Mosca (Leonardo): “La roadmap per adeguare la sicurezza a una infrastruttura PA in evoluzione”
Il tema centrale diventa quello di come applicare la Sicurezza Digitale ad uno scenario architetturale della PA in evoluzione, adottando soluzioni tattiche per proteggere infrastrutture ed applicazioni che saranno superate, ma evitando anche che la mancanza di copertura su aree in dismissione generi significativi rischi per l’intero sistema
5 Luglio 2016
Giorgio Mosca, direttore Analisi Competitiva, Strategie e Tecnologie, Leonardo - Divisione Sistemi per la Sicurezza e l’Informazione
Una cosa pare certa: gli investimenti dei principali paesi del mondo sul tema della cyber security, raccolti da un recente studio di Frost & Sullivan, dimostrano che nessuno pensa di liberarsi presto del problema della sicurezza digitale.
Esaminando un periodo variabile, racchiuso in modo ampio tra il 2014 ed il 2020, si osserva infatti come i fondi allocati dai Governi delle nazioni più interessate all’argomento presentino numeri di assoluto rispetto che fanno presagire un crescente impegno sul tema:
- 14 miliardi stanziati dagli USA nel solo 2016,
- circa 2 miliardi dalla Gran Bretagna per il periodo 2015-2020,
- 1,5 miliardi per la Francia tra il 2014 e il 2017,
- un budget incerto per la Cina, ma con aumento annunciato per il 2016 del 30% rispetto all’anno precedente.
Anche l’Italia con i suoi 630 milioni tra 2015 e 2016 non sfigura nella classifica di Frost & Sullivan, ma la nostra vicinanza al tema solleva dubbi su come questi importi vengano determinati dagli analisti internazionali. Per il 2016 abbiamo infatti chiara in mente la quota di 150 milioni, annunciata in legge di stabilità e sul cui impiego sono state fatte molteplici ipotesi, incluse quelle proposte lo scorso 3 Marzo da Andrea Rigoni su queste stesse colonne dei Cantieri della PA digitale. Sappiamo inoltre che nei prossimi 5 anni, iniziando tra breve, almeno 600 milioni saranno dedicati al tema della Sicurezza Digitale della PA come dotazione del Lotto 2 della gara SPC in ambito Cloud e Sicurezza, ma la percezione sulla correttezza delle valutazioni degli analisti da un lato e sull’adeguatezza della spesa in confronto al rischio dall’altro è resa poco chiara da un’architettura di infrastrutture e servizi della PA ancora in corso di maturazione.
Il tema diventa quindi quello di come applicare la Sicurezza Digitale ad uno scenario architetturale della PA in evoluzione, adottando soluzioni tattiche per proteggere infrastrutture ed applicazioni che saranno superate, ma evitando anche che la mancanza di copertura su aree in dismissione generi significativi rischi per l’intero sistema.
Sarà necessario un difficile ed interessante esercizio di equilibrio tra diverse dimensioni:
- l’evoluzione di infrastrutture ed applicazioni secondo i nuovi paradigmi proposti da AGiD vs. i piccoli legacy da mantenere attivi
- la cooperazione applicativa e lo scambio di dati con i grandi sistemi centrali (SPID, ANPR, PagoPA, ecc.) vs. le applicazioni locali che possono costituire micro-vulnerabilità in edifici ben più complessi
- la protezione di grandi centri di elaborazione vs. una realtà di micro-strutture, con caratteristiche di robustezza (non solo cyber, ma anche fisica) spesso inadeguate secondo le rilevazioni della stessa AgID
- un contesto in cui ancora non è applicato in modo estensivo il paradigma di base della cyber security (quella sequenza di: identificazione, protezione, individuazione, risposta e ripristino, ben descritta nel Framework nazionale) vs. l’evoluzione delle tecnologie che sta indirizzando verso un concetto di sicurezza ancora più dinamico, dove la priorità non è più la capacità di predire e rispondere agli attacchi, ma quella di progettare sistemi intrinsecamente sicuri (security by design), individuare minacce ignote sulla base di segnali deboli (behavior monitoring) e recuperare la capacità operativa in tempi sempre più brevi se non nulli (cyber resilience).
- la messa a punto di un modello metodologico ed organizzativo che permetta di applicare soluzioni e servizi di cyber security, che devono per definizione considerare l’architettura informatica complessiva di una amministrazione vs. un contesto dove la gestione e lo sviluppo dell’ICT è suddivisa tra funzioni interne e diversi fornitori ICT che si alternano in relazione alle dinamiche del processo di procurement pubblico
Lo scenario di evoluzione delineato è credibile? Abbiamo iniziato parlando di numeri e quindi finiamo nello stesso modo, ma guardando un fenomeno diverso, ovvero non la spesa per acquistare tecnologie e servizi di sicurezza digitale da parte dei governi, ma gli investimenti da parte delle imprese per acquistare nuove capacità di sicurezza digitale.
Il 2015 è stato un anno eccezionale per il M&A nella sicurezza digitale con molte acquisizioni e di grandi dimensioni: solo le prime 10 operazioni hanno avuto un valore probabilmente superiore ai 10 miliardi; la maggiore concentrazione di queste ovviamente ha riguardato il mercato americano, ma movimenti importanti si sono visti anche da questo lato dell’oceano. Ciò che è interessante notare è che il maggior valore delle transazioni ha riguardato tecnologie tradizionali, orientate alla creazione di una base di servizi con cui aggredire contratti di enormi dimensioni (uno dei player del mercato americano, Raytheon, ha investito negli ultimi 3 anni più di 5 miliardi ed ha vinto lo scorso anno il più grande contratto di cyber security mai assegnato: 1 miliardo per il governo americano), ma le acquisizioni più numerose hanno riguardato le nuove tecnologie che indirizzano proprio i paradigmi di intelligence, monitoring e resilience che prima abbiamo descritto, indicando chiaramente qual è la strada che i player del mercato vedono davanti a sé.
In questo scenario cosa deve fare la PA in Italia? Dovrà trovare il modo di combinare pragmatismo e visione:
- si dovrà innanzi tutto iniziare pragmaticamente un percorso con obiettivi di base uniformi per tutte le amministrazioni. In questo ambito la definizione di misure minime di sicurezza per le PA gioca un ruolo fondamentale, in quanto potrà porre nuove basi – di sicurezza, ma anche di buone pratiche ICT – ed indirizzare le problematiche più consolidate
- una successiva graduale implementazione delle misure indicate nel Framework nazionale potrà permettere una più completa comprensione dello stato delle minacce e dei rischi, consentendo la definizione strategica di obiettivi ed interventi di medio e lungo termine
- si dovrà anche potenziare il tema della informazione e formazione, con la condivisione dei dati tra CSIRT / CERT a livello nazionale ed internazionale. In questo ambito esiste spazio per infrastrutture condivise, alcune già attive e da espandere ed altre da sviluppare quale, ad esempio, un’infrastruttura comune di Simulazione e Training (CyberRange)
Per intraprendere questa strada è importante che la PA disponga di partner che siano capaci di soluzioni all’edge tecnologico e sappiano dialogare con le Amministrazioni, capire la maturità e le problematiche dei sistemi e scegliere il momento adatto per l’evoluzione delle soluzioni di sicurezza. Sia i documenti che definiscono il quadro normativo nazionale, che la direttiva NIS, che le iniziative in corso a livello europeo (sarà costituita tra pochi giorni una contractual PPP tra industria, governi nazionali e Commissione Europea proprio sugli indirizzi della Cyber Security) indicano la strada di una maggiore condivisione delle informazioni e di una collaborazione più stretta tra pubblico e privato. Questa strada va intrapresa con convinzione da tutti, non solo scritta e raccontata nei documenti; è indispensabile per costruire la sicurezza digitale, perché il cammino è lungo e tortuoso. Non deve essere percorso da soli.