Terranova: “Razionalizzare l’IT pubblico prima mossa per la nuova sicurezza digitale”

A che punto siamo?

Dal 2015 è scattato l’allarme per la situazione della sicurezza cibernetica della PA.

All’inizio di gennaio la pubblicazione del Rapporto CIS 2014, che ha quantificato e reso tangibile la carenza di sensibilità e di preparazione a fronteggiare la minaccia cibernetica. La pubblicazione a livello internazionale delle informazioni relative ai primi importanti attacchi a istituzioni ed amministrazioni pubbliche, che ha sfatato il mito della scarsa appetibilità delle informazioni gestite nel settore pubblico. L’esponenziale inarrestabile progressione degli attacchi dei ramsonware hanno creato un sensibile allarme nell’opinione pubblica ed indotto il Presidente del Consiglio dei Ministri ad emanare una Direttiva, quella 1 agosto 2015, allo scopo di imprimere un’accelerazione al processo di realizzazione del sistema di difesa cibernetica nazionale.

Tale spinta ha anticipato la pubblicazione delle Misure Minime di Sicurezza ICT per le Pubbliche Amministrazioni, che, concepite inizialmente come allegato alle regole tecniche previste dal CAD, le hanno precedute, oltre tutto già coordinate con il Framework Nazionale di Cyber Security. Più in generale, questa sollecitazione sta producendo una implementazione dell’organizzazione nazionale di sicurezza cibernetica che ne migliora l’efficienza e la capacità di intervento, anche in preparazione all’adeguamento alla Direttiva Europea NIS, che dovrà diventare completamente operativa entro maggio 2018.

In particolare è stata aumentata la capacità operativa del CERT-PA, completando l’infrastruttura ICT di erogazione dei servizi di base e realizzando il primo embrione di sistema informativo sulle minacce cibernetiche, sul modello di quello del MITRE statunitense.

Si sta infine completando la definizione degli aspetti di sicurezza del Piano Triennale per l’informatica nella pubblica amministrazione, che pone l’accento sulla razionalizzazione dei sistemi informativi delle PP.AA., riducendo la “superficie” esposta agli attacchi informatici, che, in buona sostanza, è l’aspetto più critico tra quelli individuati nel Rapporto citato all’inizio.

Questo Governo ha prodotto molte riforme e introdotto molte innovazioni: cosa è già “usabile” tra quanto approvato? Cosa ci portiamo a casa?

Nell’ambito della sicurezza informatica, l’innovazione già operativa più importante è senz’altro il Sistema Pubblico di Identità Digitale SPID, che, al di là dei timori, delle resistenze, dei passi falsi e degli attacchi anche strumentali, può effettivamente segnare una svolta nel modo in cui si gestisce la sicurezza nella rete.

Il nodo centrale da sciogliere, per poter garantire la sicurezza di qualsiasi attività in Internet, è la certezza dell’identità di un interlocutore con il quale posso avere solo rapporti telematici. Infatti solo se sono certo che il mio interlocutore è effettivamente colui che sostiene di essere posso garantirgli l’accesso a tutte e sole le informazioni ed ai servizi ai quali ha diritto di accedere.

La prova dell’identità che viene effettuata al momento in cui si chiede di accedere ad un servizio avviene sulla base di credenziali che attualmente sono concordate tra utente e fornitore al momento della registrazione. Ne segue che oggi l’utente deve adattarsi al processo di riconoscimento (autenticazione) che il fornitore ha deciso di utilizzare e gestire le relative credenziali, che debbono essere sufficientemente complesse da non consentirne l’individuazione per tentativi. Il risultato è che normalmente l’utente, se può, utilizza la medesima password per più servizi, abbassando il livello di sicurezza complessivo ed esponendosi a rischi seri nel caso che uno dei suoi fornitori sia vittima di un attacco che gli sottragga le credenziali dei suoi clienti (data breach). Per contro l’uso di password complesse differenziate espone ai rischi legati alla necessità di registrarle in qualche modo e comunque alla possibilità di perderle, con conseguente necessità di provvedere procedure di recupero, che comunque introducono il rischio che un attaccante possa utilizzare la procedura di recupero della password per ottenere l’accesso al posto del titolare.

Per garantire un livello di sicurezza più adeguato occorrerebbe utilizzare meccanismi di riconoscimento a più fattori, come avviene normalmente nel settore bancario, ma non si può pensare di applicare questa tecnologia in modo generalizzato lasciando che ciascun fornitore di servizi decida autonomamente gli strumenti da utilizzare. Già oggi siamo costretti ad adattarci a procedure diversificate ed a portare con noi una molteplicità di numeratori.

Tutto ciò con SPID non ha più ragione d’essere, l’utente utilizza sempre la stessa procedura di riconoscimento, tra quelle offerte dal provider di identità digitale che ha scelto. Deve ricordare solo le credenziali che ha concordato con il suo fornitore e lo stesso meccanismo di riconoscimento forte può essere utilizzato per tutti i servizi. Un grande passo in avanti non solo sotto il profilo della sicurezza, ma anche dell’usabilità.

Molti provvedimenti sono ancora non in sospeso, cosa pensa che sarà impossibile raggiungere degli obiettivi che erano posti? A cosa dovremo rinunciare, almeno per ora?

Le attività sulla sicurezza cibernetica che sono state condotte dal 2013, anno di emanazione del DPCM 24 gennaio 2013 che ha disegnato l’organizzazione nazionale, ad oggi sono state condotte essenzialmente senza l’attribuzione di nuove risorse economiche, utilizzando fondi inizialmente destinati all’impiego in ambito informatico.

Solo recentemente si è avuto uno stanziamento, per altro modesto se confrontato con quelli di altri Paesi simili al nostro, specificamente destinato alle attività di sicurezza cibernetica. La possibilità che questa situazione potesse in qualche modo cambiare, grazie alla sensibilità per questa problematica che sembrava farsi strada, è probabilmente destinata a rimanere a lungo solo una possibilità.

Cosa si può fare ora nel campo dell’innovazione digitale che non ha bisogno della politica, ma solo dell’azione fattiva dell’amministrazione?

La razionalizzazione delle infrastrutture informatiche è un’attività per la quale i principali presupposti sono stati ottenuti o possono esserlo indipendentemente dall’evoluzione del quadro politico.

Molti degli strumenti operativi, quali opportuni contratti quadro Consip, sono disponibili e possono essere utilizzati senza necessità di ulteriori atti normativi. La disponibilità di servizi cloud avanzati fornisce gli strumenti per adeguare le applicazioni innovandole e rendendole più flessibili.

Ciò ha un immediato impatto non solo sulla disponibilità e la continuità operativa, ma anche sul livello di protezione cibernetica che è possibile assicurare solo in un contesto di dimensioni adeguate. La polverizzazione delle istallazioni informatiche della PA è la prima causa dello scarso livello di sicurezza oggi disponibile.

La necessità di adeguamento alle Misure Minime di Sicurezza ICT per le PP.AA., insieme con l’esigenza di riduzione della spesa, costituiscono una spinta forte a sviluppare sinergie tra le amministrazioni, specie se piccole, e a utilizzare infrastrutture condivise di alto profilo.

Le amministrazioni possono ottenere risparmi significativi attraverso la razionalizzazione e questa può essere una componente importante per il finanziamento dell’operazione.