Amministrazioni pubbliche e imprese nella crisi Russia-Ucraina: la centralità della cyber sicurezza
La guerra in Ucraina impatta anche sulle nostre amministrazioni pubbliche e sulle imprese. Pochi giorni fa è stato pubblicato in Gazzetta Ufficiale il Decreto-Legge 21/2022, che coinvolge la PA da diversi punti di vista. Uno di questi è la cybersecurity: tutte le amministrazioni dovranno tempestivamente diversificare strumenti e servizi tecnologici di sicurezza informatica prodotti da imprese legate alla Federazione Russa. E quello che per le pubbliche amministrazioni è un obbligo di legge, per le imprese costituisce una misura di mitigazione del rischio quantomeno opportuna e caldamente consigliabile
30 Marzo 2022
Carlo Mochi Sismondi
Presidente FPA
Alessio Pennasilico
Practice Leader Information & Cyber Security Advisory Team P4I - Partners4Innovation
Anna Italiano
Partner P4I - Partners4Innovation
Come avemmo modo di dire già a pochi giorni dal suo inizio, questa sciagurata guerra di aggressione ci interroga tutti. Ci chiama in prima linea a verificare i nostri valori, la nostra solidarietà, la nostra disponibilità a dare qualcosa in cambio della libertà e della democrazia che abbiamo. Una democrazia e una libertà che non ci sono arrivate per grazia ricevuta, ma ci sono state affidate da chi le ha conquistate con dolore.
Se interroga tutti noi come cittadini, la guerra non è senza conseguenze neppure per le nostre amministrazioni pubbliche. Pochi giorni fa è stato pubblicato in Gazzetta Ufficiale un Decreto-Legge, il DL 21/2022, che coinvolge le amministrazioni da più punti di vista. Oggi ci occuperemo della cyber sicurezza. Nei prossimi giorni esamineremo i temi della governance e della collaborazione con il Terzo Settore
Crisi ucraina: cosa prevede il Decreto-Legge 21/2022 per la cybersecurity nella PA
Su tutti i quotidiani e le agenzie di stampa il decreto-legge è stato battezzato come “decreto Kaspersky”, dal nome di uno dei più famosi e diffusi antivirus di fabbricazione russa, che è stato considerato un pericolo per la sicurezza informatica delle imprese e delle amministrazioni pubbliche. In realtà, da nessun documento ufficiale emerge il nome del prodotto, ma due sono le fonti che devono indurre le amministrazioni a prendere molto sul serio il pericolo. Già in un precedente articolo ne avevamo trattato, ma ora i documenti ufficiali impongono azioni coerenti e veloci.
La prima fonte da considerare è il sito del CSIRT (“Computer Security Incident Response Team-Italia”), laddove, in relazione alla situazione di guerra e ai pericoli per le infrastrutture informatiche, si legge che “tra tali tecnologie particolare rilevanza assumono quelle di sicurezza informatica per l’elevato livello di invasività rispetto ai sistemi su cui operano. Stante la necessità di disporre di tali soluzioni tecnologiche nelle infrastrutture digitali in uso, non si esclude che gli effetti del conflitto ne possano pregiudicare l’affidabilità e l’efficacia, in quanto potrebbero ad esempio influire sulla capacità delle aziende fornitrici legate alla Federazione Russa di assicurare un adeguato supporto ai propri prodotti e servizi. Alla luce di quanto sopra, l’Agenzia per la Cybersicurezza Nazionale, sentito il Nucleo per la cybersicurezza, raccomanda di procedere urgentemente ad un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate e di considerare l’attuazione di opportune strategie di diversificazione per quanto riguarda, in particolare, le seguenti categorie di prodotti e servizi:
- sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR);
- “web application firewall” (WAF);
- protezione della posta elettronica;
- protezione dei servizi cloud;
- servizi di sicurezza gestiti (managed security service).
La seconda fonte è costituita direttamente dal Decreto Legge sopra citato che, all’art.29, impone a tutte le amministrazioni pubbliche centrali e locali di procedere tempestivamente alla diversificazione dei prodotti e servizi tecnologici di sicurezza informatica prodotti da imprese legate alla Federazione Russa. A questo scopo si dispone una semplificazione delle procedure, consentendo alle stazioni appaltanti di acquistare prodotti di sicurezza informatica alternativi a quelli in utilizzo anche attraverso una procedura negoziata senza gara, qualora non sia possibile procedere attraverso le centrali di committenza (e il mercato elettronico MEPA). E non è poco.
La norma precisa, altresì, che le categorie di prodotti e servizi sono quelle volte ad assicurare le seguenti funzioni di sicurezza:
- sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed «endpoint detection andresponse» (EDR);
- «web application firewall» (WAF).
Per evitare che la “burocrazia difensiva” possa rallentare un’azione che viene evidentemente percepita come necessaria ed urgente, il Decreto al comma 4 dell’art. 29 precisa che da questa azione, e quindi dalla differenziazione degli applicativi, non possano derivare effetti tali da costituire presupposto per l’azione di responsabilità.
Cosa devono fare pubbliche amministrazioni e imprese
Per le amministrazioni pubbliche, specie quelle meno attrezzate tecnologicamente, non sarà facile adempiere al dettato del decreto con la necessaria immediatezza. È indispensabile, infatti, seguire velocemente un percorso fatto di diverse tappe, che richiede l’integrazione sinergica tra competenze legali, tecniche ed organizzative.
Inutile sottolineare come quello che per le pubbliche amministrazioni è un obbligo di legge a tutti gli effetti, per le imprese che operano nel settore privato costituisca, stante l’attuale momento storico, una misura di mitigazione del rischio quantomeno opportuna e caldamente consigliabile.
In quest’ottica, tanto che si tratti di PA, quanto che si tratti di aziende private, è opportuno preliminarmente procedere ad una ricognizione dei software in utilizzo, analizzando e valutando le previsioni contrattuali contenute negli accordi in essere con i rispettivi fornitori. Una volta identificati i prodotti e i servizi inclusi nel perimetro definito dal Decreto Legge, occorre valutare i rischi derivanti dal loro utilizzo e definire un piano per la loro gestione, tenendo conto sia di eventuali vincoli normativi e contrattuali rispetto alle possibilità di way out dagli accodi in essere, sia di eventuali requisiti di natura tecnica ed organizzativa rispetto all’implementazione di nuovi prodotti e servizi. Le azioni da mettere in campo possono variare in funzione dei rischi e degli obblighi legali identificati: dalla sostituzione o dismissione dei prodotti e servizi in uso all’integrazione di ulteriori soluzioni a tutela dell’organizzazione in ottica di diversificazione.
Prima di procedere alla dismissione e/o all’adozione di nuovi prodotti e servizi, occorre pertanto definire e prioritizzare i requisiti tecnici e organizzativi in base ai quali ricercare eventuali soluzioni alternative, anche attraverso uno scouting di mercato volto ad individuare soluzioni coerenti con le esigenze dell’organizzazione, verificando al contempo anche la disponibilità o meno negli strumenti di acquisto messi a disposizione dalle centrali di committenza. La scelta delle soluzioni più idonee deve essere effettuata in una logica risk-based, a partire da benchmark ed esperienze nell’utilizzo di tali prodotti e confrontandone le funzionalità offerte con i requisiti tecnici, organizzativi e legali di riferimento. Occorre, infatti, tener conto dei tempi e dei costi della sostituzione e dell’impatto che questa può avere sull’organizzazione e sul funzionamento delle unità operative.
Il percorso si chiude con la gestione del processo di acquisto, supportando l’organizzazione nell’identificazione dello strumento giuridico/contrattuale più idoneo per l’acquisizione della soluzione prescelta e affiancandola nel processo di contrattualizzazione, ma anche con l’accompagnamento all’introduzione di una nuova soluzione, che non è mai indolore nelle organizzazioni in generale e in quelle pubbliche in particolare.
Di fronte all’urgenza di questa azione, per evitare che quella che lo stesso CSIRT chiama elevata “invasività” dei software di sicurezza diventi il cavallo di Troia dei nostri sistemi informativi, bisogna comunque evitare scelte affrettate, prese con scarsa conoscenza del mercato e che potrebbero pregiudicare la funzionalità dei sistemi. Per le amministrazioni pubbliche, piccole e grandi, così come per le aziende private, questo percorso, se svolto efficacemente, è quindi un nuovo esame di maturità tecnologica. Noi di FPA, ICTLab e Partners4Innovation, assieme a tutto il gruppo Digital360, siamo pronti ad accompagnarle.
Crisi Ucraina e Cyber Security: partecipa al webinar
Prodotti e servizi di sicurezza informatica legati alla Federazione Russa: quando e come procedere per diversificarli o sostituirli efficacemente? Per approfondire il tema, segui il webinar in programma il 5 aprile alle ore 17:00
5 Aprile 2022