Consip, SPC: “Verso una architettura digitale unica e sicura per la PA”
Tutti i nuovi sistemi orientati ad essere il perno fondamentale dell’attività di trasformazione digitale dovranno essere protetti con ancora maggiore attenzione, sfruttando le capacità dei fornitori di progettare sistemi intrinsecamente sicuri (security by design), individuare minacce ignote sulla base di segnali deboli (behavior monitoring) e recuperare la capacità operativa in tempi sempre più brevi se non nulli (cyber resilience). Per ottenere questo risultato è necessario mobilitare le necessarie risorse a tutti i livelli, dal punto di vista normativo
13 Ottobre 2016
Roberto Bettacchi e Olindo Rencricca, Direzione progetti per la PA, Consip
La trasformazione digitale della PA in tutte le sue forme e sfaccettature è l’argomento a cui è dedicata la lunga discussione sui cantieri della PA digitale, che sta accompagnando l’azione governativa. Si tratta di un processo promosso mediante molteplici strumenti ed attività: l’azione del Ministero per la Semplificazione e la Pubblica Amministrazione, la legge di stabilità 2016, il piano triennale di AgID, il ruolo di Consip – con il rinnovo dei contratti quadro in ambito SPC e la realizzazione dei contratti quadro per i servizi cloud – la proposta di evoluzione del CAD, la nomina del nuovo Commissario del governo per il Digitale e l’Innovazione.
Questa azione pone con forza ed evidenza un tema assolutamente centrale tra tutti quelli trattati: il tema della protezione delle informazioni digitali mediante opportune attività di cyber security.
Una maggiore attenzione agli aspetti della sicurezza è infatti fondamentale per trasformare digitalmente i processi della PA, per aumentare l’efficienza e ridurre la spesa corrente. Fornire nuovi servizi a cittadini ed imprese – come previsto dai piani del Governo – comporta un aumento delle informazioni unicamente digitali, dell’interoperabilità tra sistemi di diverse amministrazioni e dell’utilizzo di servizi digitali da parte dei cittadini e quindi necessita di adeguati livelli di protezione dei dati.
Tutti questi fatti sono positivi e contribuiranno a migliorare la posizione di “quasi-fanalino di coda” che l’Italia ormai da anni ricopre nell’indice Europeo DESI sulla digitalizzazione delle nazioni UE, ma comportano parimenti la necessità di considerare e gestire opportunamente il rischio cibernetico e quindi richiedono di operare: sulle infrastrutture, per ridurne la cosiddetta “superficie d’attacco”; sulle applicazioni, per controllarne e ridurne le eventuali vulnerabilità; sui sistemi di scambio delle informazioni, per garantirne la corretta trasmissione ed archiviazione e sul modo con cui i servizi digitali vengono utilizzati per identificare rischi di abuso o di violazione.
Quanto sopra indicato non è peraltro una novità e Consip si è già attivata per mettere a disposizione delle Amministrazioni gli strumenti necessari ad implementare le proprie attività di cyber security, specificamente mediante il lotto 2 dell’iniziativa “per l’affidamento dei servizi di Cloud Computing, di Sicurezza, di Realizzazione di Portali e Servizi on-line e di Cooperazione Applicativa”.
Grazie alla realizzazione di questo specifico contratto quadro – secondo gli indirizzi definiti AgID – vengono infatti resi disponibili una serie di servizi che le Amministrazioni possono utilizzare per attuare le azioni di riduzione e gestione del rischio sopra citate.
Un’ampia serie di servizi è dedicata alla prevenzione e gestione degli incidenti informatici, all’analisi delle vulnerabilità delle componenti hardware e software, alla protezione dei dati e alla protezione degli accessi alla rete. Tali servizi risultano applicabili sia agli ambienti cloud centralizzati e condivisi sia ai centri dati di proprietà delle singole amministrazioni. Sono altresì previsti servizi e strumenti per la gestione degli accessi degli utenti ai portali dell’Amministrazione e ai servizi da essa erogati in rete, secondo le modalità definite nel Sistema Pubblico di Identità Digitale (SPID). A completamento dell’offerta sono inclusi i servizi di firma e timbro elettronico per la convalida, conservazione, garanzia di conformità e validità legale dei documenti elettronici e da copia digitale.
Consip e AgID compiono così un fondamentale passo avanti per supportare l’implementazione dei progetti di “crescita ed evoluzione digitale” da parte delle pubbliche amministrazioni. I servizi previsti dai contratti quadro sono strumenti di supporto per l’attuazione del Piano Triennale di AgID, che ha l’obiettivo di definire un indirizzo unitario e una visione sistemica per uno sviluppo organico dei sistemi informativi di tutta la Pubblica Amministrazione italiana, ottimizzando l’allocazione delle risorse.
Il contratto quadro relativo al Lotto 2 è stato recentemente sottoscritto da Consip e dal raggruppamento di imprese aggiudicatario della gara, che vede come capofila Leonardo-Finmeccanica insieme a IBM e Fastweb. È quindi già da ora possibile per le amministrazioni stipulare direttamente contratti esecutivi per l’acquisizione dei servizi (documentazione disponibile all’indirizzo http://www.consip.it/news_ed_eventi/2016/7/notizia_0019).
Per la trasformazione digitale della PA, oltre allo sviluppo dei servizi digitali delle amministrazioni è comunque fondamentale che anche i cittadini svolgano la loro parte, utilizzando sempre di più questi servizi, essendo destinatari dello stesso, crescente livello di protezione garantito alla PA. L’aumento dell’utilizzo dei servizi digitali da parte dei cittadini si basa anche e soprattutto sullo sviluppo dell’indispensabile disponibilità delle altre componenti che realizzano un’architettura di riferimento complessiva di infrastrutture immateriali, quali il già citato SPID, il nodo dei pagamenti della PA e le altre piattaforme nazionali.
Tutti questi nuovi sistemi orientati ad essere il perno fondamentale dell’attività di trasformazione digitale dovranno essere protetti con ancora maggiore attenzione, sfruttando le capacità dei fornitori di progettare sistemi intrinsecamente sicuri (security by design), individuare minacce ignote sulla base di segnali deboli (behavior monitoring) e recuperare la capacità operativa in tempi sempre più brevi se non nulli (cyber resilience).
Per ottenere questo risultato è necessario mobilitare le necessarie risorse a tutti i livelli, dal punto di vista normativo, in termini di adeguamento delle progettazioni e dei servizi correnti ai nuovi paradigmi, in termini di semplificazione delle architetture e riduzione delle applicazioni ridondanti e duplicate, e, non ultimo, in termini di disponibilità finanziarie per la protezione della trasformazione digitale.
Per quanto concerne quest’ultimo punto, per il 2016 è stata definita una quota di 150 milioni di euro, annunciata in legge di stabilità, la cui destinazione d’uso è stata recentemente definita. Nei prossimi cinque anni ulteriori risorse potranno essere dedicate in modo coordinato al tema della sicurezza digitale della PA mediante il contratto quadro del Lotto 2 in ambito Cloud e Sicurezza, L’adeguatezza della spesa in confronto al rischio, è tema ancora poco trattato, essendo tale adeguatezza ancora poco definita a causa del processo di maturazione ancora in corso delle architetture delle infrastrutture e servizi della PA.
In ogni caso AgID, come parte del suo piano strategico triennale, ha già iniziato il percorso di definizione un concetto architetturale unico per le pubbliche amministrazioni. È estremamente importante che questa architettura evolva in modo sicuro “by design” e veda una forte integrazione con le iniziative di Consip volte a rendere disponibile alle amministrazioni gli strumenti utili alla sua implementazione, in particolare anche per quanto riguarda la cyber security.