MEF, i nuovi progetti per cloud e datacenter d’avanguardia

NoiPA – sistema del Ministero dell’economia e delle finanze, ed in particolare del Dipartimento dell’amministrazione generale del personale e dei servizi, che storicamente gestisce il trattamento economico dei dipendenti pubblici – ha conosciuto una importante evoluzione negli ultimi anni, ampliandosi da un punto di vista oggettivo (nel senso dei servizi offerti) che soggettivo (numero di comparti e dipendenti gestiti), ma anche dal punto di vista delle modalità di gestione/erogazione del servizio.

Tale evoluzione è stata gestita con un approccio particolarmente innovativo e foriero di sviluppi imprevedibili: come coniugare due obiettivi che possono facilmente configgere, efficienza (performance) e sicurezza. Un trade off che si è posto dovendo affrontare un obiettivo concreto. La legge di stabilità 2014 infatti ha fissato la data ultima del 1 gennaio 2016 per l’ingresso di tutte le Forze Armate e delle Forze di Polizia nella gestione di NoiPA.

E’ evidente che la gestione, anche per ciò che concerne le informazioni relative al trattamento economico, di questo personale (specie alcune figure particolari, pensiamo ai militari impegnati in missioni all’estero) richiede livelli di sicurezza superiori a quelli ordinari. D’altro lato, l’ingresso di questo personale ha fatto crescere la platea gestita da NoiPA da 1,6 milioni di dipendenti pubblici ad oltre 2 milioni. Già prima di tale aumento, l’elaborazione dei cedolini per volumi così elevati richiedeva tempi di elaborazione piuttosto lunghi. Si consideri infatti che il sistema non soltanto deve calcolare lo stipendio, elaborare il cedolino e consegnarlo (pubblicarlo) al dipendente, ma anche interagisce con una elevata numerosità di Enti (Banca d’Italia, INPS, Agenzia entrate, Ragioneria generale, Organizzazioni sindacali, società finanziarie, fondi di previdenza complementare, ecc.).

Un workload particolarmente complesso che deve rispettare scadenze precise, poiché lo stipendio tutti lo aspettano alla data prevista e non sono ammessi ritardi. Aggiungere a ciò strumenti di sicurezza ulteriori potrebbe incidere negativamente sull’efficienza complessiva del sistema, già messo a dura prova.

Ovviamente, per fare fronte a queste nuove esigenze si sono poste in essere azioni di reingegnerizzazione del sistema o di parti di esso volte a migliorarne la perfomance, così come sono state concordate, sia con le Forze Armate che con quelle di Polizia, soluzioni ad hoc per garantire un livello di sicurezza adeguato nella gestione delle informazioni.

Questi interventi, tuttavia, non sono pienamente soddisfacenti, sia perché parziali e di breve termine, ma soprattutto perché estremamente onerosi nella conduzione dei sistemi. Per ovviare a ciò ci si è mossi alla ricerca di soluzioni innovative, addirittura di frontiera, partendo da una novità importante. Si tratta del completamento del progetto di consolidamento delle infrastrutture informatiche del Dipartimento. Un progetto che ha richiesto quasi tre anni di lavoro intenso, al termine del quale, però, si è realizzato un CED all’avanguardia sotto tutti i profili (sicurezza fisica, risparmio energetico, ridondanza, efficienza gestionale, ecc.). Questo CED è costituito da una infrastruttura completamente virtualizzata, su cui si è inserita una piattaforma per l’erogazione dei servizi infrastrutturali in modalità cloud. Oggi, infatti,altre piccole amministrazioni si approvvigionano di servizi Iaas dal CED del Dipartimento.

Con la Polizia di stato, quindi, che è la prima di queste amministrazioni a beneficiare dei servizi erogati da NoiPA e che possiede anch’essa un CED di dimensioni significative, ci si è posti l’obiettivo di trovare una modalità di gestione della elaborazione dei cedolini attraverso il colloquio fra sistemi, in modo coniugare.

• sicurezza
• efficienza
• bassi costi di conduzione.

Per affrontare questo obiettivo è venuta utile la Commissione europea che finanzia, nell’ambito del programma Horizon 2020, progetti volti ad aumentare la sicurezza “percepita” da parte delle Pubbliche Amministrazioni, anche a livello europeo in un contesto “transfrontaliero”, facilitando lo sviluppo del “digital single market” anche nel settore del cloud computing, in particolare in contesti in cui la privacy e il controllo della propagazione informazioni sono considerati fattori essenziali (ad esempio, l’e-government, e-health, ecc), favorendo nel contempo un migliore utilizzo delle risorse ICT disponibili.

Esiste chiaramente una forte similitudine fra gli obiettivi della Commissione in contesto europeo “transfrontaliero” e quelli in ambito nazionale che si trova ad affrontare NoiPA.

Ecco perché il Ministero dell’Economia e delle Finanze Italiano coordina un progetto di Ricerca e Innovazione (RIA), denominato SUNFISH (www.sunfishproject.eu), che ha ottenuto il finanziamento, avviato a Gennaio 2016 per una durata di 36 mesi, e che vede la partecipazione di 11 diverse Organizzazioni, provenienti da 6 diverse Nazioni, tra le quali, quattro Amministrazioni Pubbliche, tre Istituti di Ricerca, e quattro aziende private.

L’ambito di Innovazione e Ricerca sul quale SUNFISH intende operare è quello dello sviluppo di Infrastrutture e servizi Cloud avanzati; in particolare, il problema generale affrontato dal consorzio è la carenza di infrastrutture e di tecnologie affidabili che possano consentire alle grandi Pubbliche Amministrazioni Italiane ed europee di federare le loro infrastrutture di cloud private.

L’obiettivo di SUNFISH è quindi di sviluppare e integrare una nuova tecnologia e una piattaforma software che permettano la federazione sicura di infrastrutture Cloud, con attenzione particolare ai requisiti proposti dal settore pubblico.

In questo modo saranno raggiunti tre obiettivi principali:

1. Possibilità di integrare i diversi Cloud della PA, garantendo la sicurezza delle informazioni;
2. Maggiore efficienza nell’utilizzo delle infrastrutture IT;
3. Un nuovo impulso allo sviluppo dei servizi per i cittadini dell’UE che utilizzano dati sensibili condivisi in modo sicuro tra diversi cloud privati.

SUNFISH deve fare i conti con diverse sfide tuttora aperte:

1. L’e-government si sta rapidamente muovendo verso l’adozione di cloud privati. Tuttavia, i pochi enti pubblici in grado di avviare questo percorso si trovano ad affrontare il problema della difficile integrazione dei servizi forniti dal proprio cloud privato con dati e servizi forniti da cloud privati esterni. Il compito diventa ancora più impegnativo quando si intende condividere informazioni e dati utilizzando ed integrando con le piattaforme cloud private anche servizi di tipo pubblico, erogati da aziende private. Inoltre, nella maggior parte dei casi le complesse politiche di sicurezza tipiche della Pubblica Amministrazione non possono essere mappate facilmente sui modelli di sicurezza “a grana grossa” offerte attuali piattaforme cloud di tipo pubblico, aggravando così la complessità dell’integrazione verso modelli di cloud “ibrido”;
2. L’archiviazione di Informazioni nel cloud è ritenuta un rischio accettabile solo se la sicurezza a lungo termine e la riservatezza dei dati memorizzati possono essere garantite in maniera efficace. Attualmente, i meccanismi di cifratura utilizzati da piattaforme cloud si basano su tecniche tradizionali di crittografia, e non consentono un controllo di accesso “a grana fine” che possa assicurare l’interoperabilità in scenari di cloud federati. Inoltre, i proprietari dei dati hanno l’esigenza di poter monitorare le politiche di sicurezza del loro fornitore e potenzialmente spostare i propri dati a un provider diverso se le loro esigenze non sono più soddisfatte. La maggior parte dei contratti di fornitura proposti dai grandi fornitori di Tecnologia non sono oggi pensati per consentire questo tipo di controllo sul servizio erogato.
3. Inoltre, decidere di gestire i proprio dati su sistemi esterni alle organizzazioni che li possiedono espone potenzialmente al rischio che il dato venga rubato e utilizzato a scopi fraudolenti. Anche se nella realtà si tratta più di rischi percepiti che non di rischi effettivi (basti pensare che quasi tutte le Pubbliche Amministrazioni Italiane di affidano comunque a fornitori esterni per la gestione dei propri sistemi informativi), gli utenti che sono maggiormente preoccupati per la riservatezza dei loro dati o evitano l’utilizzo di servizi in cloud o richiedono esplicitamente costose e complesse procedure per la crittografia del dato, prima di caricarli. Complessivamente queste criticità ancora oggi rallentano la diffusione delle tecnologie Cloud, impedendo alla PA di cogliere pienamente le opportunità offerte dalla nuova tecnologia.

Questa piattaforma garantirà un elevato livello di sicurezza, un monitoraggio continuo delle comunicazioni inter-cloud, e la capacità di implementare servizi a buon mercato, in modo rapido, flessibile e sicuro anche tra diversi cloud privati. La soluzione sarà sviluppata per essere utilizzabile dalle organizzazioni pubbliche europee, e potenzialmente anche da aziende del settore privato.

Il progetto dovrà concludersi con una “piattaforma dimostrativa”, da testare su tre diversi casi d’uso relativi a tre Pubbliche amministrazioni europee. Uno di questi casi d’uso concerne proprio l’elaborazione dei cedolini degli stipendi del personale della Polizia di Stato da parte del MEF (NoiPA), trovando quindi una soluzione all’avanguardia al problema da cui siamo partiti.

In realtà, SUNFISH potrebbe costituire un asset, guidato dall’Italia, con una valenza ben più generale del singolo caso d’uso. L’implementazione della piattaforma, infatti, darà evidenza di come i servizi cloud-based in ambienti cloud eterogenei e multi-layered possano essere federati e ciò con un impatto duraturo, mettendo gli utenti e proprietari dei dati in pieno controllo rispetto a come i loro dati sono condivisi, elaborati e memorizzati in una federazione di cloud privati e pubblici, anche affrontando nuove sfide aperte sugli aspetti di sicurezza.

In effetti, la federazione potrebbe costituire il veicolo per la realizzazione di una infrastruttura cloud per tutta la PA, superando l’attuale frammentazione fra una miriade di CED vetusti, inefficienti e con bassissimo grado di sicurezza. Ma qui si apre un ulteriore capitolo. In linea generale, comunque, il progetto è in grado di generare:

• Valore economico, riducendo gli investimenti necessari per l’adozione del cloud e riducendo il rischio di attacchi informatici che attualmente generano elevate perdite economiche.
• Valore sociale, favorendo la fiducia del pubblico nelle tecnologie cloud e aumentare il loro utilizzo, anche con ricadute di innovazione sia in enti pubblici e privati;
• Valore ambientale, migliorando lo sfruttamento delle risorse e ridurre il consumo energetico.