Sogei: “Ecco le misure necessarie per avere una PA (cyber) sicura”

Dopo alcuni anni di gestazione la Commissione Europea, conscia del fatto che una protezione informatica, frammentata e non organica, renda tutti gli stati membri vulnerabili e, rappresenti un grande rischio per la sicurezza dell’Europa intera, ha finalmente emanato lo scorso luglio la Direttiva NIS (Network Information Security). Tale Direttiva ha l’obiettivo di stabilire un comune, quanto elevato, livello di sicurezza delle reti e dei sistemi informativi nell’Unione, rafforzando la cooperazione tra gli Stati membri, al fine di prevenire futuri attacchi informatici ad importanti e strategiche infrastrutture interconnesse in Europa. Il livello di sicurezza informatica negli Stati Membri, infatti, è molto diverso da nazione a nazione, il che comporta capacità di protezione variabili e non omogenee. Questo livello di frammentazione ed eterogeneità che emerge a livello comunitario, nella protezione delle infrastrutture primarie, è ancora più reale se ricondotto a livello nazionale, ed in particolare nella Pubblica Amministrazione italiana.

Ad oggi il processo di trasformazione digitale nella Pubblica Amministrazione ha ancora davanti un lungo percorso, nonostante gli ottimi progressi fatti in termini di digital governement. L’Italia, in un’ottica maggiormente orientata allo snellimento ed armonizzazione dei propri processi produttivi e amministrativi ha, da tempo, compreso le opportunità e le sfide legate alla digitalizzazione, sia pur rallentate da molteplici fattori sistemici, che, di fatto, vanificano gli stimoli e le iniziative adottate, quali il CAD, l’Agenda Digitale Italiana, SPID, l’open data, la fatturazione elettronica, il FSE.

Tali fattori, che potremmo definire strutturali, richiedono ampi interventi volti principalmente a facilitare l’incremento di fondi, ovvero di investimenti adeguati per sostenere la crescita digitale, alla rimozione delle resistenze da parte di Enti e Amministrazioni, alla formazione di skill e competenze adeguate verso le nuove tecnologie e i processi digitali, alla collaborazione tra le istituzioni attraverso una condivisione delle esperienze, alla semplificazione della complessità, ovvero alla carenza della normativa, fino all’attuazione dei processi di acquisti in linea attraverso tempistiche e modalità richieste dal mercato digitale.

A quanto sopra esposto, si aggiunge, l’assenza di regole precise, ovvero la carenza di controlli. Un passo avanti in questa direzione è stato fatto, quest’anno, attraverso la predisposizione e divulgazione del Framework Nazionale per la Cyber security a cura del CIS-La Sapienza. Si tratta del primo tentativo a livello nazionale di offrire alle organizzazioni un approccio volontario e omogeneo e strutturato per affrontare la cyber security.

Sfortunatamente per la mancanza di un coordinamento e di una governance centralizzata, la sicurezza è interamente nelle mani dei singoli responsabili IT/sicurezza dei diversi Enti e Dicasteri, i quali operano con le capacità ed i mezzi a loro disposizione per mitigare i crescenti rischi informatici. La carenza di un coordinamento centrale forte e autorevole e la mancanza di modelli e riferimenti comuni all’interno delle Amministrazioni sono probabilmente tra le cause primarie dei limitati progressi in questo ambito e pertanto causa di un rallentamento generale della crescita digitale.

In questo contesto si inserisce la Strategia per la Crescita Digitale, fortemente voluta dalla Presidenza del Consiglio dei Ministri, che, oltre a fornire un quadro piuttosto completo sul livello di digitalizzazione in Italia, traccia obiettivi ed azioni volte proprio a ridurre nel tempo le barriere che agiscono da freno per la crescita digitale.

Tra le azioni considerate trasversali rispetto a tutte le altre vi sono sicuramente gli interventi volti a ridurre il rischio cibernetico ed abilitare un utilizzo “fiducioso” dei servizi digitali da parte di cittadini ed imprese.

Prima di qualsiasi altro elemento, ciò che dovrebbe cambiare è il modo con cui viene spesso considerato il cyber space o in generale la protezione delle infrastrutture e dei servizi ICT. La Pubblica Amministrazione, così come il settore privato, spesso non considera che il livello di sicurezza risultante in un determinatore settore, non è dato dalla semplice somma dei rischi mitigati da ciascun soggetto di quel settore. Nel caso della Pubblica Amministrazione infatti, l’elevato livello di interconnessione esistente tra Enti, Ministeri, Istituzioni di ogni ordine e grado, nonché degli infiniti fornitori e terze parti, in mancanza di strategie e capacità di protezione omogenee, rende di fatto vulnerabile l’intero sistema, soprattutto se uno o più operatori risultano particolarmente compromessi.

Un tale cambio di prospettiva dovrebbe comportare una successione di interventi che, soprattutto nel contesto della PA italiana, si dovrebbero affrontare con la massima priorità ed attenzione. Potremmo suddividere i provvedimenti in categorie ben distinte tra loro, inclusive di standard normativi ed attuativi, di istituzioni di modelli e logiche, di network informativi, di percorsi formativi. A titolo esemplificativo e non esaustivo:

L’obbligo, su base normativa o comunque a carattere mandatario, da parte di ciascuna Amministrazione di nominare un referente per la sicurezza ICT/Cyber, CISO (Chief Information Security Officer ) o ruolo equivalente (ad esempio il Digital Security Champion), con deleghe decisionali e piena responsabilità di intervento su tali tematiche;

L’istituzione di un modello di governo della sicurezza a livello nazionale, che chiarisca i ruoli, i compiti e le attività operative richieste a ciascun soggetto coinvolto nella protezione delle infrastrutture pubbliche ed essenziali del Paese: dal ruolo di Agid, a quello delle Regioni, per passare delle società ICT in-house, fino ai singoli Dicasteri e Ministeri, nell’ottica di garantire un livello di sicurezza minimo ed omogeneo per tutti gli operatori rilevanti;

L’obbligo di recepire ed aderire a standard, linee guida e regolamenti emanati da Agid o altri soggetti a cui si attribuisce un ruolo operativo di governance centralizzata per la sicurezza, pur nell’ambito dei parametri di discrezionalità garantiti dagli standard stessi e dettati dalle logiche di valutazione dei rischi specifici per ogni organizzazione;

L’istituzione di logiche di vigilanza sulla corretta attuazione degli standard e dei regolamenti di cui al punto precedente, funzionali a garantire un livello di sicurezza essenziale o minimo, sempre in funzione dei criteri di valutazione del rischio e discrezionalità attribuiti a ciascun soggetto;

L’obbligo per tutte le terze parti che operano come fornitori della Pubblica Amministrazione di adottare gli standard ed i regolamenti di sicurezza definiti a livello nazionale, con un processo di accreditamento di tali soggetti sulla falsa riga di quanto già accade da diversi anni nel Regno Unito con lo schema “Cyber Essential”;

La creazione di una rete di cooperazione e scambio informativo tra soggetti della Pubblica Amministrazione che sia fondato sulle logiche del CERT ( Computer Emergency Response Team ), nell’ottica di prevenire e gestire tempestivamente incidenti di sicurezza e tentativi di compromissione, aumentando complessivamente la capacità dell’intera Pubblica Amministrazione di intervenire in caso di eventi critici e di operare costantemente nell’ottica preventiva. Anche le capacità minime da attribuire a ciascun CERT dovrebbero essere frutto di specifica regolamentazione, analogamente a quanto suggerito per gli altri ambiti di sicurezza;

La definizione di percorsi formativi obbligatori per i referenti IT/sicurezza e per i “key user” della Pubblica Amministrazione, selezionati sulla base di un processo di responsabilizzazione dei singoli dirigenti, volti ad accrescere il livello di cultura e conoscenza rispetto ai rischi ed alle tematiche di Cyber Security;

La formalizzazione di regole e criteri per la creazione di PPP (Public Private Partnership) in grado di incentivare le logiche di condivisione delle esperienze e delle best practice tra industria ed istituzioni, anche nell’ottica della ricerca e dell’innovazione e contribuendo alla crescita dell’intero settore.