Cybersecurity nella Pubblica Amministrazione: Garantire la Continuità dei Servizi attraverso la Sicurezza Integrata
Il contesto normativo
Da un punto di vista normativo, i principali riferimenti sono rappresentati dall’art. 51 del Codice dell’Amministrazione Digitale (CAD) e dall’art. 32 del Regolamento Generale sulla Protezione dei Dati (GDPR). Entrambe le discipline sottolineano l’obbligo di garantire la confidenzialità, la riservatezza e l’integrità dei dati. Inoltre, stabiliscono l’importanza di implementare procedure per garantire la continuità dei servizi e il ripristino tempestivo dei sistemi in caso di incidenti fisici o tecnici. Vi sono anche altre misure, obiettivi ed azioni da rispettare in tema di sicurezza informatica nel Piano Triennale per l’Informatica delle PA 2024-2026 che richiamano alla necessità di redigere uno specifico piano di sicurezza.
Tutte queste disposizioni esigono adempimenti che, il più delle volte, si ripetono. Ragion per cui diventa importante coordinare le attività, in modo da non replicare i processi finalizzati a garantire la sicurezza. La chiave per bilanciare il contesto normativo e tecnologico è la gestione organica e strutturata del processo e, nel contesto delle pubbliche amministrazioni, particolare importanza assumono in materia le Linee guida e le circolari messe a disposizione dall’Agenzia per l’Italia Digitale (Agid).
Il contesto organizzativo
In qualsiasi organizzazione, la sicurezza informatica si articola in un processo che coniuga aspetti di natura tecnica ed economica, i quali convergono nel contesto organizzativo. A conferma dell’importanza della sicurezza informatica per gli enti pubblici, il CAD all’art. 17 introduce, nel contesto organizzativo della struttura pubblica, la figura del “Responsabile per la Transizione Digitale” (RTD). Uno dei principali compiti dell’RTD consiste nel sensibilizzare i vertici dell’amministrazione sulla consapevolezza dei rischi da attacco informatico, promuovendo delle best practice in ambito della protezione dei dati e servizi digitali. Questo include la facilitazione di sessioni formative, la diffusione di informazioni sulle minacce attuali e la promozione di politiche e procedure di sicurezza per garantire un ambiente digitale resiliente.
A parità di sistemi di protezione e dotazioni tecnologiche, è ormai un fatto consolidato che il punto critico nella catena della sicurezza informatica di un’organizzazione risieda nelle persone. Ciò sottolinea la necessità di gestire la sicurezza informatica attraverso precise azioni organizzative e decisionali, partendo dai vertici delle amministrazioni. È di fondamentale importanza agire su tre fronti principali: fornire linee guida per l’uso sicuro degli strumenti ICT (come previsto dall’art. 12 comma 3-bis del Codice dell’Amministrazione Digitale – CAD), implementare una formazione continua del personale per diffondere la consapevolezza sull’importanza della sicurezza informatica e sui suoi impatti sull’organizzazione (conformemente all’art. 13 del CAD), e infine, considerare nell’ambito dei contratti ICT specifiche garanzie da parte dei fornitori per garantire il rispetto dei requisiti minimi di sicurezza.
Il contesto tecnologico
Dal punto di vista tecnologico, i principali parametri di riferimento comprendono le Misure Minime di Sicurezza ICT per la Pubblica Amministrazione (allegate al n. 2/2017 da parte di Agid). Altri standard di riferimento fondamentali includono le Critical Security Controls della CIS (CIS CVS v.8), le linee guida dell’OWASP e le disposizioni della norma ISO 27001.
Le Misure Minime di Sicurezza di Agid delineano obiettivi di sicurezza (ABSC) suddivisi in criteri minimi (misure al di sotto delle quali nessuna PA può scendere), criteri standard (misure di best-practice per tutte le PA) e criteri avanzati (misure ottimali).
Nella pubblica amministrazione, la sicurezza informatica è essenzialmente il risultato di un processo organizzativo che comprende tecnologie informatiche rispondenti a precise caratteristiche di robustezza, non diverse da quelle normalmente utilizzate nel contesto privato. Anche la strategia italiana per il cloud, pur presentando aspetti che vanno attentamente valutati nel contesto delle pubbliche amministrazioni, rappresenta ad oggi un’opportunità da considerare nella scelta delle soluzioni tecnologiche sicure ed affidabili.
La fase di identificazione
La pianificazione della sicurezza informatica inizia con la fase di “Identify”, in cui vengono individuati, definiti e catalogati tutti gli asset dell’organizzazione. Per asset si intendono tutte le componenti tecnologiche dell’infrastruttura, i servizi, le applicazioni e i dati, nonché le componenti organizzative (persone) e fisiche (spazi e luoghi di lavoro).
La fase successiva è quella del “Risk Assessment”, in cui viene calcolato il livello di rischio, tenendo conto della probabilità che una minaccia sfrutti una specifica vulnerabilità a cui un asset potrebbe essere esposto.
La fase di protezione
Una volta che gli asset e il relativo livello di rischio sono stati identificati, si può procedere alla fase di “Protect”. Sul mercato, sono disponibili numerose soluzioni tecnologiche di protezione, spesso specializzate nella mitigazione di specifici rischi. Pertanto, è consigliabile adottare un approccio complementare che coinvolga diversi sistemi di protezione. In linea generale, e facendo riferimento anche alle misure minime di sicurezza, è possibile categorizzare le tecnologie di protezione in quattro livelli specifici: sistemi di protezione perimetrali (come i Next-Generation Firewall), sistemi di protezione degli end-point (quali antivirus e antimalware), sistemi di autenticazione e autorizzazione (come Identity Manager) e sistemi di demilitarizzazione della rete (tramite VLAN). Il funzionamento ottimale di queste soluzioni tecnologiche dipende dalla capacità dell’organizzazione di mantenerle costantemente aggiornate e patchate.
La fase di difesa
Il campo di protezione spesso non è sufficiente per garantire un livello completo di sicurezza dei sistemi, e pertanto è essenziale includere una specifica fase di difesa proattiva “Detect”. Anche in questo contesto, esistono diverse soluzioni commerciali che consentono di mitigare il rischio prima che si manifesti. Alcuni prodotti di riferimento riguardano la rilevazione proattiva dei controlli degli accessi (come gli IDS – Intrusion Detection System e i NAC – Network Access Control), la rilevazione proattiva delle minacce (come gli IPS – Intrusion Prevention System, SIEM – System Information and Event Management, DLP – Data Loss Prevention, ecc.), e sistemi in grado di fornire un monitoraggio trasversale dell’intero perimetro di sicurezza (come SOC – Security Operation Center e NOC – Network Operation Center).
La fase di risposta e ripristino
Nel contesto della sicurezza informatica, è cruciale integrare nella gestione della sicurezza anche le fasi di “Response” e “Recovery”. Queste fasi sono volte a gestire, rispettivamente, la comunicazione durante un attacco informatico e il ritorno alla normalità dopo l’incidente.
Nella fase di risposta a un attacco informatico, è essenziale gestire le comunicazioni interne ed esterne in modo tempestivo ed efficiente per mitigare possibili ulteriori danni causati dall’incidente. Un approccio comunicativo incentrato sulla massima trasparenza ed apertura verso l’esterno può favorire lo scambio di informazioni e una cooperazione di valore nella gestione dell’emergenza.
La fase di ripristino è volta a ristabilire rapidamente la piena operatività dell’organizzazione e deve essere disciplinata da un apposito piano contenente i soggetti, i compiti e le azioni da eseguire. A questa fase segue la fase di “Mitigation”, il cui obiettivo è riprogettare la sicurezza informatica dell’organizzazione. Questa fase ricalca l’intero processo di pianificazione, iniziando dalla fase di “Identify”, seguendo la logica del miglioramento continuo.
Conclusione
La crescente attenzione da parte degli attacchi informatici, in particolare rivolti verso le amministrazioni è strettamente legata a l’accelerato processo di transizione digitale delle PA, agevolato dalle misure del Piano Nazionale di Ripresa e Resilienza (PNRR). In questo contesto, è cruciale per la Pubblica Amministrazione gestire la sicurezza informatica come elemento di processo. Ciò implica assicurare la confidenzialità, integrità e disponibilità dei dati e dei servizi, seguendo principi “by design” e “by default”.
Articolo a cura di Daniele De Simone
Laurea in ingegneria informatica con master di specializzazione in sicurezza informatica e disciplina giuridica. Coordinatore dei sistemi informativi associati dell’Unione delle Terre d’Argine, dove si occupa di assicurare che i servizi esterni ed i processi informatici interni dell'Ente siano continuativi ed adeguati agli standard nazionali. Incaricato in più occasioni dal Tribunale come tecnico specializzato in computer forensics. Incaricato a collaborazione per la stesura del “Libro bianco sull’innovazione della PA” approvato il 29 Novembre 2018 dal Ministro per la Pubblica Amministrazione Giulia Buongiorno.