La sicurezza informatica nella PA ai tempi dell’emergenza sanitaria
La cybersecurity nella PA non è un’opzione e non deve essere percepita come una moda. La superficie di attacco è in aumento e i numerosi data breach (violazione dei dati) sono sanzionati in modo significativo ai sensi del GDPR, ma questo non sembra aumentare il livello di attenzione nel settore pubblico. È indispensabile un’accelerazione. Fornire servizi online a cittadini, imprese e professionisti ha infatti come prerequisito quello di una adeguata sicurezza del dato. Ma quali sono oggi le principali criticità?
7 Aprile 2021
Giovanni Manca
Vice Presidente Anorc - Associazione nazionale per operatori e responsabili della conservazione digitale
L’evoluzione tecnologica verso il mondo digitale ha sviluppato quella che viene chiamata da illustri esperti l’INFOSFERA, ma anche la Società dei dati o dell’Informazione. L’utilizzo della Rete è diventato indispensabile e la maggiore richiesta e il conseguente aumento dell’offerta rende critica sia la sicurezza del dato che l’elemento, strettamente associato, della protezione del dato personale (privacy). Non è un caso che il Ministro per l’Innovazione Tecnologica e la Transizione Digitale, Vittorio Colao, abbia dedicato al tema della cybersecurity nella PA uno dei punti della sua recente audizione parlamentare: “In un mondo digitale dove tutti i dati sono disponibili online è evidente che lo Stato debba rafforzare la propria capacità di difenderSI e difenderCI da attacchi cibernetici. La transizione digitale richiede uno sforzo significativo di ammodernamento della cybersecurity nazionale, che protegga sia le persone sia le infrastrutture. Sarà anche sempre più importante assicurare a imprese, PA e cittadini che hardware, software, applicazioni, e algoritmi siano e si mantengano sicuri e ispezionabili. Non da ultimo, il comparto cybersecurity ha una fondamentale importanza sul piano geostrategico, che deve collocare l’Italia chiaramente nel quadro Europeo e Atlantico. Dovremo considerare sempre più tra i beni nazionali da proteggere anche il diritto alla Privacy. La trasformazione digitale implica che gran parte delle informazioni sull’identità di una persona, molte delle quali sensibili, verranno custodite in rete. È necessario garantire, in tutto e per tutto, che questi dati siano inviolabili.”
Cybersecurity nella PA: una criticità che parte da lontano
La pubblica amministrazione non è mai stata ai massimi livelli nella sicurezza informatica, a parte alcune eccellenze associate alle amministrazioni centrali più grandi. I primi dati che evidenziavano questa situazione un po’ grigia sono nel documento del Centro Nazionale per l’Informatica nella Pubblica Amministrazione (CNIPA oggi AgID) intitolato “Primo Rapporto sullo Stato della Sicurezza ICT delle PAC”. Negli anni la situazione è decisamente migliorata anche per una serie di normative che hanno affrontato il tema in modo efficace (oggi l’articolo 51 del Codice dell’Amministrazione Digitale), ma ancora la situazione è sotto i livelli minimi per affrontare il rischio reale che corre la sicurezza del dato e la sua protezione in termini di privacy.
L’impatto dell’emergenza sanitaria
L’emergenza ha aumentato l’appena citato rischio, perché lo smart working ha fisiologicamente aumentato la superficie esposta agli attacchi, sia presso i sistemi centrali che hanno dovuto “aprire” al lavoro da remoto, ma anche per il rischio dovuto alle attività del personale non adeguatamente formato sui temi della cybersecurity. Per quanto attiene ai siti web della PA il CERT-PA di AgID ha recentemente pubblicato i risultati del “Monitoraggio sul corretto utilizzo del protocollo HTTPS e dei livelli di aggiornamento delle versioni dei CMS nei portali Istituzionali della PA” dove si conferma che la situazione è negativa. Solo il 9% dei domini analizzati è sufficientemente sicuro.
Cosa prevede la normativa
Come stabilito nei vari Piani Triennali per l’Informatica, le pubbliche amministrazioni dovrebbero avere una specifica attività sui temi della sicurezza ICT. Nel vigente Piano 2020-2022 un intero capitolo (il 6°) è dedicato al tema. L’analisi della situazione interna ad una specifica pubblica amministrazione dovrebbe utilizzare il documento sulle “Misure di Sicurezza” pubblicato da AgID con la Circolare 18 aprile 2017, n. 2/2017. Le checklist allegate alla Circolare sono a cura del Responsabile per la Transizione al Digitale (RTD), che sottoscrive digitalmente ogni aggiornamento.
Gli obblighi per la pubblica amministrazione in termini di protezione dei dati personali dovrebbero essere coordinati con la gestione della cybersecurity per evitare duplicazioni, mancato allineamento delle attività e comunque minore gestione del rischio. In altre parole la collaborazione tra RTD e RPD/DPO è indispensabile ed è fondamentale che sia continua e coordinata.
Ma un elemento importante è che la sicurezza nella pubblica amministrazione non è un’opzione: la normativa europea sulla protezione dei dati personali obbliga a misure di sicurezza specifiche e rigorose con sanzioni pesanti per le inadempienze; la cosiddetta Direttiva UE NIS e il relativo Perimetro di sicurezza impongono la protezione dei propri servizi con adeguate misure di sicurezza con obblighi sulla vigilanza interna e anche in questo caso al rischio di sanzioni elevate. Infine abbiamo il Codice dell’Amministrazione Digitale che, spingendo verso il digitale, richiede un approccio nella gestione del dato digitale.
La cybersecurity non deve essere percepita come una moda, infatti basta consultare il Global Risk Report del World Economic Forum per rendersene conto. La superficie di attacco è sempre di più in aumento, perché aumenta il numero degli utenti e con essi gli indirizzi IP, il traffico di rete e il volume di dati che questo trasporta. Anche il settore dell’Internet Of Things (IOT) contribuisce ad aumentare la complessità del sistema. I numerosi data breach (violazione dei dati) sono anche sanzionati in modo significativo ai sensi del Regolamento europeo sulla protezione dei dati personali (Regolamento 679/2016 – GDPR), ma questo non fa aumentare il livello di attenzione nel settore pubblico.
Tutto ciò premesso vediamo quali sono le criticità di base e quindi, magari, le meno analizzate.
Le principali criticità
L’anello debole della catena è, suo malgrado il dipendente generico, in generale non adeguatamente preparato sui temi della cybersecurity. Una preparazione insufficiente porta a trascurare la sicurezza di base della propria postazione di lavoro soprattutto se non è gestita direttamente dall’Ente (per esempio comunicazioni in chiaro, antivirus non aggiornato, sistema operativo non aggiornato, e così via).
In tempi di emergenza sanitaria sono aumentati gli attacchi via posta elettronica con preferenze per il phishing e il ransomware. Non c’è la giusta sensibilità (ma gli attacchi sono sempre più sofisticati) per evitare la malevola diffusione di credenziali di accesso o la perdita di dati per cifratura o cancellazione degli stessi. Gli attacchi ransomware richiedono anche un riscatto. Il pagamento dello stesso non è ovvio sia per limiti legali, specialmente nella pubblica amministrazione, e comunque non assicura il recupero della situazione a prima dell’attacco.
Un piccolo manuale per il dipendente dovrebbe essere sempre disponibile.
Ulteriori criticità sulla sicurezza dei sistemi della pubblica amministrazione sono state evidenziate nel censimento effettuato da AgID nell’ambito della razionalizzazione dei sistemi informativi. Il passaggio al cloud apporta benefici per la sua natura operativa, ma anche qui le azioni di progettazione, messa in opera e controllo non sono banali e comunque diffuse.
Cybersecurity nella PA: è tempo di cambiare passo
La pubblica amministrazione nell’INFOSFERA e nella Società dei dati e dell’informazione deve cambiare passo. L’offerta di servizi in rete fa aumentare il rischio in maniera drastica. I dati si avvicinano logicamente al perimetro controllato della sicurezza e risulta più facile che essi siano violati. La previsione politica evidenziata all’inizio con la dichiarazione del Ministro Colao è un segnale di cambiamento da valutare con ottimismo se ci sarà l’adeguata attuazione. Un’attuazione che non deve essere di facciata, di adempimento, ma efficace ed efficiente.
Il Responsabile per la transizione al digitale (RTD) ha tra i compiti attribuiti all’Ufficio anche “indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1”. Per svolgere questo specifico e cruciale compito il RTD deve coordinarsi con altre figure professionali dell’Ente come i Responsabili della Gestione Documentale, della Conservazione Digitale, dei Sistemi informativi e della Protezione dei Dati. La sicurezza dovrebbe essere organizzata in modo indipendente e organico per ogni livello rispondendo gerarchicamente direttamente alla Direzione dell’Ente.
L’offerta tramite CONSIP è vasta e questo consente anche di semplificare l’acquisizione di beni e servizi sulla sicurezza in modo più agile e veloce. L’AgID tramite il CERT-PA ha iniziato ad erogare dei corsi specifici per il RTD. I materiali di questi corsi sono disponibili online. Questi corsi sono previsti dal Piano Triennale nell’ambito della cybersecurity awareness e dovrebbero essere ripetuti periodicamente. Una erogazione in modalità e-learning sarebbe auspicabile.
In conclusione, come per tutto il percorso digitale della pubblica amministrazione è indispensabile un’accelerazione. Fornire servizi online a cittadini, imprese e professionisti ha come prerequisito quello di una adeguata sicurezza del dato. Più aumenteranno i servizi e più il dato sarà a rischio di violazione. Questa è la Società dell’informazione e, quindi, il dato che porta informazione, ove violato, mette a rischio la qualità della stessa vita sociale. È finito il tempo delle dichiarazioni ed è giunto il momento della messa in opera per evitare, come spesso accade, di agire dopo che è successo il fatto.