LA PA spiani la strada al framework nazionale per la sicurezza Paese
Esiste un modello di security definito per le PA, presieduto dal CERT PA
e nell’ambito delle Amministrazioni Centrali e Locali operano unità
locali di sicurezza di riferimento per il CERT. Il sistema copre bene la sicurezza organizzativa e quella
procedurale, meno bene quella tecnologica. Questa è una carenza in
vista degli sviluppi perseguiti dalla Strategia Digitale del Governo
17 Dicembre 2015
Giorgio Mosca, Presidente di area "Sicurezza Informatica", Assinform
Continuità dei servizi, protezione delle informazioni e tutela dagli utilizzi illeciti degli strumenti digitali sono prerequisiti per la fiducia di cittadini e imprese e per lo sviluppo dei servizi in rete. Su questo fronte e nel caso della PA si sono fatti passi in avanti, ma il cammino è ancora lungo. O almeno lo è prendendo in conto le potenzialità di una PA digitale e del ruolo traente che essa può avere a livello di sistema-paese. Basti pensare anche solo a progetti come la fatturazione elettronica, il fascicolo sanitario, PagoPA e così via sino a SPID, candidato a fornire sistemi di identificazione digitale d’uso generalizzato per i servizi in rete. Per accelerare bisogna però trovare il modo di risolvere non poche e oggettive complessità, guardando proprio al fatto che la sicurezza dei sistemi informativi pubblici non è solo un fatto interno alle Amministrazioni.
Un quadro ancora parziale
La PA in sé è relativamente coperta, ma in modo non uniforme e sussistono aspetti da affrontare in chiave di digitalizzazione estesa. Esiste un modello di security definito per le PA, presieduto dal CERT PA e nell’ambito delle Amministrazioni Centrali e Locali operano unità locali di sicurezza di riferimento per il CERT. Delle tre componenti della cybersecurity, il sistema copre bene quella organizzativa e quella procedurale, meno bene quella tecnologica. Questa è una carenza in vista degli sviluppi perseguiti dalla stessa Strategia Digitale del Governo. SPID, Fascicolo Sanitario, estensione dei pagamenti elettronici da e verso la PA e altro ancora richiedono crescenti livelli di sicurezza, e quindi anche riferimenti più uniformi sul fronte tecnologico. Quest’ultima è una necessità che si somma a quella, già perseguita, della riduzione della superficie d’attacco, a sua volta da continuare, perché una drastica riduzione del numero dei data center, unitamente alle iniziative previste da SPC, permette di concentrare gli sforzi e di limitare i contagi. Ma è evidente che si deve andare oltre, definendo un framework condiviso ed evolutivo, che vada oltre alle specifiche che si sono cominciate ad affrontare con le gare SPC, e rafforzando i modelli di implementazione controllo.
Serve un frame tecnologico più definito
Andare oltre il profilo tecnologico significa affrontare un’oggettiva complessità, e non solo perché la sicurezza va affrontata sotto molteplici profili. Le scelte da fare coinvolgono una pluralità di attori – da quelli in seno alla Presidenza del Consiglio (Cabina di Regia per la Cybersecurity, AgID, CERT PA), a quelli in ambito ministeriale (Difesa, Interno, Mise, Giustizia, Semplificazione e Pubblica Amministrazione, pur con ruoli e pesi diversi) – e si rapportano a un pregresso che sussiste e che pone dei paletti da rispettare: le indicazioni del Governo in tema di Quadro Strategico Nazionale e il Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica, che includono una serie di spunti operativi, e sui quali si innesta il progetto Digital Security PA del Piano per la Crescita Digitale. Quest’ultimo è quello che più interessa: è quello che dà le linee guida di come si debba progredire sul fronte della security nella PA e assegna all’AgID compiti di definizione delle specifiche, supervisione e coordinamento. Ci sono poi le gare SPC in tema di Cloud e Sicurezza dello scorso anno corredate di specifiche che danno alcuni elementi per un quadro tecnologico di riferimento per quanto gravita attorno al SPC. Ma si tratta di riferimenti ancora parziali, che come tali riguardano ambiti specifici e non ancora un framework tecnologico complessivo di riferimento per la sicurezza digitale nella PA.
Serve un rafforzamento dei modelli di implementazione
Andare oltre sotto il profilo dell’implementazione e del controllo vuol dire unire alla definizione del framework tecnologico l’individuazione degli attori e dei ruoli di questo specifico livello, definendone le prerogative e gli obblighi; correlare il framework tecnologico anche alla razionalizzazione delle architetture, dei processi e delle policy; estendere a tutto il sistema PA le modalità di valutazione e gestione dei rischi, verificandone l’esecuzione; definire un piano operativo e mandatorio di implementazione per le PA a tutti i livelli, con adeguati strumenti di monitoraggio e indicatori di performace specifici.
Nell’insieme si tratta di andare oltre a riferimenti per ora parziali, tenendo presente che nei fatti, un’implementazione non può procedere senza un framework di riferimento che superi anche i confini della PA. Non avrebbe infatti senso in una logica di sistema-paese.
Nuovi spunti dal Cini
Dobbiamo quindi muoverci in modo coordinato. Perché – vale la pena di ricordarlo – ci sono una complessità ed una pluralità di attori. Da questo punto di vista un contributo importante viene dal libro bianco, il Futuro della cybersecurity In Italia, redatto dal Laboratorio Nazionale di Cyber Security del Consorzio Interuniversitario Nazionale per l’Informatica (Cini). Esso dà una serie di indicazioni su ciò che deve essere fatto per migliorare la cybersecurity in Italia, e dà anche una prima indicazione sulla necessità di creare un framework italiano per gestire la problematica in modo unitario e a livello di sistema paese. E’ uno spunto molto interessante, perché pone due istanze principali.
La prima è la necessità di spingere tutti i principali stakeholder di sistema alla definizione di un modello comune, perché se non sappiamo migliorare i livelli di sicurezza, siamo destinati a mettere a rischio sia il funzionamento della PA, sia il funzionamento e l’attrattività del nostro sistema-paese, perché la sicurezza è una delle discriminanti dell’innovazione digitale e dell’attrazione degli investimenti
Serve convergenza
La seconda istanza è che bisogna stimolare la volontà di tutti i soggetti interessati (e chi non lo è nel villaggio digitale globalizzato?) di convergere a quel framework nazionale per la security, favorendo l’integrazione di settori già attivi, come banche e telco, che già hanno adottato riferimenti internazionali, a volte mandatori per i loro settori, nonché coinvolgendo gli altri. Infatti, il più è da fare, e in tutti gli ambiti ci si dovrebbe dare regole che aiutino a declinare quel framework senza forzature. In questo modo saremmo in grado di procedere con un irrobustimento guidato della security a livello nazionale. Certo, AgID e Agcom fanno già muovere le realtà dei settori più avanzati, ma condividere a livello esteso un unico frame di riferimento è altra ambizione, certamente più coerente con la trasformazione digitale di cui abbiamo bisogno. E qui servono altre tre cose: una sensibilizzazione diffusa al tema della cybersecurity, che oggi, nonostante la sua importanza strategica, è ancora confinata in gran parte nell’argomentario degli specialisti; il coinvolgimento delle associazioni di categoria, per far convergere i loro aderenti su quel framework; la fiducia che qualsiasi provvedimento venga emanato per favorire questo scenario trovi attuazione in tempi certi, cosa che potrebbe anche mobilitare l’industria nazionale della sicurezza digitale sul fronte dell’offerta.
E la PA? La PA deve fare da apripista e da stimolo nella realizzazione e nell’affermazione di quel framework nazionale. Ha un ruolo importante nella cyber security, che non è ancora stata in grado di declinare a livello di sistema paese, che è poi il livello che più importa in prospettiva. Lo potrebbe fare, ad esempio, contribuendo a diffondere il framework di riferimento, che è anche la condizione per accelerare gli sviluppi interni alla stessa PA.