Perché le PA hanno bisogno di piani di sicurezza IT risk-based
Lo scorso 25 febbraio, il tavolo di lavoro organizzato da FPA in collaborazione con Veritas Technologies, a cui hanno partecipato i responsabili della sicurezza delle principali amministrazioni italiane, si è confrontato sulle practice utili ad una pianificazione strategica a lungo termine degli interventi di sicurezza, basata su una valutazione dei rischi connessi alle recenti evoluzioni tecnologiche
4 Marzo 2021
Eleonora Bove
Digital Content Strategist, FPA
Il diffondersi dell’epidemia da Covid-19 ha cambiato il nostro modo di lavorare, interagire in rete e svolgere le consuete attività quotidiane. L’impiego massiccio di modalità di lavoro agile o anche smart working, che a causa dello stato emergenziale è avvenuto in molti casi senza un’adeguata pianificazione e valutazione delle dotazioni tecnologiche dell’amministrazione, ha facilitato l’insorgenza di nuovi attacchi informatici.
Dati sulla sicurezza delle infrastrutture digitali pubbliche
Le segnalazioni pervenute alla Polizia Postale e delle Comunicazioni da gennaio ad aprile 2020 hanno registrato un incremento del + 171% rispetto allo stesso periodo del 2019. Stesso trend registrato per le segnalazioni pervenute al CERT-PA: +296%. Gli attacchi a mezzo malware, soprattutto di tipo ransomware, sono stati quelli hanno maggiormente impegnato gli operatori del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.
Questa tipologia di attacchi con finalità estorsiva, già molto diffusa, ha trovato nuove e più invasive forme nel contesto dell’emergenza sanitaria, dove modalità di lavoro a distanza e la progressiva adozione di sistemi in cloud hanno aumentato la vulnerabilità delle infrastrutture pubbliche.
Infine, a confermare che i sistemi informativi delle pubbliche amministrazioni sono uno dei target privilegiati del cybercrimine è anche l’ultimo Documento di Sicurezza Nazionale, redatto dal Dipartimento delle informazioni per la sicurezza e concernente le attività di protezione delle infrastrutture critiche materiali e immateriali. Secondo i dati del DIS, nel 2019 il 73% del totale degli attacchi ha riguardato le amministrazioni centrali e locali. Un trend già registrato nel 2018. In particolare, sono i Ministeri principali a registrare il maggiore aumento degli attacchi (10%), mentre scendono al 16% del totale, con una contrazione di oltre 20 punti percentuali, quelli a danno di assetti IT di enti locali.
Tra gli elementi dell’infrastruttura pubblica, considerati più vulnerabili ci sono siti istituzionali. Agid ha pubblicato i risultati dei test condotti a dicembre 2020 e richiesti dal Piano triennale per l’informatica 2020-2022, rivelando che il 67% dei domini pubblici presenta “gravi problemi” di sicurezza. Una forte criticità se consideriamo che il punto di accesso ai servizi digitali sono i portali istituzionali, che possono diventare la porta di ingresso di attacchi ransom.
Indagine sulla resilienza agli attacchi ransomware in EMEA
Anche il settore privato non è lontano dal rischio. I dati raccolti nel corso di un’indagine condotta a livello globale da Wakefield Research e commissionata da Veritas Technologies, su quasi 2.700 leader e professionisti IT in 21 paesi, mostrano che la pianificazione della sicurezza non è riuscita a stare al passo con l’aumentare della complessità dell’infrastruttura (virata fortemente verso il cloud), creando così un significativo gap di resilienza.
Con particolare riferimento all’Italia, è il 60% degli intervistati a evidenziare questo ritardo, mentre il 45% ha dichiarato di aver subito almeno un attacco ransomware, contro il 38% in tutta l’area EMEA. E sempre più del 40% si dice consapevole dell’aumento di questo tipo di attacchi e “preoccupato” per la potenziale perdita di dati che ne deriva.
A gravare sono anche delle scelte poco lungimiranti: il 69% degli intervistati di Wakefield Research afferma che la propria azienda non ha aumentato o ha aumentato solo leggermente il proprio budget per la sicurezza informatica dall’inizio della pandemia di COVID-19. E solo il 13% degli intervistati italiani ha dichiarato che la propria azienda segue le best practice raccomandate, che prevedono di avere tre copie dei propri dati, con una copia off-site e una off-line.
Infine, solo il 56% delle aziende italiane intervistate ha testato negli ultimi tre mesi il proprio piano di disaster recovery. Una cadenza meno regolare rispetto alle loro controparti globali: il 60% negli ultimi tre mesi ha effettuato test sul piano.
Punti di attenzione per una strategia della resilienza
Lo scorso 25 febbraio, il tavolo di lavoro organizzato da FPA in collaborazione con Veritas Technologies, a cui hanno partecipato i responsabili della sicurezza delle principali amministrazioni italiane, si è confrontato sulle practice utili ad una pianificazione strategica a lungo termine degli interventi di sicurezza, basata su una valutazione dei rischi connessi alle recenti evoluzioni tecnologiche.
Il “fattore umano” ovvero l’inconsapevolezza del rischio cyber resta, a detta di tutti i partecipanti al tavolo, uno degli elementi più critici da prevedere e per cui vanno previste azioni di formazione ad hoc. Come indicato dal Piano Triennale 2020 – 2022, che fa leva sul tema della consapevolezza del rischio cyber e sulla necessità di un suo incremento. Il Piano prevede – tra le altre – azioni di sensibilizzazione rivolte agli RTD sulle tematiche cybersecurity a carico di AgID, del Dipartimento Trasformazione Digitale e delle stesse pubbliche amministrazioni.
In conclusione, per colmare il gap e implementare una vera strategia improntata alla resilienza, con un piano predefinito in cui ci sia visibilità in tempo reale di stato, monitoraggio e recupero automatico dei dati, il tavolo ha convenuto su alcuni punti chiave:
- Backup: approccio “3-2-1”, ossia un minimo di tre copie dei dati, in due sedi diverse, di cui almeno una off-site.
- Test mensili sul piano disaster recovery: dati e applicazioni stanno cambiando così rapidamente, che effettuare le prove meno frequentemente aumenta il rischio di non poter eseguire il DR quando necessario. Avere un piano di disaster recovey testato e aggiornato è fondamentale.
- Aggiornamenti frequenti di patch di sicurezza e delle nuove release.
- Crittografia dei dati: per evitare che i flussi di dati in transito sulla rete vengano compromessi.
- Archiviazione non modificabile: per impedire che il ransomware crittografi o cancelli i backup.
- Gestione degli accessi: è necessario implementare un controllo degli accessi basato sui ruoli e limitare l’accesso alle sole funzionalità necessarie a singoli utenti e ruoli.