Cultura del rischio, normativa dinamica e tecnologie intrinsecamente sicure. Sono questi gli ingredienti per una corretta protezione delle pubbliche amministrazioni dalle minacce cyber, sempre più sofisticate e sempre più imprevedibili per una superficie d’attacco che, con l’Internet of Things, si allarga a dismisura. Lo ha spiegato a Cyber Affairs Luca Rizzi, responsabile per la Pubblica amministrazione centrale e locale di Cisco Italia, – compagnia guidata dall’ad Agostino Santoni – che anche quest’anno partecipa al Forum Pa. Il manager interverrà, mercoledì 23 maggio, alla tavola rotonda “Sicurezza ICT nella PA”.
Dottor Rizzi, a che punto è la consapevolezza sulla cyber-security nelle Pa? A che punto è, in Italia, la sensibilità culturale su questa minaccia?
È stato da poco pubblicato l’International Digital Economy and Society Index (I-Desi) 2018, che ci conferma nel complesso in 25esima posizione su 28 Paesi europei. Addirittura retrocediamo su elementi come formazione e numero di laureati. Ciò significa che già di nostro tendiamo a somatizzare dei ritardi che oggettivamente ci sono. Questo è un fatto che diventa, sulla cyber-security, molto chiaro. Dunque, più che sulla mancanza di consapevolezza da parte delle pubbliche amministrazioni, per come è fatto il pubblico, porrei l’accento sulla normativa e sulle linee guida. Ci sono stati provvedimenti, come il Gdpr, fondamentali, ma relativi a un solo aspetto, cioè alla privacy del dato, forse il più sensibile ma non l’unico nella complessità della minaccia del mondo cyber rispetto al digitale. Dunque, se è vero che c’è spazio per aumentare la consapevolezza, per come funziona il mondo del pubblico, lo spazio di miglioramento è più normativo-regolatorio e degli strumenti a supporto del digitale sicuro per la PA.
In tal senso, cosa deve fare una Pa che ha compreso l’importanza della cyber-security e che ha consapevolezza della pericolosità della minaccia?
Come azienda, ci stiamo concentrando molto su due aspetti. Il primo elemento è l’investimento nella conoscenza. Ormai è evidente che una fetta significativa degli attacchi e dei punti di debolezza rispetto alla cyber-security per il digitale sia il fattore umano. Non è stato documentato un test significativo condotto da una PA: nel parcheggio sono state lasciate a terre delle chiavette Usb per vedere se fossero poi state recuperate dai dipendenti. Sono state quasi tutte utilizzate e inserite nelle porte dei computer dell’amministrazione. Per non parlare della percentuale di attacchi phishing sulle mail, ormai altissima. Non ho in merito statistiche differenziate tra pubblico e privato, e perciò non mi sentirei di dire che nel settore pubblico ci sia minore consapevolezza,e dunque minore cultura e maggiore esposizione di rischio sul fattore umano. Tuttavia, senza dubbio, la formazione e la cultura del rischio e delle tecnologie per la cyber-security è un elemento fondamentale.
E il secondo aspetto?
Il secondo elemento che riteniamo meriti attenzione da parte delle Pa che hanno maggiore consapevolezza è indicato nel termine trustworthy, con cui si intende l’affidabilità intrinseca. La protezione del digitale si realizza con azioni, muri e firewall – che sono un’area storica della nostra eccellenza – applicati a device, reti e dati. Tuttavia, proteggere qualcosa che non è intrinsecamente sicuro appare un rimedio parziale. Anche per via dell’Internet of Things (IoT), assistiamo all’aumento della superficie digitale di attacco, che alimenta la necessità di selezionare tecnologie che siano intrinsecamente sicure. Attacchi condotti al cuore delle basi di dati possono arrivare da telecamere e da dispositivi a basso costo e facili da penetrare. Ad ogni modo, siamo convinti che una cosa non escluda l’altra: la protezione dei singoli elementi, e l’attenzione affinché essi siano intrinsecamente sicuri. Da questo punto di vista, la normativa sta evolvendo e sta definendo cosa è ‘intrinsecamente sicuro’, dalla supply chain certificata all’inspection del codice. Anche da Paesi di aree delicate, come Medio Oriente e Africa, ci viene richiesta la certificazione del processo fisico di distribuzione dei prodotti che forniamo, al fine di evitare manomissioni cibernetiche sulla tecnologia che viene trasferita, così da impedire che porti il seme di un attacco dentro l’infrastruttura del cliente.
Negli ultimi anni abbiamo assistito a un’abbondante produzione normativa e regolamentare, sia in ambito Ue (con la direttiva Nis su tutte), sia in ambito nazionale (ad esempio con l’adozione delle misure minime di sicurezza Ict per la Pa). Il processo normativo dovrà essere mutevole e sempre adattivo, come lo è la minaccia? Oppure arriveremo a un’architettura intrinsecamente sicura?
Si tratta di un punto interessantissimo anche per la corporate Cisco, un aspetto che tuttavia resta ancora aperto. In questo momento, ci troviamo su una curva di crescita esponenziale della dinamica di definizione della tipologia di attacco. Cambiano le istanze e le modalità degli attacchi, e ciò costringe ad avere una normativa in dinamica continua. Tuttavia, non possiamo di certo aspettare che la normativa europea o nazionale si muova alla velocità della tecnologia di attacco, poiché i due elementi vanno a velocità decisamente differenti. Per questo, mi aspetto due dinamiche che corrono parallele: una normativa che si adatta con processi automatici e rapidi; e l’adozione di tecnologie che si incastrano nella normativa con una dinamica di breve periodo. D’altronde, gran parte degli elementi tecnologici di protezione della sicurezza prevedono feed diretti, come l’anti-virus che si aggiorna appena riscontra la nuova minaccia. In altre parole, la normativa definisce il come, e la tecnologia abilita la protezione aggiornandosi in tempo reale.
Cisco partecipa anche quest’anno a Forum Pa. È così importante che Pa, istituzioni, industria e fornitori di servizi si siedano con costanza allo stesso tavolo?
È fondamentale, soprattutto attorno al tema della cyber-security in una fase in cui la normativa è ancora molto fluida. I Paesi d’oltralpe come Francia, Regno Unito e Germania si sono mossi autonomamente – anche se autonomia non significa necessariamente vantaggio – e più rapidamente rispetto a noi. L’esigenza di dinamicità richiede questo tipo di dialogo, anche perché la minaccia è enorme. Oltre ai noti gravissimi attacchi, come WannaCry, c’è un’infinita di aziende impattate negativamente. Eppure, il fenomeno non è ancora alla sua massima espressione, sia per il privato, sia per le PA. È dunque fondamentale che tutti i player si possano parlare. D’altronde, se guardiamo il fenomeno dall’alto, non stiamo vincendo: la quantità di soggetti che si attrezzano in maniera strutturale per trasformare la loro azione in un business di attacco aumenta di trimestre in trimestre.
La soluzione potrebbe essere forse un “sistema integrato di gestione della sicurezza”. Ma cosa si intende con questa espressione che sottotitola la conferenza a cui prenderà parte al Forum Pa?
Il livello fondamentale al quale stanno lavorando autorità nazionali, a partire dalla presidenza del Consiglio, è un sistema integrato che possa migliorare le capacità di difesa del Paese, preventiva e reattiva, di fronte ad attacchi condotti contro infrastrutture critiche. Lì c’è uno spazio forte di azione, riservato ma importate, che si realizza con l’impegno della presidenza del Consiglio, del Dis, Del Mise, dell’AgiD, dei vari player e service provider, delle banche e delle grandi utility. Ed è un lavoro fondamentale che si basa su coordinamento, sinergia e condivisione. Tutto questo è però orientato più al sistema-Paese. Se si considera la singola pubblica amministrazione, è poco impattata da questo fenomeno e dunque si lega di più al discorso relativo a formazione e strumenti d’acquisto. Con questo intendo che la PA deve avere la possibilità di disporre di linee-guida per acquistare tecnologie, soluzione e servizi già pensati per risolvere i problemi della cyber-security. Tutto questo c’è, ma in maniera limitata.
Tra pochi giorni entrerà in vigore il Gdpr. È corretto definirlo una rivoluzione? E perché è importante essere compliant?
Ritengo sia corretto parlare di un rivoluzione, poiché lo è dal punto di vista della consapevolezza della rilevanza del dato e dell’importanza che ha osservarlo e proteggerlo. Ciò riguarda sia le aziende, sia le Pa, simili poiché focalizzate sull’erogazione di un servizio che, se coinvolge dati sensibili, sarà indubbiamente rivoluzionato come lo fu, a suo tempo, con l’introduzione del Garante della privacy. Anche l’impatto di carattere tecnologico sarà sicuramente una svolta. Per quanto riguarda la compliance, per la Pa è un dovere più che un fattore di importanza. Comunque, il Regolamento è rilevante anche per segnalare il fatto che cambiare le cose è possibile. È possibile cioè definire la normativa, acquisirla, capirla e implementare quello che serve. Questo tipo di processo aiuta l’innovazione e dà energia al sistema, dimostrando che, per quanto complesse, molte cose possono essere realizzate.