di conseguenza, l’assenza dalle lezioni scolastiche.
Ciascuna edizione del camp ha previsto 40 ore di formazione riconoscibili come PCTO e suddivise tra: strumenti di lavoro e metodologia, giornate di allenamento dedicate a scripting in python, network security, web security, software security e crittografia, alternati tra incontri teorici e di laboratorio e simulazioni di una competizione.
Tutti i materiali didattici utilizzati nei camp sono resi fruibili a tutti i tramite i canali ufficiali del progetto.
CyberTrials
CyberTrials nasce dall’esigenza di abbattere il divario di genere che era evidente sia in CyberChallenge.IT che in OliCyber.IT dove, nonostante gli sforzi e nonostante un trend che mostrava un numero crescente di ragazze partecipanti, erano però ancora troppo poche le ragazze che riuscivano a superare la selezione e arrivare alla fase finale o accedere a CyberChallenge.IT. Il problema del divario di genere, peraltro, è particolarmente sentito anche a livello europeo in ambito ICT, visto che soltanto una persona su 6 professionisti IT è di genere femminile. Per affrontare il problema nel modo più efficace, il Laboratorio ha deciso di organizzare CyberTrials14, un programma di formazione e gioco aperto alle sole ragazze degli istituti superiori di secondo grado che non richiedesse competenze in ingresso.
Il programma copre diverse aree della sicurezza informatica, consentendo alle partecipanti di acquisire una comprensione generale di alcuni aspetti tecnici della disciplina. La particolarità di CyberTrials è che alle lezioni frontali si associa un gioco di ruolo in cui le ragazze, a piccole squadre, sono chiamate a risolvere delle sfide basate su quanto ascoltato a lezione. Ancora una volta, si ricorre alla gamification, ovvero all’uso di elementi di gioco, come punti, badge e classifiche, in contesti non di gioco per coinvolgere e motivare le partecipanti.
CyberTrials è un programma riconosciuto nell’ambito dell’iniziativa Repubblica Digitale, iniziativa strategica nazionale coordinata dal Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri, che ha l’obiettivo di ridurre il divario digitale e promuovere l’educazione sulle tecnologie del futuro, supportando il processo di sviluppo del Paese.
L’iniziativa è inoltre inserita come buona pratica nella pubblicazione “Superamento del divario digitale di genere nell’ambito delle competenze digitali”, curata dal gruppo di lavoro costituito da rappresentanti della società civile (tra i quali il Cybersecurity National Lab), dal Dipartimento per la Trasformazione Digitale e dal Dipartimento per le Pari Opportunità della Presidenza del Consiglio dei Ministri.
Come si svolge CyberTrials?
Così come per OliCyber.IT, al programma possono accedere gratuitamente tutte le ragazze delle scuole superiori che hanno aderito alla rete CyberHighSchools. Il programma consente di acquisire competenze tecniche di base e una comprensione generale di alcuni aspetti della sicurezza informatica, tra cui reti, Web, Open Source Intelligence (OSINT), modellazione delle minacce, ingegneria sociale, informatica forense, crittografia e steganografia. Queste competenze sono integrate da competenze trasversali, tra cui capacità di autogestione, aspetti legali ed etici, capacità di team building e comunicazione digitale.
Tutti questi argomenti sono presentati settimanalmente, in moduli di 2 ore. Gli argomenti teorici sono integrati con una formazione teorica e pratica, basata su una competizione CTF continua svolta durante l’intero processo di formazione. In particolare, ogni settimana vengono rilasciate 3 nuove sfide proprio al termine del modulo presentato. Una particolarità di CyberTrials è quella di basarsi su uno storytelling continuo, dove tutte le sfide presentate sono integrate con la storia principale attraverso riferimenti, descrizioni, suggerimenti e materiali aggiuntivi.
Le ragazze giocano a squadre composte da un massimo di cinque persone scelte in modo casuale, al fine di favorire la relazione tra studentesse che non si conoscono e per evitare la composizione di squadre sbilanciate in termini di competenze. L’esperienza di questi primi due anni ha dimostrato che la scelta casuale delle componenti delle squadre si rivela vincente perché a ragazze tecnicamente più esperte si affiancano spesso ragazze con scarse conoscenze e competenze in ingresso, che possono così trovare un aiuto nelle compagne di gioco.
La prima edizione di CyberTrials ha fatto registrare un numero molto elevato di partecipanti (quasi 400) che è più che raddoppiato nella seconda edizione del 2023 con quasi 1.000 partecipanti.
Fuori gara, dentro The Big Game: gli HighSchools CTF Workshops
A partire dal 2023, per diffondere in modo sempre più capillare le varie attività del programma The Big Game, il Cybersecurity National Lab ha dato vita a una serie di workshop organizzati in varie regioni d’Italia, denominati HighSchools CTF Workshop. Organizzati nell’ambito del programma CyberHighSchools, sono eventi pratici di introduzione alla cybersicurezza, rivolti a studenti e professori delle scuole superiori di secondo grado di ogni indirizzo e interessati ad approfondire i concetti basilari della cybersicurezza.
Durante ciascuna edizione vengono affrontati, con un approccio pratico, i concetti fondamentali introduttivi relativi alla OSINT, alla web security, alla network security, alla computer forensics e alla crittografia, tramite la presentazione di strumenti e numerosi esercizi su casi pratici.
Ciascuna edizione del workshop prevede tre diversi momenti:
• Durante la sessione della mattina, alcuni seminari pratici introducono le tematiche base della sicurezza informatica, con la presentazione sia dei concetti base sia dei principali strumenti da utilizzare;
• Al fine di comprendere meglio le tematiche affrontante, la sessione del pomeriggio prevede una competizione informatica al computer, nello stile delle competizioni Capture The Flag (CTF): i partecipanti, suddivisi in squadre da 4-6 persone (composte da studenti e dai loro professori), gareggiano in una competizione con sfide pratiche inerenti agli argomenti della mattinata;
• Al termine della competizione, le migliori squadre sono premiate nella cerimonia finale di chiusura.
Quasi mille studentesse e studenti delle superiori sono stati coinvolti con i workshop del 2023 che si sono svolti in diversi momenti dell’anno nelle città di Bari, Pisa, Verona, Perugia e Udine, grazie al coinvolgimento e alla collaborazione delle Università locali già partecipanti ai programmi di formazione del Cybersecurity National Lab, come CyberChallenge.IT, le Olimpiadi Italiane di Cybersicurezza, CyberTrials e con i membri del TeamItaly, la Nazionale Italiana di Cyberdefender. Preziosa la collaborazione, rispettivamente a Pisa, Verona, Perugia e Udine, dell’Università di Pisa, della Fondazione Edulife, dell’ITTS A. Volta di Perugia e dell’Università di Udine.
Il grande gioco delle scuole: CyberHighSchools
Il programma CyberHighSchools15 nasce con l’intento di attivare una rete tra le Istituti superiori di secondo grado, con l’obiettivo di creare un livello intermedio di formazione e interazione con gli studenti, favorendo, contestualmente, la crescita di una comunità di professori sempre più consapevoli delle tematiche relative alla cybersicurezza e interessati ai programmi del Cybersecurity National Lab.
Aderendo gratuitamente al programma, l’Istituto entra a far parte di una rete di scuole “federate” con il Laboratorio ed è automaticamente considerato come partecipante a tutte le attività del programma The Big Game. A oggi le scuole superiori italiane federate sono oltre 500.
Tra gli aspetti più rilevanti per le insegnanti e gli insegnanti di una scuola federata, ci sono:
• la possibilità di accedere gratuitamente a un ampio e approfondito materiale didattico, predisposto e sistematicamente rivisto da esperti del Cybersecurity National Lab;
• la partecipazione gratuita a corsi mirati di introduzione e/o approfondimento su tematiche di cybersicurezza;
• la possibilità di ricevere, al termine dei percorsi di formazione, sia attestati di partecipazione rilasciati dal Cybersecurity National Lab, sia degli Open Badge16, fruibili tramite la piattaforma Bestr17 di CINECA;
• l’accesso a una community di insegnanti, cui sarà offerta l’opportunità di condividere esperienze e proporre iniziative sia tramite forum dedicati, sia attraverso incontri periodici;
• la possibilità di monitorare l’andamento dei propri studenti all’interno dei programmi CyberChallenge.IT, OliCyber.IT e CyberTrials.
Le scuole che aderiscono alla rete CyberHighSchools hanno la possibilità di formare i propri docenti in modo gratuito attraverso 2 corsi di formazione disponibili sulla piattaforma S.O.F.I.A.18 del Ministero dell’Istruzione: introduzione alla Cybersicurezza – Corso di formazione base per docenti delle scuole secondarie di II grado (iniziativa formativa ID. 80532) e introduzione alla Cybersicurezza – Corso di formazione avanzato per docenti delle scuole secondarie di II grado (Iniziativa formativa ID. 80176).
Il Corso Base mira a far crescere la sensibilizzazione verso le problematiche di cybersicurezza nei vari aspetti della vita quotidiana, attraverso un opportuno mix di lezioni e di tutoraggi, fruibili in modalità remota. Il corso è tenuto da docenti universitari e specialisti del settore, afferenti al Cybersecurity National Lab, e prevede 28 ore complessive di impegno, di cui 20 di lezione (4 erogate on-line, tramite la piattaforma Zoom e 16 fruibili da remoto in modalità e-learning asincrono, tramite lezioni videoregistrate) e 8 ore di tutoraggio on-line da parte dei docenti che hanno registrato le lezioni.
Il Corso Avanzato mira ad approfondire tematiche avanzate di sicurezza informatica legate a Crittografia, Web security, Network security, Software security, Hardware security, attraverso un opportuno mix di lezioni e di esercitazioni pratiche, tutte fruibili in remoto e su piattaforme ufficiali del Laboratorio. Il corso, gratuito, è tenuto da collaboratori esperti del Laboratorio e ha una durata complessiva di 32 ore, di cui 16 di lezione, in modalità e-learning, tramite lezioni video-registrate e 16 di tutoraggio on-line.
Sono stati sinora oltre 1.500 i professori che hanno partecipato alle 19 edizioni dei corsi (8 di quello base e 11 di quello avanzato).
The Big Game come vivaio della nazionale degli hacker etici
TeamItaly – la Nazionale Italiana di CyberDefender – è la squadra nazionale che ha il compito e la responsabilità di rappresentare il Paese nelle più importanti competizioni internazionali relative a vari settori della cybersicurezza, tra cui l’annuale European Cyber Security Challenge (ECSC) organizzata dalla European Union Agency for Cybersecurity (ENISA).
A partire dal 2018, il Nucleo di Sicurezza Cibernetica (NSC) della Repubblica Italiana ha affidato al Cybersecurity National Lab il compito di organizzare e gestire le attività di TeamItaly e di curarne, tra l’altro, la partecipazione alle competizioni internazionali del settore.
A livello pratico, il Lab provvede alla selezione del gruppo di “preparatori”, composto dall’allenatore (coach) Mario Polino (PoliMi), dal Team Manager (referente tecnico organizzativo) Gaspare Ferraro (Cybersecurity National Lab) e da uno staff di esperti. Questi hanno il compito e la responsabilità di selezionare annualmente (“convocare”) 20 tra i migliori partecipanti di tutte le edizioni dei programmi di addestramento organizzati dal Cybersecurity National Lab. I partecipanti vengono selezionati, al termine delle edizioni annuali dei programmi CyberChallenge.IT e OliCyber.IT, in base ai risultati ottenuti sia durante i percorsi di training sia nelle varie competizioni, con l’obiettivo di ricercare i migliori talenti delle diverse branche della cybersicurezza. In particolare, seguendo i criteri di ECSC, la Nazionale è formata da 10 membri della categoria Junior, tra i 14 e i 19 anni, e da 10 membri della categoria Senior, dai 21 ai 25 anni.
Per potersi preparare e misurare al meglio con le varie tipologia di sfide proposte nelle varie competizioni internazionali cui partecipa, il team viene coinvolto in un percorso di addestramento intensivo (“ritiro”) che si svolge annualmente in presenza, per un’intera settimana.
Il ritiro si allinea alle strategie nazionali di cybersicurezza, promuovendo le competenze cibernetiche come patrimonio per il sistema Paese e sottoponendo i convocati a un percorso formativo d’eccellenza, unico in Europa, con la prospettiva di incrementarne ulteriormente le già elevate capacità difensive e offensive a livello sia individuale sia, soprattutto, come squadra. Proprio con questo fine, i membri della Nazionale vengono formati sull’acquisizione di competenze specifiche in numerosi ambiti, tra i quali crittografia, sicurezza web, analisi forense di computer e dispositivi mobili e sicurezza dell’hardware. Inoltre, durante il ritiro, ciascuno dei componenti della squadra sviluppa la capacità di esporre temi complessi in modo comprensibile a un pubblico di non specialisti. È parte integrante dell’addestramento anche un percorso di Team Building, specificamente progettato per l’iniziativa.
A livello europeo ENISA, la European Union Agency for Cybersecurity fa da volano e, facendo tesoro delle esperienze delle singole nazioni, organizza ogni anno la European Cyber Security Challenge (ECSC) con lo scopo di favorire lo scambio di conoscenza e talenti su tutta Europa. La competizione è aperta a tutti i paesi europei. Ogni nazione che si iscrive all’evento partecipa con una squadra composta da 10 giocatori di un’età compresa tra i 14 e i 25 anni.
Tra gli obiettivi dell’ECSC vi è quello di porre la cybersicurezza a servizio dell’umanità, per promuovere la pace, preservare la democrazia, la dignità e la libertà di pensiero, stimolando la collaborazione tra i giocatori dei paesi partecipanti alla gara e l’importanza della trasparenza e dell’osservanza delle regole per tutte le fasi della competizione.
L’Italia ha partecipato, con TeamItaly, per la prima volta a ECSC nel 2017 conquistando il terzo posto. Nel 2018 ha ottenuto la sesta posizione, mentre nell’edizione del 2019 ha conquistato il secondo posto. L’edizione 2020 non si è svolta a causa del Covid19. L’edizione 2021 della competizione si è svolta a Praga dal 28 settembre al 1° ottobre 2021 e il TeamItaly ha conquistato il terzo posto. L’edizione 2023 si è svolta a Hamar in Norvegia dal 24 al 27 ottobre e la prossima sarà in Italia, a Torino, dal 7 all’11 ottobre del 2024.
Oltre a organizzare l’ECSC, ENISA gestisce anche il Team Europe19, un gruppo di giovani talenti appassionati di sicurezza informatica e che rappresentano l’Europa nell’International Cybersecurity Challenge. Composto da persone con background e competenze diverse, Team Europe si impegna a far progredire le conoscenze e le competenze in materia di sicurezza informatica, nonché a promuovere la collaborazione internazionale per affrontare le minacce informatiche emergenti. Attraverso la loro partecipazione a questa competizione globale, Team Europe mette in mostra il meglio dei talenti europei della sicurezza informatica e contribuisce a plasmare il futuro della sicurezza informatica.
Gli ultimi 2 anni di attività di Team Europe hanno visto il coinvolgimento di 2 giocatori italiani provenienti da TeamItaly in entrambe le edizioni, mentre, dalla sua costituzione, il coach di TeamItaly è Mario Polino, uno dei 5 allenatori della squadra europea.
Persone e infrastrutture a supporto di The Big Game
Il programma – completamente gratuito per tutti i partecipanti e realizzato anche grazie alle sponsorizzazioni sia delle università partecipanti sia di importanti realtà industriali – si avvale della collaborazione non solo di professori e ricercatori esperti nei vari ambiti della cybersicurezza provenienti dalle università coinvolte, ma anche membri dei migliori team italiani Capture-the-Flag, partecipanti alle vecchie edizioni di CyberChallenge.IT, e dei componenti della Nazionale Italiana Cyberdefender TeamItaly.
Per le diverse attività organizzate nell’ambito di The Big Game si usano infrastrutture informatiche avanzate, interamente sviluppate, gestite e costantemente aggiornate internamente dal Cybersecurity National Lab. Il livello di qualità delle infrastrutture è elevato in termini di sicurezza, affidabilità, scalabilità e soluzioni di implementazione, come dimostrato anche dal fatto che queste sono state scelte, a livello internazionale, per le gare di attacco-difesa tra le squadre rappresentanti i vari continenti che si sono svolte nel 2022 ad Atene e nel 2023 a San Diego in California.
Anche i materiali didattici e le sfide utilizzate nelle diverse competizioni sono elaborati internamente al Laboratorio, aggiornati e inseriti nei percorsi formativi rivolti a studenti, studentesse e docenti. Inoltre, per supportare adeguatamente la formazione sulla sicurezza di rete e hardware, è stato implementato un CyberRange ibrido, denominato PAIDEUSIS, fisicamente situato a Lucca, presso la sede di IMT, attraverso il quale i partecipanti possono utilizzare, da remoto, infrastrutture fisiche condivise per il training su tematiche specifiche, quali la sicurezza dell’Hardware e delle Reti.
The Big Game: i prossimi passi
Tra le “promesse” del Cybersecurity National Lab per i prossimi mesi, vi è senza dubbio quella di voler coinvolgere un numero crescente di giovani, con particolare riferimento alle ragazze che dovranno sempre più essere presenti alle competizioni di CyberChallenge.IT e OliCyber.IT.
Oltre a questo, tra i sogni nel cassetto c’è quello di rendere “The Big Game” un modello di riferimento per la sensibilizzazione, la formazione e l’addestramento sui temi della cybersicurezza. Un modello che possa diventare scalabile, da proporre ad altri target di popolazione come, per esempio, le persone con diversa abilità o a rischio di emarginazione sociale (carcerati, NEET, disoccupati per esempio).
Il gioco ha dimostrato negli anni e continua a dimostrare come sia tangibile l’impatto in termini di acquisizione di competenze e capacità di “difesa” delle persone, utili a rafforzare la sicurezza informatica di imprese, Pubblica Amministrazione e istituzioni, ovvero dell’intero sistema Paese che potrebbe così contare sulle persone oltre che su tecnologie e processi utili a difendere il proprio perimetro.
- https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy ↩︎
- https://digital-skills-jobs.europa.eu/en/cybersecurity-skills-academy ↩︎
- https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-year-skills-2023_en ↩︎
- https://www.acn.gov.it/strategia-nazionale-cybersicurezza ↩︎
- https://cybersecnatlab.it ↩︎
- https://www.consorzio-cini.it ↩︎
- https://cyberchallenge.it ↩︎
- https://cyberchallenge.it/stats ↩︎
- Ex Art. 4 del DL No. 262 del 29 dic 2007 ↩︎
- https://education.ec.europa.eu/education-levels/higher-education/inclusive-and-connected-higher-education/european-credit-transfer-and-accumulation-system ↩︎
- https://olicyber.it/ ↩︎
- https://www.miur.gov.it/-/linee-guida-dei-percorsi-per-le-competenze-trasversali-e-per-l-orientamento ↩︎
- https://training.olicyber.it ↩︎
- https://www.CyberTrials.it/ ↩︎
- https://cyberhighschools.it ↩︎
- https://openbadges.org ↩︎
- https://bestr.it ↩︎
- https://sofia.istruzione.it ↩︎
- https://teameurope.site ↩︎