Cybersecurity: come garantire la sicurezza dei dati fra emergenza sanitaria e smart working

L’emergenza sanitaria Covid 19 ha innescato molti cambiamenti, nella vita privata delle persone, come nella loro attività lavorativa. Nelle aziende private e nella Pubblica Amministrazione, nuove necessità, nuovi contesti si sono delineati in questi ultimi sei mesi: nuove criticità e nuove sfide da vincere si sono imposte, non ultima quella legata alla sicurezza dei dati. Un tema che ha sicuramente interessato da vicino le ICT in house di tutto il territorio nazionale, soprattutto perché, in una fase che ha visto molti dipendenti optare per la formula dello smart working, la cyber security è divenuta un aspetto ancora più prioritario.

«Dal punto di vista della gestione del nostro lavoro, l’emergenza sanitaria non ci ha colti impreparati: la quasi totalità dei dipendenti di Insiel avevano già in dotazione pc portatili e cellulari aziendali, cosa che ha reso possibile, per chi lo desiderava, attivare la modalità “smart working”» dichiara Diego Antonini, Presidente e AD di Insiel SpA «All’inizio dell’emergenza sono stati circa 600 i colleghi e le colleghe che hanno deciso di aderire alla modalità di lavoro agile. Alcune professionalità hanno necessariamente continuato a svolgere le loro mansioni in presenza: mi riferisco a settori come quelli che si occupano della Gestione delle nostre sedi e della logistica, quelli dedicati alla post elaborazione, i colleghi del Data Center, del Customer Service Desk, i colleghi che presidiano le sedi regionali e quelli dei Servizi tecnici estesi».

Per quanto l’emergenza sia un fatto inedito nell’esperienza di tutti noi e sebbene la sua evoluzione non sia ancora del tutto certa, Insiel, grazie alle predisposizioni tecniche, ha potuto proseguire le sue attività da remoto: da circa due anni tutte le postazioni pc fisse sono state eliminate. «Il fatto di passare da una situazione in cui telelavoro e smart working rappresentavano delle eccezioni a una adesione a queste formule quasi totale ha rappresentato comunque un cambiamento» afferma Antonini «ma la capacità di farvi fronte non è mancata. Insiel ha anche implementato e potenziato i suoi piani di crisis management e business continuity».

La situazione, per quanto riguardava la Regione Friuli Venezia Giulia, gli Enti Locali e la Sanità regionale, era sicuramente diversa. Non tutti i dipendenti erano dotati di dispositivi portatili, questione che ha posto il dubbio sull’opportunità o meno di permettere di lavorare in modalità agile utilizzando il proprio pc personale. «L’orientamento» spiega Antonini «è stato quello di preservare innanzitutto la sicurezza dei dati, cose che non sarebbe stata garantita consentendo l’utilizzo di dispositivi privati».

«Un dispositivo privato» aggiunge Diego Mezzina, Manager Sicurezza ICT & Privacy di Insiel «comporta una serie di rischi legati al fatto che potrebbe trattarsi di un pc non aggiornato o obsoleto, non dotato di software antivirus. Oppure potrebbe trattarsi di un dispositivo in cui sono installati dei programmi che possono comportare il trasferimento di dati al di fuori del perimetro del dispositivo stesso. Il problema riguarda dunque la riservatezza dei dati: basti pensare, ad esempio, alle azioni di sincronizzazione verso il cloud da parte di programmi di comune utilità largamente utilizzati per finalità “domestiche”. Inoltre, i dispositivi privati possono essere accessibili da parte di più soggetti, anche senza meccanismi di autenticazione o autorizzazione». A ciò si aggiungono sistemi di backup o affidabilità non sempre adeguati,  l’utilizzo di programmi che non rispettano le disposizioni sul copyright o non coperti da licenza. Il rischio di virus e malware (keylogger, spyware, ransomware, bot, …) è fortemente in agguato, assieme al rischio della perdita di disponibilità di documentazione dell’Amministrazione nella fase di “lavorazione” sulla postazione del dipendente.

L’emergenza ha sicuramente messo alla prova la capacità degli Enti di garantire la continuità dei servizi a fronte dell’indisponibilità di fatto delle sedi fisiche. «La situazione era piuttosto eterogenea sia dal punto di vista delle dotazioni informatiche che delle procedure che l’Ente aveva per abilitare il lavoro da remoto» spiega ancora Mezzina «Le realtà più “fortunate” avevano già dotato i dipendenti di pc portatili ad uso esclusivo, altre facevano uso di postazioni desktop. Alcune avevano già pensato a delle soluzioni per l’accesso alle informazioni in mobilità, altre operavano in un regime di tutela del dato basato sulla totale segregazione dell’accesso dalle reti internet».

A fronte di una consapevolezza circa le necessità e i rischi piuttosto elevata tra gli operatori, la necessità di abilitare il lavoro da remoto in emergenza ha aumentato i rischi che insistono sulle informazioni. «Tra lavoro “tradizionale” e lavoro “agile” ci sono sicuramente delle differenze sostanziali, che devono essere correttamente gestite: anche per questo motivo Insiel ha organizzato attività formative mirate» afferma il Manager per la Sicurezza ICT & Privacy di Insiel.

Le soluzioni che sono state messe in campo da Insiel per contribuire a gestire i rischi che sono indotti dallo smart working sono state diverse, a seconda della situazione contingente.

In particolare l’azienda ha attivato e garantito il sistema VPN – Virtual Private Network – che consente di creare un canale di comunicazione «sicuro» (vale a dire autenticato e crittografato) dal dispositivo aziendale del dipendente alla rete dell’Ente: nel periodo tra il 12 di marzo e il 13 di maggio i dati di accesso VPN palano di circa 2.600 utenti, già al 31 marzo, un valore che è rimasto stabile tra aprile e maggio, raggiungendo un massimo di circa 2.800 utenti connessi. Tra questi, 500 gli accessi dei dipendenti stessi di Insiel, 70-100 gli accessi da parte di ditte esterne e circa 1.800 da parte di utenti regionali. Le rimanenti utenze si sono suddivise fra Enti locali (270) e Sanità (130).

A partire da metà maggio Insiel ha continuato a monitorare l’accesso VPN in termini quantitativi, registrando tuttavia una graduale riduzione del numero di accessi nei mesi di luglio ed agosto. Nell’ultima settimana, il numero massimo di accessi VPN giornalieri registrato dal sistema di monitoraggio è di 1.500. Parallelamente, l’azienda ICT in house della Regione FVG ha implementato un’infrastruttura di accesso remoto basata su un portale a cui gli utenti si collegano via browser ad un portale dal quale hanno accesso solo al pc di competenza, con limitazioni di sicurezza impostabili, tra cui la limitazione del trasferimento dei dati su pc locale o la limitazione della stampa delle informazioni, in modo da evitare “aperture” della rete interna verso la rete internet. I dati evidenziano che fra Regione Friuli Venezia Giulia, Enti locali del territorio e Sanità, nel periodo da fine marzo ad oggi, sono stati 1362 i collegamenti remoti attivati, così ripartiti: 320 Regione, 392 EELL, 650 Sanità.

A fronte dell’esperienza maturata nel periodo dell’emergenza sanitaria, la Regione Friuli Venezia Giulia ha espresso l’intenzione di intraprendere un percorso di ammodernamento dell’hardware a disposizione dei dipendenti e di implementare la dotazione di pc portatili in ordine da favorire il lavoro da remoto.