Ecco come la PA deve adottare il nuovo framework cybersecurity (con il supporto di Agid)

Nel mese di dicembre il CIS-Sapienza e il Laboratorio Nazionale di Cyber Security hanno pubblicato la bozza di un Framework Nazionale di Cyber Security per una revisione pubblica, conclusasi il 10 Gennaio. A febbraio il Framework verrà rilasciato nella sua versione definitiva. Si tratta di un documento che definisce un quadro di riferimento della Cyber Security per imprese e pubbliche amministrazioni, indipendentemente dal settore di appartenenza o dalle dimensioni dell’organizzazione. Definisce tutte le aree di intervento che una organizzazione deve considerare nel momento di impostare il proprio piano di sicurezza. Maggiori informazioni sono disponibili in questo articolo.

L’adozione del framework non sarà obbligatoria, per svariati motivi: 1) Trattandosi di un framework, non vengono fornite indicazioni precise sul come fare le cose, ma soltanto le aree che devono essere considerate quando si sviluppa il proprio piano di sicurezza; 2) il framework non contiene un metodo e un approccio di compliance 3) il framework è pubblicato dal Laboratorio Nazionale di Cyber Security, pertanto non ha alcuna valenza normativa.

Ma allora che impatto avrà sulla Pubblica Amministrazione? Non appena pubblicato, il framework non avrà un impatto diretto vincolante. Le amministrazioni non saranno tenute ad adottarlo, ovvero a impostare i propri piani di sicurezza sulla base delle indicazioni del framework. Però le amministrazioni sono state chiamate ad intervenire nel più breve tempo possibile per adottare standard minimi di prevenzione e reazione ad eventi Cyber (vedi Direttiva del primo agosto 2015) e il framework può fornire un valido aiuto nel determinare le aree da coprire e le priorità. È chiaro che questo non è sufficiente. Per sfruttare appieno le potenzialità del framework, sarebbe necessario che questo venga utilizzato per far evolvere e allineare gli standard di sicurezza della pubblica amministrazione, per mano dell’Agenzia per l’Italia Digitale (AgID). AgID potrebbe in futuro emanare i propri standard di sicurezza secondo lo schema fornito dal Framework Italiano. L’optimum sarebbe che l’AgID non sviluppi standard propri, ma si allinei a standard internazionali, già ampiamenti utilizzati in altri paesi o altri settori. In questo modo si avvierebbe quella sinergia pubblico privato più volte invocata dal Quadro Strategico Nazionale per la protezione dello spazio cyber e dalla Direttiva del primo agosto 2015.

L’adattamento del Framework al contesto della PA sarebbe in questo momento uno strumento preziosissimo per le amministrazioni, che da una parte si trovano ad essere sotto pressione dal governo e dagli eventi, dall’altra si trovano con competenze e strumenti ridotti, oltre che a dover gestire molteplicità priorità causate dai ritardi clamorosi dello sviluppo dell’ICT nelle amministrazioni.

L’adozione del Framework e dei relativi standard dovrebbe essere accompagnato da una serie di passi chiave: l’individuazione di figure responsabili all’interno dell’amministrazione, dotate di opportune deleghe in modo da poter operare efficacemente nel proprio ruolo. Si tratta di individuare e nominare i CISO (Chief Information Security Officer, ovvero i responsabili della Cyber Security) in ogni amministrazione. È poi fondamentale formare correttamente queste figure, dotandole di competenze sufficienti per lo svolgimento del loro ruolo; purtroppo gli esperti di Cyber Security scarseggiano. E’ una condizione diffusa in tutto il mondo, ma in modo particolare in Italia.

In altri paesi, la pubblica amministrazione è stata lo strumento per indurre ad un innalzamento del livello di sicurezza anche nel settore privato, estendendo l’obbligo di aderenza a framework/standard governativi anche ai fornitori del governo, creando una filiera certificata. E’ il caso degli Stati Uniti e di molti paesi Europei (si prenda ad esempio il programma Cyber Essentials del governo Britannico), dove le aziende che forniscono servizi o prodotti al Governo devono disporre di una opportuna certificazione.

Sarebbe molto meglio spingere un tale approccio a livello europeo. Nonostante sia chiaro anche ai meno esperti quanto il tema della Cyber Security sia diventato chiave per la tutela dei diritti fondamentali dell’Unione, l’Europa non si sta muovendo su questo aspetto.

Ma quali benefici reali porterebbe alle amministrazioni l’adozione di un framework di sicurezza? Innanzi tutto chiarirebbe il fatto che la sicurezza di una amministrazione e dei suoi servizi non può essere garantita applicando una serie di indicazioni fornite da un ente esterno (che sia AgID o un ente di standardizzazione nazionale o internazionale), ma solo attraverso una valutazione dei rischi a cui si è esposti e una individuazione delle più opportune misure di sicurezza. Questo implica che non esistono piano di protezione standard, ma ognuno dovrà definire il proprio. Inoltre questi piani dovranno evolvere nel tempo, con la stessa dinamicità e rapidità con cui si evolvono le tecnologie e le minacce.

È per questo che nelle amministrazioni servono figure preparate, dedicate e con il giusto livello di delega. Senza di queste il framework, gli standard e i piani di sicurezza rimarranno incombenze amministrative che porteranno benefici minimi se non nulli.