Gli standard italiani vanno avanti, ma non basta: ora tocca alla collaborazione tra PA (e ad Agid)

Framework Nazionale e standard di sicurezza per la PA. Sono i temi di cui si sta discutendo di più nell’ambito del CantierePA sulla sicurezza (anche negli incontri tenuti a Forum PA 2016). Allo stesso tempo, si tratta di un approccio seguito da tutti i paesi avanzati ed è impiegato non solo per la Cyber Security, ma per tutti quei settori in cui si voglia garantire la sicurezza, l’interoperabilità, la qualità e la “safety”.

Settori come i trasporti, l’energia e le telecomunicazioni adottano standard da anni per consentire l’erogazione in sicurezza di servizi critici. Lo stesso può essere fatto per la Cyber Security.

Negli Stati Uniti d’America, nel Dicembre del 2002, il 107° congresso approvava l’E-Government Act (Legge 107-347), trasformato poi in legge dal Presidente. La legge ribadisce l’importanza della sicurezza delle informazioni e dei sistemi informativi a tutela della sicurezza nazionale ed economica. Il titolo III della legge è definito Federal Information Security Management Act ( FISMA) e obbliga tutte le amministrazioni a sviluppare, documentare e implementare un programma complessivo per rendere sicuri i servizi e le informazioni. Il programma che ogni agenzia deve sviluppare è costruito sulla base dei principi di gestione del Rischio (Risk Management) e sulla base dei controlli forniti dagli standard prodotti dal NIST – National Institute for Standard and Technology. Il NIST produce la serie “800” di standard: si tratta di oltre un centinaio di standard che spaziano dai controlli di base del famoso NIST SP 800-53rev4 a standard estremamente dettagliati su aspetti specifici come Crittografia, applicazioni mobili, email sicura, Wifi, controllo accessi, bluetooth, testing, ecc.

Ogni agenzia è poi soggetta ad un processo di certificazione ad opera di enti accreditati dal governo e ad audit periodici. L’inadempienza agli obblighi imposti dal FISMA comporta un intervento disciplinare nei confronti del CIO.

Lo stesso percorso è stato intrapreso da molti altri paesi Europei come Regno Unito, Germania, Francia e Olanda. In quasi tutti i casi gli obblighi sono stati estesi anche ai fornitori della Pubblica Amministrazione, con il duplice obiettivo sia di rendere sicuri i servizi della PA attraverso anche la filiera, sia di introdurre pratiche di sicurezza anche nel settore privato. E’ il caso del Regno Unito che ha introdotto lo schema denominato “Cyber Essentials”, pensato per venire incontro anche alle esigenze degli operatori più piccoli.

In Italia un primo passo è stato fatto con l’adozione del Framework Nazionale di Cyber Security, lanciato dal Laboratorio Nazionale di Cyber Security presso il CINI il 4 febbraio 2016. Il framework non è sufficiente: è necessario che Agid definisca un proprio schema di compliance, identificando gli standard di riferimento e le modalità di accreditamento/certificazione e audit. E’ un percorso complesso, ma che va assolutamente iniziato per non accumulare ulteriori ritardi. Inoltre, è auspicabile che vi sia un coordinamento fra le varie iniziative: Agid dovrà identificare quali schemi di standardizzazione e compliance utilizzare, evitando di andarne a scrivere di nuovi vista l’abbondanza di Standard disponibili, a partire dal NIST e dagli standard prodotti dall’ISO (in particolare gli standard della sub-committe 27, tra cui il famoso ISO/IEC 27001), tra l’altro già ampiamente adottati con successo dal settore privato.

L’altro aspetto rilevante riguarda il coordinamento e la condivisione di risorse e capacità tra le amministrazioni: poiché va recuperato un ritardo di almeno dieci anni, sarà molto difficile trovare le risorse umane ed economiche necessarie. Pertanto, il successo di qualsiasi iniziativa non può prescindere da una strategia complessiva ed una orchestrazione centrale che dovrà far leva su sinergie e sviluppo di capabilities condivise, che potranno far leva su grandi progetti come la riduzione dei Data Center e la migrazione verso il Cloud.

I lavori del tavolo proseguiranno nei prossimi mesi e si concentreranno sul rendere concrete le proposte descritte, fornendo da un punto di vista di esperti del settore un percorso ragionevole e realistico per portare la sicurezza della PA a livelli minimi per un paese avanzato come l’Italia.