Cybersecurity, cosa è emerso dal primo incontro della community CISO di FPA

Complice l’emergenza sanitaria, nel 2020 il numero degli attacchi informatici è cresciuto di 20 punti percentuali rispetto al 2019. In riferimento al settore pubblico, le amministrazioni locali sono state le più colpite, circa il 48% delle PAL ha subito un attacco cyber, con una crescita di 30 punti percentuali rispetto al 2019 (fonte Relazione sulla politica dell’informazione per la sicurezza 2020).

Il ricorso massivo allo smart working, sia per il mondo privato che per i dipendenti delle pubbliche amministrazioni, ha permesso agli hacker di sfruttare le debolezze dei sistemi e la scarsa consapevolezza del rischio da parte di alcuni dipendenti.

Su quali prospettive si aprano per la sicurezza informatica nazionale, a seguito delle ultime novità normative e alle risorse previste dal PNRR, lo scorso 12 maggio FPA ha organizzato un tavolo di lavoro riservato ai CISO e ai DPO delle principali amministrazioni pubbliche. L’evento si è svolto nell’ambito del progetto Cantieri ed è stato organizzato in collaborazione con Akamai, Archer, DXC.technology, HCL, Informatica, Samsung.

Attraverso il confronto e lo scambio di esperienze tra i partecipanti, il tavolo ha cercato di tracciare lo scenario in termini di criticità e soluzioni tecnologiche disponibili sul mercato.

Un focus specifico è stato poi dedicato al ruolo nel settore pubblico del DPO, figura obbligatoria nelle amministrazioni, ma non ancora pienamente valorizzata.

Monitoraggio AgID e cornice normativa

Il monitoraggio condotto da AgID a dicembre 2020, nell’ambito delle azioni sulla sicurezza contenute nel Piano triennale per l’informatica nelle PA 2020-2022, su 21.682 portali istituzionali primari ha evidenziato che solo il 9% dei portali istituzionali utilizza un canale HTTPS sicuro, a fronte di:

• 67% dei portali istituzionali ha gravi problemi di sicurezza;
• 22% con un canale HTTPS mal configurato;
• 2% portali istituzionali risultano senza HTTPS abilitato.

Eppure, sotto l’aspetto legislativo l’Italia ha lavorato molto sulla sicurezza cibernetica, a partire dal 2013 con il Decreto Monti, per arrivare alla pubblicazione in Gazzetta Ufficiale del DPCM dell’8 agosto 2019, sull’organizzazione del CSIRT – Computer Security Incident Response Team, ultimo dei tasselli della strategia italiana sulla Cybersecurity.

Con il Decreto Legge 105/2019 “Perimetro nazionale di sicurezza cibernetica”, l’Italia ha introdotto criteri più stringenti rispetto ai profili legislativi precedenti, anticipando la revisione della direttiva NIS, che oggi è in corso e che porterà:

• una revisione delle tempistiche di comunicazione dell’incidente informatico;
• sanzioni in caso di mancata comunicazione;
• una struttura più organizzata per la supply chain, quindi audit per i fornitori affidabili di hardware e software.

A tutto ciò, l’Italia aggiunge legislazioni che ottimizzano in primis il procurement, con lo screening continuo per asset tecnologici molto avanzati, seguendo la disciplina del Golden Power.

Oggi, dunque, la struttura italiana di allarme e risposta agli incidenti informatici per determinati asset nazionali è piuttosto avanzata ed è stata anche semplificata per essere più agile nell’attuale contesto, che vede crescere progressivamente il numero di aggressioni cyber.

La cybersecurity nel Piano Nazionale di Ripresa e Resilienza

Nella Missione 1, componente 1, del PNRR per la cybersecurity sono previste risorse economiche dedicate e vengono individuate alcune azioni prioritarie:

• centralizzare in Cloud i dati;
• migliorare la gestione degli alert;
• effettuare lo screening software e hardware, per adattarli ai requisiti di sicurezza richiesti;
• organizzare l’upskilling del personale e il recruitment di professionisti competenti;
• rinforzare gli organi di investigazione cyber.

Di fronte a un piano così logico e lineare, però, sono emerse nel corso del dibattito alcuni punti critici:

• Il PNRR parla poco di sicurezza cibernetica;
• le risorse economiche non sono sufficienti (620 milioni di euro, su una dotazione complessiva di 9,75 miliardi per innovare la P.A.);
• la carenza di infrastrutture Cloud certificate;
• la mancanza di cultura, di consapevolezza specifica sul tema;
• deficit di competenza.

Il vero problema è che, a fronte di una domanda di Transizione al digitale alla quale aziende pubbliche e private stanno rispondendo bene, non c’è una parallela domanda di sicurezza. Molti dirigenti e responsabili finanziari delle amministrazioni pensano che la cyber sicurezza si ottenga con l’utilizzo di un solo software, mentre – convengono tutti i partecipanti all’incontro riservato – l’adeguamento non è solo di carattere tecnologico, ma è necessario un cambio di paradigma.

Una visione prospettica comune

Il dibattito tra i partecipanti al tavolo riservato, organizzato da FPA, ha portato i partecipanti a convenire su alcuni punti:

• centralizzare la governance della sicurezza;
• migrare i data center delle piccole amministrazioni locali su un Cloud pubblico;
• incrementare la cultura della sicurezza;
• migliorare la collaborazione tra i team operation e i team dedicati alla security, il cui dialogo, oggi, appare poco strutturato.
• semplificare il più possibile per dare strumenti efficaci.
• evidenziare gli impatti economici di un attacco cyber per aumentare la consapevolezza dei pericoli (negli USA, per esempio, le aziende devono presentare un report annuale nel quale la classe di rischio è espressa in termini economici);
• avviarsi a una cultura della certificazione di sicurezza, come negli USA. Ciò obbligherebbe le amministrazioni a raggiungere gli standard richiesti e a mantenerli per superare gli Audit annuali.
• la cybersecurity in Cloud consente di avere servizi con elevata capacità di intelligence e di detection. La soluzione consentirebbe di portare valore e risolvere alcuni problemi impliciti della PA.