Cybersecurity PA, dobbiamo investire nella formazione universitaria

Per la cybersecurity del settore pubblico è necessario identificare le priorità su cui lavorare il prossimo anno, in vista dell’attuazione del PNRR e delle altre riforme in programma. Questo l’obiettivo su cui si è concentrata l’attenzione nel terzo e ultimo incontro nel 2021 della Community CISO&DPO di FPA. L’evento si è svolto nell’ambito del progetto Cantieri ed è stato organizzato da FPA in collaborazione con Akamai, Archer, DXC Technology, HCL Software e Samsung.

La cybersecurity del settore pubblico

A fronte di minacce crescenti e sempre più sofisticate il Paese si è dotato di una serie di strumenti che dovranno essere operativi entro il 2022. Fra questi, la creazione del Centro Nazionale di Condivisione e di Analisi di Informazioni (ISAC), l’attivazione del CERT/CSIRT territoriali, la creazione del HyperSOC nazionale basato su AI/ML per l’analisi di incidenti di cybersecurity nazionale, e garantire unità centrale di audit per quanto riguarda le misure di sicurezza PSNC e NIS.

Inoltre, entro il 2024 è previsto il “Dispiego integrale dei servizi nazionali di cybersicurezza, nonché dei centri di valutazione nazionale per le certificazioni di tecnologie”. Mentre entro l’anno in corso si prevede la completa attuazione del ricorso all’affidamento diretto degli appalti ICT, l’interoperabilità tra le diverse banche dati gestite dagli organismi di certificazione che intervengono nel processo di verifica dei requisiti, l’istituzione di un fascicolo virtuale dell’operatore economico, creando una sorta di white list dei fornitori affidabili.

Queste indicazioni nel campo della cybersecurity, con l’identificazione precisa di step e stanziamenti, emergono dal Dossier monitoraggio PNRR, realizzato dal Servizio Studi della Camera dei Deputati e sintetizzato da Samuele De Tomas Colatin, Research Fellow, NATO CCD COE nella sua presentazione introduttiva

Formazione universitaria specialistica

Per il raggiungimento degli obiettivi, è centrale il tema delle competenze e la consapevolezza del rischio cyber tra le persone dell’organizzazione. “La transizione non si può limitare all’infrastruttura, ma deve contare sulle persone presenti nella PA che, una volta formate, possono condividere conoscenze e cultura”, sottolinea De Tomas Colatin. La formazione e l’attività di sensibilizzazione sulla sicurezza ha raccolto grande attenzione da parte della community, con la sollecitazione a fare presto, perché proprio il fattore umano rappresenta il principale rischio.

Nel campo della formazione in ambito sicurezza, il Report Enisa su skill shortage – Addressing Skills Shortage and Gap Through Higher Education — ENISA (europa.eu) – evidenzia la buona performance dell’Italia, seconda dopo la Spagna in ambito UE, nell’attivare programmi universitari dedicati alla sicurezza. Sul totale dei corsi europei, ben 97 (ossia il 77%) sono Master, mentre Enisa raccomanda di attuare i programmi di awareness già durante la scuola secondaria.

Il rischio di corsi troppo teorici preoccupa la community di FPA, che suggerisce di costruire percorsi con aziende private, in house ed esperti affinché l’esperienza che si matura sul campo, possa essere sostenuta da una forte preparazione accademica. La community si trova concorde sulla necessità di aumentare l’offerta formativa universitaria in materie ICT soprattutto per le lauree triennali.

Il tipo di formazione deve in ogni caso guardare al ruolo che dovranno svolgere CISO e DPO, tipicamente figure multidisciplinari e non solo super tecnici, in un’ottica di approccio olistico alla sicurezza. Le competenze richieste al CISO e al DPO sono però a così ampio spettro che non è ragionevole pensare che possano essere ricondotte ad una sola persona nell’organizzazione, ma a un team di esperti che possa anche confrontarsi con i referenti di altre amministrazioni. Indispensabile anche la condivisione delle esperienze e la creazione di tavoli di confronto aperti e partecipativi.

Interoperabilità dei dati in sicurezza

Regole chiare e semplici da attuare semplificherebbero la vita a CISO e DPO. L’applicazione del GDPR (come stabilito dall’adeguamento nella legislazione italiana) renderebbe ad esempio di difficile applicazione l’interoperabilità fra amministrazioni, indispensabile per applicare il principio europeo del “once only” che prevede che il cittadino non debba fornire più volte gli stessi dati a diverse amministrazioni. La necessità di un esame preventivo da parte del garante, eliminato dal 139 e poi attenuato nel corso di conversione in legge, punta a risolvere questo problema nel caso di scambio fra amministrazioni. Il testo approvato al Senato e in esame alla Camera ne ha modificato e chiarito la portata. Ciò non significa che la PA faccia quel che vuole con i trattamenti dei dati personali dei cittadini, ma alle PA viene attribuita la responsabilità di definire i principi base prima di attivare i trattamenti.

In attesa del testo definitivo, che elimina/attenua il consenso preventivo del garante sui trattamenti della PA, va comunque affermato il principio che serve costruire fiducia, per evitare di dovere scegliere fra rischio e semplificazione. “L’obiettivo dell’amministrazione centrale non è il controllare il cittadino”, sottolinea De Tomas Colatin, portando ad esempio il caso dell’Estonia, dove ogni volta che l’amministrazione usa un dato indica quale dato, per cosa, da chi.

Priorità

In sintesi, alcune delle priorità individuate dalla community che potrebbero rappresentare il punto di partenza degli incontri del prossimo anno sono:

• formazione a tutti i livelli per favorire nuove competenze;
• maggiore consapevolezza del rischio e cultura trasversale della sicurezza a tutti i livelli dell’organizzazione;
• maggiore chiarezza nella normativa e semplificazione nell’applicazione;
• collaborazione fra più figure e creazione di team interdisciplinari.