Nel 2014 un progetto di indagine realizzato congiuntamente da AgID e da Sapienza Università di Roma (CIS) analizzava lo stato della Pubblica Amministrazione riguardo al problema della sicurezza cibernetica, in termini sia di consapevolezza della minaccia che di capacità difensiva. Per quanto l’analisi fosse parziale, essendo basata su un campione di circa duecento Amministrazioni, la fotografia che usciva dal quel primo e fondamentale rapporto era sostanzialmente sconfortante: tranne poche eccezioni, infatti, le Amministrazioni italiane risultavano del tutto impreparate a gestire il nuovo scenario di minaccia, sia in termini organizzativi e di processo che tecnici e operativi.
In particolare dalla survey emergeva che praticamente tutte le Amministrazioni, tanto quelle centrali quanto quelle locali, erano caratterizzate da un comune quadro di situazioni e atteggiamenti: una sicurezza basata sostanzialmente sulle tecnologie, ossia affidata quasi esclusivamente all’acquisto di prodotti; la mancanza di strutture organizzative in grado di gestire gli eventi e rispondere agli attacchi; una superficie d’attacco eccessiva, costituita da migliaia di datacenter spesso di piccole o piccolissime dimensioni; e la mancanza di una baseline comune di riferimento che consentisse ad ogni Amministrazione di rilevare il proprio posizionamento sia rispetto alle altre che rispetto a parametri assoluti, per poter orientare a ragion veduta scelte e investimenti.
QUELLO CHE È STATO FATTO
Uno dei compiti che AgID si è data a valle di questo quadro poco tranquillizzante, in linea con quanto previsto non solo dal Quadro Strategico Nazionale e dal Piano Nazionale per la protezione cibernetica del 2013 ma anche da un’apposita Direttiva del Presidente del Consiglio del 1 agosto 2015, è stato quello di tracciare un percorso di iniziative che consentisse alle Amministrazioni, soprattutto a quelle meno preparate, di innalzare organicamente ma rapidamente il proprio livello sia di consapevolezza che di difesa.
Un primo, concreto passo operativo è stato compiuto con l’entrata a regime, nel 2015, del CERT della Pubblica Amministrazione (CERT-PA), struttura strategica preposta a supportare le Amministrazioni nella prevenzione e nella risposta agli incidenti cibernetici, che si è dotato tempestivamente di personale e risorse tecnologiche necessarie per far fronte al suo importante impegno.
Allo stesso tempo l’Agenzia ha organicamente inserito la cybersecurity nel Piano Triennale per l’informatica nella Pubblica amministrazione, in quel momento in corso di sviluppo, per indirizzare in modo adeguato (e, per la prima volta, sistematico) le esigenze di sicurezza della Pubblica Amministrazione, declinandole in maniera opportuna per ciascuno degli ambiti individuati dal Piano stesso: quello delle Infrastrutture Materiali, risorse di base che vanno dai datacenter alla connettività; quello delle Infrastrutture Immateriali, risorse logiche che comprendono le basi di dati ed il catalogo delle API; e quello degli Ecosistemi, domini applicativi che comprendono settori quali il Turismo, la Scuola, la Cittadinanza digitale e così via.
Da tale approccio strutturato e metodico sono nate sia iniziative di ampia portata, come ad esempio quella finalizzata alla diminuzione della superficie d’attacco mediante consolidamento e riduzione del numero dei datacenter; sia prescrizioni puntuali, quale l’emissione delle Misure Minime di Sicurezza ICT (circolare 2/2017) che prescrivono a tutte le Amministrazioni una serie graduata di adempimenti organizzativi e tecnici obbligatori volti ad innalzare il livello di protezione ed a creare la baseline comune di riferimento.
QUELLO CHE C’È DA FARE
Demarcato così in una prima fase il terreno di gioco e stabilite le regole principali della partita, si apre adesso una fase più ampia ed articolata fatta di interventi strutturali che dovranno conferire all’intero sistema Paese, di cui la PA è una componente fondamentale ma non la sola, le necessarie capacità di prevenzione e risposta in grado di assicurare la resilienza dell’intera macchina.
Ciò richiederà alcuni inevitabili investimenti, perché non tutte le iniziative di adeguamento della PA possono purtroppo essere condotte “senza maggior onere per l’Amministrazione”, come spesso si richiede. È questo ad esempio il caso dello CSIRT Italiano, struttura centralizzata che sta nascendo dalla fusione del CERT Nazionale e del CERT della Pubblica Amministrazione, il quale, oltre ad assumere compiti e funzioni dei due CERT costituenti, dovrà assicurare tutte le funzioni di coordinamento, comunicazione e controllo previste dalla Direttiva NIS, in particolare per quanto riguarda la gestione delle segnalazioni obbligatorie provenienti dagli Operatori di servizi essenziali e dai Fornitori di servizi digitali. Correttamente il D.Lgs di recepimento della NIS, che ha istituito lo CSIRT, ha infatti previsto un finanziamento straordinario per il suo avvio.
Altre iniziative potrebbero tuttavia essere realizzate mediante un uso accorto di partnership mirate fra settore pubblico e settore privato. Un possibile caso di esempio, rimanendo nel settore pubblico, potrebbe essere la auspicabile realizzazione di un livello intermedio di strutture di prevenzione e risposta situato tra quello centrale (il CERT-PA) e le Amministrazioni locali. AgID e il CERT-PA stanno a tal proposito predisponendo un modello organizzativo di riferimento per la realizzazione di “CERT di prossimità”, strutture di snodo e collegamento in grado di servire constituency organizzate sia su base territoriale (orizzontale) che settoriale (verticale); ma la loro effettiva realizzazione non potrà che essere il frutto di iniziative collaborative tra pubblico e privato, ad esempio coinvolgendo le società in-house delle Regioni.
Più in generale, tuttavia, sarebbe auspicabile predisporre un piano di interventi ad ampio spettro, per aiutare l’intero sistema a progredire verso una maggiore consapevolezza sui temi della sicurezza cibernetica. Così come esistono importanti progetti finanziati, condotti da AgID, per aiutare le Amministrazioni nella transizione al digitale, occorrerebbe anche sviluppare un piano organico di attività di accompagnamento verso una crescita della cultura della sicurezza e della prevenzione, perché la tecnologia è importante ma non è tutto, e la sicurezza è una responsabilità condivisa che deve essere messa in campo consapevolmente e da ciascun attore interessato.
Corrado Giustozzi è esperto di sicurezza cibernetica del CERT della Pubblica Amministrazione (Agenzia per l’Italia Digitale), componente per quattro mandati (2010-2020) del Permanent Stakeholders’ Group di ENISA.
Attendere un attimo...
