Nuovo passo in avanti per il miglioramento della strategia di sicurezza nazionale italiana, verso un cloud nazionale per i dati della pubblica amministrazione.
La strategia cloud Italia
Il Ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao, il Sottosegretario di Stato delegato alla Sicurezza, Franco Gabrielli, il Direttore generale dell’Agenzia per la cybersicurezza Nazionale, Roberto Baldoni, e il Chief Technology Officer del Dipartimento per la Trasformazione digitale, Paolo de Rosa, hanno annunciato oggi la Strategia Cloud Italia. Secondo il Ministro Colao, tale Strategia è funzionale alla creazione di “una casa moderna, sicura e flessibile per gli italiani”, un cloud nazionale per la Pubblica Amministrazione.
Cyber security, come va la strategia italiana: cosa abbiamo fatto e cosa resta da fare
In linea con il PNRR elaborato dal Governo, che prevede lo stanziamento di quasi 8 miliardi di euro per la digitalizzazione della Pubblica Amministrazione, tale documento approfondisce aspetti strategici per il percorso di migrazione verso il cloud di dati e servizi digitali di tutte le Pubbliche Amministrazioni e illustra in modo chiaro i criteri di classificazione e la composizione della infrastruttura ad alta affidabilità, il Polo Strategico Nazionale, che ospiterà i servizi strategici e critici. Lo scopo è quello di superare la frammentarietà degli asset infrastrutturali IT, mettere in sicurezza i data center di interesse strategico, e consentire alle Pubbliche Amministrazioni di muoversi verso l’erogazione di servizi digitali in una situazione di maggiore sicurezza e ad alta affidabilità.
Perché abbiamo bisogno di un cloud nazionale
L’Italia ha capito, da un po’, che è necessario sviluppare una infrastruttura sicura, resiliente per i nostri dati e di tenerla quanto più possibile legata al nostro Paese; pur prendendo atto che le migliori tecnologie e servizi non solo in Italia.
Oggi la strategia Cloud Italia, come ha detto Baldoni, di dare le prime direttrici a PA e, soprattutto, fornitori cloud su come fare questo passaggio, tenendo assieme sia le esigenze di sicurezza, flessibilità sia quelle di autonomia/sovranità nazionale e quindi controllo italiano su dati e tecnologie (di nuovo: “per quanto possibile”).
Un bilanciamento difficile, insomma, come detto dallo stesso ministro Colao. Ma anche la prima imposizione governativa in un settore che finora è stato Far West, dove le PA erano libere di andare sul mercato, senza regole.
Bisogna ricordarsi bene perché seguire questa strada. Dietro, c’è lo stesso motivo che anima la strategia digitale italiana e che si è concretizzata nel GDPR. Tenere assieme da una parte le esigenze di sicurezza (e privacy) del dato (con i diritti pubblici e privati che ne conseguono); dall’altro assicurare la crescita economica dell’Italia e del Continente che, come ricordato più volte da Baldoni, si fonda sull’economia digitale.
Sviluppo che necessita di un controllo e anche di padroneggiare quelle infrastrutture cloud nazionale. Non basta insomma – ammette Baldoni – imporre regole ai fornitori; bisognerà anche sfruttare questo tempo per sviluppare competenze per essere padroni davvero della materia.
Sarà un processo lungo. Tenere in casa un controllo, a più livelli (fino alla possibilità di prendere in licenza la tecnologia, come espresso oggi nella strategia), è condizione necessaria, ma non sufficiente.
I bandi di gara recenti – 400 posti di lavoro dal dipartimento innovazione – sono un primo importante passo. Non basterà e il tempo è poco. Come detto in chiusura oggi dal ministro Franco Gabrielli (Sottosegretario di Stato alla Presidenza del Consiglio dei ministri Autorità delegata per la sicurezza della Repubblica), “bisogna correre”.
Alessandro Longo
- la ricerca dell’autonomia tecnologica, funzionale al raggiungimento della sovranità digitale,
- il controllo dei dati, fondamentale nell’epoca dei Big Data,
- e la resilienza delle infrastrutture, di cruciale importanza per garantire la continuità nell’erogazione dei servizi IT.
A tale scopo è necessario mantenere la sovranità anche su quello che è definito il ciclo di vita dei dati.
Mediante l’approccio cloud first, la Strategia intende guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In tal modo le infrastrutture digitali saranno più affidabili e sicure, e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.
Le tre direttrici
La strategia, infatti, si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione verso soluzioni cloud.
- Classificare dati e servizi della PA per guidare e supportare la migrazione al cloud: regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica la classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese: strategici, che riguardano la sicurezza nazionale; critici, come ad esempio quelli sanitari; ordinari. In base alla tipologia di dati e servizi offerti, sarà la Pubblica Amministrazione a valutare la tipologia di servizio cloud di cui ha bisogno e richiedere la tipologia di servizi necessari alle proprie esigenze.
- Qualificare i servizi cloud attraverso un processo di scrutinio tecnologico: la qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.
Le quattro soluzioni cloud
La Strategia prevede 4 differenti soluzioni cloud:
- Pubblico qualificato nel rispetto delle normative UE;
- Pubblico con criptazione dei dati. Le chiavi di criptazione sono gestite nel territorio nazionale;
- Privato/ibrido concesso con licenza. Le chiavi di criptazione sono gestite nel territorio nazionale;
- Privato qualificato mediante scrutinio tecnologico. Tutta la filiera è gestita dal fornitore e consente il massimo controllo sui dati.
Per le PA che trattano dati ed erogano servizi ordinari è sufficiente la prima tipologia di cloud. Per le Amministrazioni che trattano dati ed erogano servizi critici è necessario adottare almeno un cloud appartenente alla seconda categoria. Per quanto riguarda le Amministrazioni centrali, quindi quelle che trattano dati strategici, è necessario adottare una soluzione cloud a partire dalla terza tipologia, anche alla luce del fatto che la localizzazione fisica dei dati strategici è fondamentale ai fini della sicurezza nazionale.
Realizzare il Polo Strategico Nazionale (PSN) dedicato ai servizi strategici, sotto controllo e indirizzo pubblico
Il Polo Strategico Nazionale ha l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. Il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubbliche e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi. Secondo quanto dichiarato da Roberto Baldoni, Direttore dell’Agenzia per la Cybersicurezza Nazionale, sarà una “casa sicura” per i dati degli italiani.
In particolare, il PSN sarà un Soggetto a controllo, vigilanza e monitoraggio pubblico, rispetterà tutti i requisiti di sicurezza definiti dal Perimetro e dalla Direttiva NIS. Il Polo sarà realizzato entro la fine del 2022 e, a partire da dalla sua creazione, le Pubbliche Amministrazioni avvieranno l’adozione di soluzioni cloud con l’obiettivo, ambizioso ma realizzabile, di completare la migrazione del 75% di Amministrazioni entro la fine di 2025.
A tale riguardo il CTO del Dipartimento per la Trasformazione digitale, Paolo de Rosa, ha dichiarato che il paese si trova “all’inizio di un viaggio ma che ora bisogna iniziare a costruire la nostra casa sicura”.
Prossimi passi
Proprio la “casa sicura” è stato quindi il tema ricorrente durante la presentazione della Strategia. Una metafora semplice, importante ma soprattutto corretta. È infatti di fondamentale importanza fornire al sistema paese una casa sicura che possa garantire la continuità nei servizi erogati dallo Stato. A tale scopo sarà importante anche completare il rafforzamento del Perimetro di Sicurezza Nazionale Cibernetica attraverso la promulgazione dell’ultimo decreto attuativo, attendere l’entrata a regime dell’Agenzia guidata da Baldoni, funzionale anche al miglioramento dell’educazione e delle skill del personale pubblico, e soprattutto porre in essere quanto definito dalla Strategia Cloud Italia.
Prossimo passo l’arrivo, entro settembre, delle prime offerte di partnership pubblico-privato. In attesa in particolare una di Tim-Sogei-Leonardo-CDP.
