Cybersecurity: un approccio alla sicurezza informatica nella PA

La recente pandemia ha accelerato cambiamenti tecnologici ed economici dirompenti, con diverse conseguenze, dirette e indirette, di lunga durata sia sugli ecosistemi economici, sui mercati e sulle PA, sia sulle tattiche, tecnologie e procedure (TTP) della criminalità informatica. Il crescente stato di tensione internazionale attuale, inoltre, ha messo a dura prova la sicurezza informatica, a causa del moltiplicarsi degli obiettivi più vulnerabili, ovvero lavoratori operanti al di fuori delle aree protette dell’organizzazione, ad esempio da casa, che utilizzano e scambiano risorse digitali più frequentemente. Il cybercrime ha compiuto due grandi accelerazioni in termini di efficienza degli attacchi e aggressività: la prima a seguito del Covid-19 e della improvvisa accelerazione nell’agenda di trasformazione digitale delle aziende e delle PA, la seconda a causa della crisi Russo-Ucraina, che ha visto cambiare le logiche di attacco da economiche a politiche. In questo contesto, anche le PA devono considerare nuove strategie di difesa efficienti e sostenibili per i loro beni (come per esempio i dati), e le attività e i fornitori.

Quanto si spende in Cybersecurity nella PA italiana?

L’indagine AGID “La Spesa ICT 2021 nella PA italiana” che illustra le stime sull’andamento complessivo della spesa ICT della Pubblica amministrazione in Italia evidenzia che “La spesa totale in sistemi e servizi per la sicurezza e la continuità di funzionamento ha superato, all’interno del panel di riferimento (un insieme di Amministrazioni centrali, regionali e locali (tra le 70 e le 80, n.d.r.), 114 milioni di euro nel 2020, in crescita di oltre l’11% rispetto al 2019. Le risorse destinate a questo ambito sono previste in crescita anche nel biennio 2021-2022 sebbene a fronte di un lieve consolidamento, atteso nel 2022”.

A questo proposito, evidenzia ancora l’indagine: “Si tratta in generale di una spesa che presenta un’incidenza del 3%, ancora piuttosto contenuta rispetto alla spesa ICT complessiva, se si considera che nel settore privato la spesa destinata alla cybersecurity arriva ad essere pari a circa il 15-20% della spesa totale”. Questo a dimostrazione del fatto che il tema delle risorse economiche da destinare alla cybersecurity, unito a quello della carenza di competenza, è tuttavia solo un aspetto della complessa questione della cybersecurity nella PA, dovendo ormai fare i conti – causa Covid e situazione internazionale – con nuove e pressanti variabili: “tempo” e “novità”.

Quali le sfide “concrete” da vincere per le PA?

Anche le Pubbliche Amministrazioni, così come le aziende, sono chiamate ad affrontare nei fatti almeno tre sfide principali: la comprensione, continuativa, delle minacce alla sicurezza informatica; la promozione della cultura cyber; la gestione dei rischi per la sicurezza informatica in modo sostenibile, lavorando anche sul fattore umano.

Come strutturare il lavoro per affrontare i rischi cyber nella PA?

Svariati sono i temi rilevanti in una strategia di cybersecurity adeguata allo scenario di minacce in forte evoluzione che gli Enti sono chiamati a contrastare. Tra questi, “10” punti sono particolarmente importanti da evidenziare.

• Consapevolezza. La comprensione del rischio effettivo e potenziale è la leva che servirebbe anche alle Pubbliche Amministrazioni per definire priorità di investimento nella protezione del proprio patrimonio informativo aziendale.
• Pianificazione. Le PA dovrebbero agire con un approccio di lungo termine e, al contempo, eseguire interventi quick-win. Tutto questo è possibile soltanto quando si è definito un piano strategico, affrontando il problema non solo con la “tattica” giusta, ma con la giusta visione di insieme.
• Visione olistica. La continua evoluzione delle tecniche di attacco fa sì che la sicurezza informatica non debba essere vista come un prodotto, ma come un processo. Per questo occorre avere un approccio basato su una visione olistica, per definire i processi, agire in modo sostenibile, prioritizzare e decidere dove investire nel modo corretto le proprie risorse economiche.
• Security by design. L’adozione attuale e prevista di modelli di security by design è determinante per garantire che il software sviluppato sia sicuro, sin dalla progettazione e fino alla fase di testing.
• Interdisciplinarità. Tutte le figure professionali debbono essere coinvolte nei processi di sicurezza considerando che questa non è solo appannaggio delle figure tecniche. Alcune azioni da introdurre per aumentare la resilienza ai rischi cyber richiedono infatti interdisciplinarità, perché il cybercrime stesso agisce con attacchi che si basano sull’amalgama di molte discipline.
• Elemento umano. L’elemento umano è centrale nell’approccio alla cybersecurity, perché occorre agire su diversi soggetti: su chi può subire un attacco cyber (i dipendenti), chi deve difendere la PA da un attacco (gli addetti alla sicurezza aziendale) e chi deve decidere (direzione e governance) in merito a quali investimenti introdurre per ridurre il rischio cyber e come agire tempestivamente a fronte di attacchi subiti.
• Allenamento. L’obiettivo delle iniziative di sicurezza informatica non deve essere centrato solo sul testare la corretta configurazione tecnologica delle difese aziendali, ma nel comprendere la preparazione del team di addetti alla sicurezza informatica e, in generale, nello stimolare la sua “memoria muscolare” (o l’agilità cognitiva) in situazioni di stress, percepite come un vero e proprio attacco. In tal senso quando si parla di human element della sicurezza occorre considerare la sua importanza sia come elemento di attacco che team di difesa.
• Sostenibilità. Parlare di sostenibilità della cybersecurity significa non certo riferirsi agli aspetti “energivori”, ma approcciare la tematica in termini di sostenibilità di governance, tecnologica, economica, di processo, umana e di conoscenza necessaria.
• Comunicazione. Uno degli elementi critici nelle organizzazioni complesse è la comunicazione con gli stakeholder interni o esterni. È necessario ottimizzare la comunicazione tra i gruppi dirigenziali, i comitati consultivi, i team di leadership esecutiva e i CISO, le vittime, anche utilizzando la stampa ed i canali social. Un compito che spesso viene demandato ad altri, al DPO, o che affronta il CISO stesso, senza una specifica preparazione, o con interazioni non strutturate e non con cadenza regolare.
• Aggiornamento costante delle competenze. Non tutte le professioni evolvono così rapidamente come la sicurezza informatica. Nessuno può permettersi di rimanere indietro nella gestione della propria cybersecurity che passa, innanzitutto, dalle persone. In un’ottica di sostenibilità della cybersecurity occorre tenere allineate ed aggiornate le competenze di un gran numero di figure professionali, tutte coinvolte nella cybersecurity, proprio alla luce della interdisciplinarità citata poco prima. È un processo complesso che richiede tecniche di formazione ed apprendimento efficaci.