Il corpus normativo ha fino a oggi dedicato poco spazio alla cyber security. Ciò è valido non solo per il settore privato, ma anche per organizzazioni fortemente regolate, come le pubbliche amministrazioni, in cui sono ancora diverse le lacune da colmare e, per le quali, recita un ruolo fondamentale l’Agenzia per l’Italia digitale diretta da Antonio Samaritani. Questo ed altri rilievi sono contenuti nelle oltre 100 pagine dell’Italian Cyber Security Report 2015, presentato ieri all’università La Sapienza a Roma.
IL DOCUMENTO
Il documento presenta un Framework Nazionale per la Cyber Security, con “lo scopo di offrire alle organizzazioni un approccio omogeneo per affrontare la cyber security, al fine di ridurre il rischio legato alla minaccia cyber. L’approccio del framework è intimamente legato a una analisi del rischio e non a standard tecnologici” e “si fonda sul Framework for Improving Critical Infrastructure Cybersecurity emanato dal NIST” Usa, “per poi essere ampliato ed attualizzato al contesto italiano”. Il Framework, secondo i suoi realizzatori “permette, indipendentemente dalla tipologia o dimensione dell’organizzazione, di evidenziare quelle pratiche di sicurezza che risultano a priorità alta e che attualmente non vengono considerate in maniera immediata”. Anche per le pubbliche amministrazioni che appaiono essere ancora indietro su alcuni aspetti. Ecco quali.
I CONSIGLI DEL REPORT
Nel report, realizzato dal Cyber Intelligence and Information Security Center diretto dal professor Roberto Baldoni (nella foto) e dal Laboratorio Nazionale di Cyber Security, si pone in evidenza che nel “Codice dell’Amministrazione Digitale (CAD – DLgs. 7 marzo 2005 s.m.i.)”, dove sono contenute “le norme più importanti al riguardo”, “l’art. 17, comma 1 evidenzia la necessità di concentrare in un unico ufficio il coordinamento strategico dello sviluppo dei sistemi informatici di telecomunicazione e fonia (lettera a) e l’indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture (lettera C). Nei successivi articoli 50, 50 bis e 51 vengono affrontati i problemi dell’integrità e disponibilità dei dati, attribuendo all’AgID”, l’Agenzia per l’Italia digitale diretta da Antonio Samaritani, “un ruolo di primo piano nell’emanazione delle regole tecniche nel campo della sicurezza informatica, nonché nella prevenzione e gestione degli incidenti di sicurezza informatici”.
IL RUOLO DELL’AGID
Questo ruolo, prosegue il report, “è rafforzato dal Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico, che tra i compiti dell’Agenzia cita esplicitamente: detta indirizzi, regole tecniche e linee guida in materia di sicurezza informatica; assicura la qualità tecnica e la sicurezza dei sistemi informativi pubblici e della loro rete di interconnessione per salvaguardare il patrimonio informativo della PA e garantire integrità, disponibilità e riservatezza dei servizi erogati ai cittadini; opera il CERT-PA, CERT della Pubblica Amministrazione, che garantisce la sicurezza cibernetica dei sistemi informativi della P.A., oltre che della loro rete di interconnessione, provvedendo al coordinamento delle strutture di gestione della sicurezza ICT – ULS, SOC e CERT” (organizzazioni incaricate di raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software che provengono dalla comunità degli utenti, ndr), “operanti negli ambiti di competenza”. È perciò “compito dell’Agenzia – si legge ancora nel documento – contestualizzare il Framework in modo da specializzarlo per le PP.AA. italiane, tenendo presente che queste hanno caratteristiche, struttura e obiettivi sostanzialmente diversi da quelli di un’azienda, nella quale il danno, e di conseguenza il rischio, può essere più facilmente quantificato”.
COSA MIGLIORARE
Fin qui i compiti da assolvere. Ma cosa non funziona ancora in questo processo? Ci sono, rileva il report, alcune “lacune che le PA hanno dimostrato di avere” e che andrebbero colmate. Sono spiegate in due precedenti report, quelli del 2013 e del 2014, in cui si offrono alcune raccomandazioni in merito.
L’esempio del Friuli
Ad esempio, aggregare “le amministrazioni su base geografica o di business per innalzare le difese cibernetiche”. La “razionalizzazione delle infrastrutture della PA – si legge – va a braccetto con un aumento di sicurezza. Quest’ultimo si può ottenere, infatti, attraverso un processo di aggregazione che faccia ospitare i sistemi informativi delle pubbliche amministrazioni locali in strutture qualificate (data center), probabilmente già presenti nella regione di appartenenza”. Le strutture IT di alcune regioni, si rileva, “spesso gestite da società in-house”, possono “offrire immediatamente delle risposte a diverse esigenze”. Non bisogna guardare oltre i nostri confini. Realtà di questo tipo, si sostiene, “sono già presenti in Italia, il caso di studio Friuli Venezia Giulia ne è un esempio”.
L’effetto positivo sui comuni
Tutto ciò avrebbe un effetto positivo anche sui comuni, perché, si evidenzia, questa “aggregazione aumenterebbe il numero di risorse IT con figure adeguate, tipicamente esperte in sicurezza. Questo “imporrebbe, ad esempio ai comuni, la migrazione del loro livello interno di organizzazione della sicurezza, gettando così le basi di un circolo virtuoso che porterebbe in pochissimo tempo i comuni ad avere gli stessi livelli di sicurezza delle regioni, rendendo il sistema Paese immediatamente più resistente a minacce cibernetiche”.
Non solo. Si sottolinea come “una corretta gestione di una infrastruttura che sia basata su cloud regionali, non porrebbe ostacoli alla proprietà, alla riservatezza o alla operatività dei comuni”. Piuttosto “ridurrebbe sensibilmente i costi di gestione attraverso la condivisione di applicazioni e dell’infrastruttura stessa. Quindi razionalizzare l’infrastruttura tecnologica della pubblica amministrazione, passando dalle attuali decine di migliaia di centri spesa, a un numero prossimo ai cinquantina”, avrebbe numerosi vantaggi.
Tutto questo, però, “non può essere ottenuto a costo zero ma attraverso un investimento adeguato da parte del governo, che renda conveniente questa transizione”. un’organizzazione così strutturata, si conclude, avrebbe anche “il vantaggio di rendere più semplice la mobilità dei dipendenti, ad esempio tra amministrazioni della stessa regione, che ritroverebbero gli stessi strumenti di lavoro informatico”, venendo così incontro anche alle necessità più volte espresse dal governo.
Cloud made in Italy
Il report avverte poi di tener conto che “usando fornitori di servizi cloud americani, come Amazon, per ospitare dati e applicazioni dell’azienda, non si deve dimenticare che questi fornitori sono sottoposti al Patriot Act, quindi per i dati da loro ospitati il governo americano potrebbe avere voce in capitolo”. Ecco perché, si consiglia, andrebbero privilegiate soluzioni nostrane, che avrebbero anche risvolti positivi per l’economia, sul modello di quanto accade in Germania. La “rete di data center qualificati”, infatti, “potrebbe essere usata anche per ospitare i sistemi informativi di piccole e medie imprese. Questo getterebbe le basi per la creazione di una nuvola “made in Italy”, sulla base del modello tedesco, che permetta lo sviluppo di tali imprese, sempre garantendo la riservatezza delle informazioni trattate, in accordo alle normative vigenti nel nostro Paese”.
Gli esempi degli altri Paesi
Viene consigliata, nel documento, anche “una revisione del piano strategico allo scopo di centralizzare, ove possibile, competenze e responsabilità”. Molti Paesi “come Francia, Germania, Israele e Olanda – si spiega – hanno già concentrato queste attività in apposite agenzie o enti”.
In Italia, invece, “il quadro che esce fuori dal piano strategico nazionale di sicurezza cibernetica è distribuito e frastagliato in termini di competenze e responsabilità nella prevenzione, gestione e risposta ad attacchi cyber”. Mentre, “la velocità con cui gli attacchi si dispiegano richiederebbe un forte coordinamento tra rilevazione della minaccia e risposta che non consiglia una distribuzione delle responsabilità”.
L’emorragia di competenze
Altro tema da affrontare, allerta il report, è “l’emorragia di personale con grandi competenze di sicurezza che sta abbandonando l’Italia”, che ha prodotto una mancanza di esperti di sicurezza, che non consiglia una ulteriore dispersione di queste competenze tra i tanti attori partecipanti al quadro strategico nazionale”. Per fare questo, “c’è bisogno di un grande piano di riqualificazione tecnologica delle infrastrutture italiane”.
Cert e information sharing
Rispetto ad altri Paesi, si evidenzia, la Penisola “ha registrato un ritardo significativo nella operatività” dei Cert. Molto è cambiato nel 2015, ma per quanto riguarda la pubblica amministrazione, ma c’è bisogno di rafforzare ancor di più il “sistema di information sharing, in modo da migliorare la prevenzione e la risposta alla minaccia cyber. Inoltre il CERT dovrebbe definire chiare linee guida per la classificazione delle minacce, dei loro livelli di criticità e di sensitività”.
Data center PA come infrastrutture critiche
Sull’esempio, invece, di quanto accade già per i “sistemi informativi delle compagnie che gestiscono infrastrutture critiche (elettricità, gas, acqua, trasporti eccetera), i data center della pubblica amministrazione, in virtù dei delicati dati contenuti (sanitari o fiscali, ad esempio), “dovrebbero essere considerati come infrastrutture critiche, imponendo quindi opportuni livelli di sicurezza e di affidabilità alle strutture”, a seconda della criticità delle informazioni” immagazzinate. “Tutto ciò – consiglia il documento – andrebbe appositamente normato a livello nazionale”.
I PASSI DA COMPIERE
In questo quadro di rischi e consigli, aggiunge il report, “il Framework viene a inserirsi nel percorso intrapreso dall’Agenzia per adeguare il livello di organizzazione, consapevolezza e robustezza delle PP.AA. nei confronti del rischio cyber. Le “Regole tecniche in materia di sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni”, da essa redatte e in corso di emanazione, danno corpo e consistenza alle prescrizioni del CAD, ponendo in capo alle PP.AA. l’obbligo di implementare un adeguato Sistema di Gestione della Sicurezza delle Informazioni (SGSI, equivalente italiano di ISMS), basato su una precisa attribuzione di ruoli e responsabilità”.