Perché la PA ha bisogno di Chief Information Security Officer

Home PA Digitale Sicurezza Digitale Perché la PA ha bisogno di Chief Information Security Officer

L’Italia è al settimo posto nel mondo per attacchi malware e ransomware subiti e, tra tutte le organizzazioni italiane colpite, la PA compare al secondo posto. Come riuscire a guardare oltre quello che accade sulla superficie dei nostri sistemi? FPA e Trend Micro si sono confrontate con la community dei Ciso pubblici di FPA

11 Novembre 2021

F

Redazione FPA

Foto di Iswanto Arif on Unsplash - https://unsplash.com/photos/KXtMGheovdw

Il problema degli attacchi informatici alle infrastrutture della PA ha assunto proporzioni preoccupanti: nell’ultimo anno l’Italia ha tristemente conquistato il settimo posto nel mondo per attacchi malware e ransomware subiti e, tra tutte le organizzazioni italiane colpite, la PA compare al secondo posto. Da qui l’importanza di una strategia di sicurezza che coinvolga l’intera organizzazione e di un rafforzamento della consapevolezza del rischio tra i dipendenti pubblici. Questi i temi messi sul tavolo da relatori e partecipanti, Chief Information Security Officer delle principali amministrazioni italiane, nel corso dell’incontro riservato dal titolo: “Cybersecurity, soluzioni per vedere oltre ciò che accade in superficie”, organizzato da FPA in collaborazione con Trend Micro, lo scorso 4 novembre.

Il professor Michele Colajanni, del Dipartimento di Informatica – Scienza e Ingegneria, dell’Università di Bologna, che ha aperto i lavori, ha parlato di “distrazioni della PA” nel fare riferimento all’attenzione riservata alla tecnologia e agli aspetti organizzativi, ma non alla cybersecurity, perché è ancora scarsa – a suo avviso – la consapevolezza di tutti i dipendenti e dirigenti delle amministrazioni sul tema.

Le “distrazioni” della PA

Ma vediamo quali sono, in sintesi, le “distrazioni” imputabili alla PA secondo il prof. Colajanni:

  • la PA si è concentrata sulla digitalizzazione per adeguarsi alle direttive del Piano Triennale AgID, dimenticando che la vulnerabilità dei sistemi cresce proporzionalmente alla complessità delle architetture. Oggi, quindi, c’è un gap da colmare, a cominciare dalla progettazione di servizi security by design;
  • la PA non ha compreso che le figure storicamente dedicate all’IT non sono sufficienti per governare la digitalizzazione moderna. Sono necessarie figure dedicate a tutte le implicazioni della Trasformazione digitale, dunque anche e soprattutto la sicurezza informatica. In altre parole, i CISO (Chief Information Security Officer).

Attaccanti creativi e vulnerabilità manifeste

Sul tema Alessandro Fontana, Head of Sales Italy di Trend Micro, ricorda i dati delle ultime ricerche ufficiali e in particolare di dati Shodan che evidenziano che attraverso gli strumenti di Open Source INTelligence (OSINT), sono state rilevate quasi 496.000 vulnerabilità che affliggono i sistemi della Pubblica Amministrazione nel suo complesso.

“Gli attacchi informatici sono sempre più raffinati e specifici – ha spiegato Fontana – . La nostra attività di malware detection ha rilevato che nel 2020 le varianti uniche più performanti degli attacchi erano ben 243.000. In un anno in cui gli attacchi informatici sono cresciuti del 171% (fonte: Polizia Postale), noi di Trend Micro abbiamo rilevato un incremento del +296% in termini di segnalazioni da parte della PA”.

E allora, cosa può fare la cybersecurity? E come la PA può governarla?

La sicurezza informatica richiede una visione olistica. “L’IT non ha sufficienti competenze, né potere, per gestire in maniera sistemica la cybersecurity moderna – avverte il prof. Colajanni -. È necessario che il CISO (Chief Information Security Officer) sia una figura responsabile, autonoma, super partes e specializzata, che riporti solo al CEO”. Una figura, quindi, centrale che possa collaborare con tutti i livelli dell’organizzazione.

La cybersecurity è un lavoro sartoriale

Inoltre, la PA deve fare i conti anche con infrastrutture e parchi applicativi vetusti. Il dibattito fra i partecipanti all’evento ha fatto emergere criticità tecniche di difficile risoluzione (problemi di integrazione, di standard…), considerati gli enormi investimenti che sarebbero necessari.

Nel futuro prossimo, grazie ai fondi derivanti dal PNRR, le risorse non dovrebbero mancare, ma – hanno fatto notare alcuni presenti – gli acquisti per potenziare la cybersecurity dovrebbero seguire una precisa strategia, in linea con le esigenze, gli obiettivi dell’amministrazione e le infrastrutture già in uso. “Un’attività sartoriale” l’ha definita il prof. Colajanni.

Contro gli attacchi, collaborazione tra vendor e PA

Nella fase conclusiva dei lavori, Alessandro Fontana (Trend Micro) ha sintetizzato l’ABC ovvero le buone pratiche e quanto auspicabile per un’infrastruttura a prova di hacker:

  • l’analisi del rischio all’interno di ogni singola amministrazione;
  • l’individuazione di una strategia di cybersecurity;
  • la formazione di tutto il personale della PA;
  • la creazione di vera partnership pubblico/privato”.