Priorità cybersecurity per la PA italiana. Un confronto a FORUMPA17
L’attenzione dell’opinione pubblica verso l’attacco di WannaCry, il ransomware responsabile di uno dei maggiori contagi informatici mai avvenuti a livello globale, ha sicuramente contribuito a rimettere al centro del dibattito (anche non specialistico) la necessità di fornire risposte adeguate alla rapida evoluzione della minaccia cyber, in particolare quella incombente sulla PA, divenuta ormai un bersaglio specifico (e per alcuni versi privilegiato) per alcune tipologie di attaccanti
24 Maggio 2017
Andrea Baldassarre
È stato questo il tema al centro degli importanti appuntamenti dedicati al tema della cybersecurity che hanno caratterizzato l’intera mattinata della seconda giornata di FORUM PA 2017.
Inizio dei lavori alle ore 9.30, con il tavolo di lavoro a porte chiuse riservato ai responsabili della sicurezza ICT della PA e di alcune delle principali aziende del settore. Tra i partecipanti, molti i membri della community del Cantiere Sicurezza digitale, ma anche rappresentanti di tante altre amministrazioni e imprese che hanno portato il loro prezioso contributo alla discussione. Quattro i focus approfonditi nel corso del dibattito:- Lo sviluppo e il potenziamento dei servizi di information sharing, ancora oggi fortemente limitati dalla scarsa collaborazione tra pubblico e privato e dalla mancanza di regole e piattaforme comuni per abilitare lo scambio di informazioni sulla sicurezza informatica tra gli enti. Attività di condivisione delle informazioni che dovrà assumere sempre più una dimensione europea e internazionale, per assicurare la prevenzione e la risposta alle minacce ormai operanti a livello globale.
- L’adozione da parte delle amministrazioni italiane di standard e pratiche di sicurezza già ampiamente utilizzati a livello internazionali o in specifici settori industriali, anche in assenza di apposite disposizione normative che ne impongano l’adozione: alcune organizzazioni presenti al tavolo si sono già mosse in questo senso, configurandosi come vere e proprie best practice nel panorama nazionale, da estendere ora ad altre amministrazioni.
- La diffusione dell’approccio del “security by design”, secondo cui la sicurezza è un aspetto che viene considerato fin dal momento in cui non soltanto un’infrastruttura, ma anche un processo e un servizio vengono ideati. Adottato da decenni in alcuni settori (aeronautico, spaziale, trasporti, ecc.), questo approccio non viene ancora sufficientemente adottato nell’ambito dei sistemi ICT, dei servizi e delle applicazioni digitali della PA, anche a causa dell’inadeguatezza dei meccanismi di procurement.
- L’accrescimento della consapevolezza del rischio cyber riguardo a strumenti, policy e pratiche interne alle amministrazioni, attraverso azioni di formazione e sensibilizzazione rivolte non soltanto ai dipendenti, ma anche e soprattutto ai vertici apicali dell’amministrazione o dell’azienda.
Gli spunti emersi nel corso del workshop sono stati presentati nella seconda parte della mattina, nel corso del tradizionale convegno tematico di FORUM PA dedicato alla sicurezza informatica, quest’anno intitolato “Priorità cybersecurity: Competenze, standard e modelli organizzativi per una cybersecurity nazionale”.
I temi sviluppati nel corso delle due ore di lavoro a porte chiuse, e presentati in apertura da Lorenzo Russo (Deloitte), hanno animato la tavola rotonda dedicata al ruolo che il mercato può svolgere nell’accompagnare la PA italiana verso l’adozione di soluzioni tecnologiche e modelli organizzativi in grado di garantire la sicurezza dei dati e delle informazioni pubbliche. Il dibattito, moderato da Alessandro Longo (direttore di Agendadigitale.eu), ha visto la partecipazione dei rappresentanti delle 6 grandi aziende sponsor del convegno: Andrea Boggio, Fastweb, Carlo Mauceli, Microsoft Italia, Alessandro Menna, Leonardo, Benito Mirra, Huawei, Federico Santi, DXC Technology, Nicola Sotira, Poste Italiane.
Di grande spessore anche gli interventi dei rappresentanti di alcune delle amministrazioni chiave per la sicurezza nazionale, dedicati all’adozione di nuovi modelli organizzativi per la cybersecurity, anche alla luce delle novità introdotte dalDPCM del 17 febbraio scorso nel quadro dell’architettura nazionale per la sicurezza cibernetica.
In apertura, il keynote a cura della Dott.ssa Nunzia Ciardi, Direttore del Servizio di Polizia Postale e delle Comunicazioni del Ministero dell’Interno, focalizzato sul ruolo delle strutture di law enforcement nella tutela delle infrastrutture critiche, anche nel quadro delle nuove prospettive delineate dalla Direttiva NIS. Tema rispetto al quale l’Italia risulta comunque all’avanguardia, grazie all’istituzione nel 2005 del CNAIPIC, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.
In chiusura, le esperienze del Ministero della Difesa, con la presentazione del neo costituendo Comando Interforze per le Operazioni Cibernetiche a cura del Gen. Francesco Vestito (Stato Maggiore della Difesa), e del Ministero degli Affari Esteri e della Cooperazione Internazionale, con Sabrina Ugolini (MAECI) a presentare la nuova organizzazione della Direzione Centrale per l’informatica, le comunicazioni e il benessere. Una riorganizzazione caratterizzata, in particolare, dalla recentissima costituzione di uno specifico ufficio dirigenziale per la sicurezza informatica e sistemistica, a dimostrazione della centralità che le attività di prevenzione e risposta alle minacce cyber hanno ormai assunto nel quadro delle funzioni svolte dalla Farnesina, anche a supporto dei quasi 200 uffici dislocati all’estero (ambasciate, consolati, rappresentanze permanenti, ecc.).