Governance della cybersecurity, il ruolo dell’Agid e le azioni politiche che restano da fare

Le pubbliche amministrazioni, dal punto di vista sicurezza, possono essere considerate come organizzazioni fortemente regolate, in considerazione del fatto che la loro attività si svolge nell’ambito e nei limiti di norme che hanno valore di legge. Il problema è che fino ad oggi sono state poche le norme giuridiche che si siano occupate di cyber security.

In effetti le norme di maggiore rilevanza sono quelle contenute nel Codice dell’Amministrazione Digitale (CAD – DLgs. 7 marzo 2005 s.m.i.), che all’art. 17 al fine di garantire l’attuazione delle linee strategiche per la riorganizzazione e digitalizzazione dell’amministrazione definite dal Governo, prevede che le pubbliche amministrazioni individuino mediante propri atti organizzativi, un unico ufficio dirigenziale generale responsabile del coordinamento funzionale. Questo Ufficio sostituisce il Centro di competenza previsto dalla normativa previgente e il responsabile dei sistemi informativi automatizzati di cui all’articolo 10 del decreto legislativo 12 febbraio 1993, n. 39.

L’Ufficio oltre alle attività già svolte dal centro di competenza previsto dalla normativa previgente coordina funzionalmente anche le attività di telecomunicazione, fonia e quanto relativo ai dati, ai sistemi e alle infrastrutture, anche in relazione al Sistema Pubblico di Connettività (SPC). L’Ufficio individuato è unico; resta salva la facoltà delle Agenzie e delle Forze armate, compresa l’Arma dei carabinieri, di individuare un proprio Ufficio. Con le modifiche previste l’amministrazione avrà un solo, autorevole, punto di riferimento per tutta l’attività ICT.

Infine è previsto che l’Agenzia per l’Italia Digitale (AgID) debba assicurare il coordinamento delle iniziative nell’ambito delle attività di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica, anche in relazione al Sistema Pubblico di Connettività.

Inoltre nei successivi articoli 50, 50 bis e 51 del CAD si parla rispettivamente di disponibilità ed accessibilità dei dati al di fuori dei limiti di carattere normativo come nel caso della protezione dei dati personali, di continuità operativa e disaster recovery (che scompare incomprensibilmente nell’emanando decreto di riforma del CAD) e di sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni, oggi regolamentati dalle misure minime di sicurezza previste dalla normativa sulla protezione dei dati personali.

In materia, difatti, occorrono ulteriori regole tecniche che in coerenza con la disciplina in materia di tutela della privacy introducano elementi utili per riconoscere l’esattezza, la disponibilità, l’integrità e per verificare l’accessibilità e la riservatezza dei dati.

Si prevede altresì, che l’AgID coordini con una apposita struttura (oggi denominata CertSPC), le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici promuovendo anche intese con le analoghe strutture internazionali.

Al fine di garantire un’adeguata attuazione delle disposizioni previste dalle regole tecniche in materia di sicurezza, all’AgID è attribuito il compito di segnalare al Ministro per la pubblica amministrazione e l’innovazione il mancato rispetto delle stesse.

L’AgID in questo modo assume un ruolo di primo piano nell’emanazione delle regole tecniche nel campo della sicurezza informatica, nonché nella prevenzione e gestione degli incidenti di sicurezza informatici.

Tale ruolo è rafforzato dal Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico, che tra i compiti dell’Agenzia cita esplicitamente:

• detta indirizzi, regole tecniche e linee guida in materia di sicurezza informatica;
• assicura la qualità tecnica e la sicurezza dei sistemi informativi pubblici e della loro rete di interconnessione per salvaguardare il patrimonio informativo della PA e garantire integrità, disponibilità e riservatezza dei servizi erogati ai cittadini;
• opera il CERT-PA, CERT della Pubblica Amministrazione, che garantisce la sicurezza cibernetica dei sistemi informativi della P.A., oltre che della loro rete di interconnessione, provvedendo al coordinamento delle strutture di gestione della sicurezza ICT – ULS, SOC e CERT, operanti negli ambiti di competenza.

È perciò compito dell’Agenzia organizzare dal punto di vista sicurezza le PP.AA. italiane, tenendo presente che queste hanno caratteristiche, struttura e obiettivi sostanzialmente diversi da quelli di un’azienda, nella quale il danno, e di conseguenza il rischio, può essere più facilmente quantificato. Spesso il loro status e la natura dei servizi offerti ai cittadini le accomuna alle Infrastrutture Critiche, se non altro, per la dipendenza dei servizi offerti dai privati da quelli autoritativi pubblici.

In particolare l’AgID è chiamata a dettare raccomandazioni, strategie, norme tecniche in tema di: sensibilizzazione e alfabetizzazione del personale in materia di sicurezza informatica e di relative emergenze, metodologia di rilevazione ed analisi dei rischi connessi all’impiego di tecnologie evolute, valutazione dell’impatto – nel quadro della riservatezza e della sicurezza – dell’avvio di iniziative di automazione, esame e stima delle misure di protezione e delle eventuali attività di misurazione delle prestazioni.

Nel modello organizzativo previsto dal DPCM 24 gennaio 2013 per la tutela della sicurezza nazionale in ambito sicurezza cibernetica, un ruolo di particolare rilevanza per la prevenzione e la gestione degli incidenti di sicurezza informatica nella pubblica amministrazione viene ricoperto proprio dall’AgID e dal CERT-PA.

Sono previsti tre distinti livelli di intervento dell’AgID:

• indirizzo politico e coordinamento strategico, cui affidare l’individuazione degli obiettivi funzionali a garantire la protezione cibernetica e la sicurezza informatica nazionali;
• di supporto, a carattere permanente, con funzioni di raccordo nei confronti di tutte le Amministrazioni ed enti competenti;
• di gestione delle crisi, con il compito di curare e coordinare le attività di risposta e di ripristino della funzionalità dei sistemi, avvalendosi di tutte le componenti interessate.

Il modello organizzativo‐funzionale delineato con il decreto persegue la piena integrazione con le attività di competenza del Ministero dello sviluppo economico e dell’Agenzia per l’Italia digitale, nonché con quelle espletate dalle strutture del Ministero della difesa dedicate alla protezione delle proprie reti e sistemi nonché alla condotta di operazioni militari nello spazio cibernetico, dalle strutture del Ministero dell’interno, dedicate alla prevenzione e al contrasto del crimine informatico e alla difesa civile, e quelle della protezione civile. Non dimentichiamo che i rischi connessi alla sicurezza informatica della P.A. possono riguardare:

• Informazioni: possono essere sottratte, alterate e distrutte
• Servizi: possono essere degradati, alterati e bloccati
• Fonti: possono essere confuse, alterate
• I livelli autoritativi: possono essere alterati
• Le autorizzazioni: possono essere alterate
• I sistemi di controllo e monitoraggio: possono essere manomessi o distrutti

Tali rischi si possono concretizzare attraverso:

• Contagio da malware (virus, phishing, botnet)
• Attacchi cyber (activisms, cybercrime, cyberwar)
• Furto di credenziali/identità (impersonificazione di un soggetto/ organizzazione o servizio
• Degrado/interruzione e distruzione di servizio (denial of services, oscuramento siti).

Lo scenario ormai è divenuto preoccupante, difatti sfruttando le potenzialità di Internet la criminalità informatica ha costruito, nel corso degli ultimi anni, una efficiente rete finalizzata allo scambio di informazioni e alla commercializzazione di “prodotti/servizi” funzionali al compimento di atti criminosi. La possibilità di ricorrere ad un mercato globale in grado di gestire una crescente offerta di “armi informatiche” e di “mercenari informatici”, estende lo scenario del cyber‐crime a qualsiasi tipologia di organizzazione criminale o terroristica che intenda avvalersi delle tecniche informatiche per il compimento dei propri scopi. Gli URL «malicious» crescono del 600% all’anno e tra i paesi che “ospitano” malware vi sono anche quelli occidentali (i primi 5 sono USA, Russia, Germania, Cina, Moldavia). Lo stesso phishing diventa sempre più sofisticato e mirato.

Di conseguenza a livello di politica generale di sicurezza diventa necessario:

• Definire scenari di valutazione del rischio, coinvolgendo le strutture adeguate
• Definire piani di difesa
• Attivare strumenti tecnici ed organizzativi su tutta la filiera
• Coordinare le azioni con «alleati» esterni
• Monitorare e aggiornare costantemente procedure, prassi e strumenti
• Sensibilizzare sulla necessità di skill e strumenti multidisciplinari
• Attivare piani di informazione e formazione.