Colao: "Il 95% delle PA è facile preda hacker", ma il Governo non sa ancora come rimediare - Agenda Digitale

cyber security

Colao: “Il 95% delle PA è facile preda hacker”, ma il Governo non sa ancora come rimediare

Il ministro dell’innovazione riferisce stime secondo cui circa il 95% delle infrastrutture dati della Pubblica amministrazione è privo dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati. Tuttavia in Italia manca ancora una strategia nazionale su investimenti e cultura cyber

02 Apr 2021

“L’ultimo censimento del patrimonio delle infrastrutture di elaborazione dati della Pubblica amministrazione ha rilevato che circa il 95% delle infrastrutture dati della Pubblica amministrazione è privo dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati”. Così il ministro per l’Innovazione tecnologica e la transizione digitale, Vittorio Colao, questa settimana in audizione.

Sono affermazioni pesanti dinanzi alle quali il cittadino dovrebbe indignarsi, ed invece la maggior parte degli italiani non comprende a fondo la gravità del problema.

Una PA cyber-insicura è problema gravissimo

I nostri dati, e le infrastrutture di elaborazione dati della Pubblica amministrazione che li gestiscono, sono a rischio. A rischio la nostra Sanità, i nostri vaccini. La nostra economia. La sicurezza della Nazione e dei cittadini.

WHITEPAPER
Hybrid Work - TUTTO quello che devi sapere su come vincere le sfide nel workplace ibrido
Risorse Umane/Organizzazione
Software

In gioco non vi è solo la disponibilità di un servizio come in molti posso erroneamente pensare, bensì la nostra identità digitale che a causa dell’elevata penetrazione tecnologica nella nostra società ha una sovrapposizione completa con il nostro vissuto reale.

L’evoluzione tecnologica non può prescindere dalla sicurezza delle infrastrutture su cui essa si fonda e sulla resilienza delle stesse ad attacchi cibernetici che si mostrano sempre più sofisticati.

Perché siamo così vulnerabili

Le infrastrutture di elaborazione utilizzate nel nostro paese sono vulnerabili per la mancata implementazione di requisiti di cyber security. Troppe le strutture che non sono state concepite utilizzando un approccio security-by-design, ma il problema è culturale ed investe tutti i settori del nostro Paese.

L’assenza della consapevolezza del rischio cibernetico nella popolazione è la principale causa del silenzio in cui fanno eco le parole proferite dal Ministro Colao,

“È fondamentale far sì che i dati in possesso della Pubblica amministrazione siano inviolabili. Il comparto cybersecurity e il comparto sicurezza nel loro complesso assumono, in questa prospettiva, fondamentale importanza per i cittadini e sul piano geostrategico”, ha aggiunto il Ministro.

Si ignora il fatto che proprio dalla capacità di difesa delle nostre reti e dei nostri dati dipende la sovranità nazionale.

In nostri dati sono il “bene” più importante che abbiamo, eppure non ci si preoccupa di chi li gestisce. Affidereste i vostri soldi ad una banca che dichiara che il 95% percento dei suoi processi non è sicuro? Ne dubito!

Ed allora, siamo finalmente nella direzione giusta?

Ancora troppe incertezze nella strategia cyber italiana

Purtroppo, le insidie, come le incognite, sono ancora troppe.

  • Un paese che ammette di non esser stato in grado di progettare infrastrutture digitali sicure, come potrebbe essere in grado di dominare un processo di trasformazione tecnologica tanto radicale?
  • Chi è incaricato della scelta delle aziende e delle tecnologie per implementare reti e sistemi sicuri è al corrente dei potenziali rischi che derivano da scelte sbagliate?
  • Abbiamo ben chiaro lo scenario a cui vogliamo convergere, o lasceremo che siano i provider e partner tecnologici ad imporci le loro strategie? Quest’ultimo scenario è non meno preoccupante di quello attuale.

Scelte sbagliate potrebbero esasperare il digital divide con cui si confronta la nostra società, soprattutto un periodo storico drammatico come quello che viviamo.

Direttiva NIS, così è l’attuazione italiana (dopo il recepimento): i punti principali del decreto

Un paese la cui infrastruttura tecnologica non è sicura non può garantire la coesione sociale e l’inclusione.

Colao auspica soluzioni da trovare nel breve tempo, dichiarazioni ambiziose, ma che devono confrontarsi con la realtà dei nostri giorni in cui il paese deve operare scelte importanti su più fronti e manca una consapevolezza del rischio cyber anche nella attuale classe politica.

Ad oggi leggiamo solo di proclami, ma di iniziative serie ed operative per diffondere cultura della sicurezza a livello Paese non ve ne sono.

Manca una comunione di intenti, del tema cyber security si discute solo quando qualche politico strumentalizza l’argomento evidentemente convinto di poterlo usare per rafforzare la propria leadership e fornire evidenza della propria visione.

Gli investimenti in cyber security sono scarni, i sussidi alle aziende che innovano nel settore sono pressoché assenti, spesso irraggiungibili per coloro che vivono un settore strategico come quello della cyber security. Le strutture governative deputate alla valutazione di iniziative progettuali innovative meritevoli di sostegno sono inadeguate per mancanza di professionalità specifiche.

Sul piano accademico, sebbene i percorsi formativi siano molteplici, molti di essi formano professionisti ancora distanti dalle esigenze di un mercato che vive un atavico skill shortage. Problema patito maggiormente proprio dalle piccole e medie imprese, l’humus necessario ad una crescita organica dell’interno comparto nazionale.

In questo contesto chiediamoci quindi a chi affideremo la gestione dei fondi che dovrebbero arrivare, ed è lecito temere che gli stessi possano finire con il foraggiare solo iniziative dei principali gruppi nazionali soffocando la capacità di innovazione di start-up e piccole imprese.

Già proprio così, perché se qualcuno avesse censito in maniera approfondito l’ecosistema cyber security nazionale si sarebbe accorto che in Italia troppe aziende sono composte da poche unità e che per dimensione e risorse sono escluse a priori da quei tavoli che dovrebbero divenire fucina di innovazione.

Ed ancora, non sostenere le imprese del settore cyber security implicherebbe aprire le porte all’infiltrazione economica da parte di stati stranieri che continuamente fanno scouting sulle nostre eccellenze e sui nostri professionisti. Ma evidentemente questo è un problema che pochi politici si pongono, a giudicare dai numerosi proclami, mentre è motivo di duro e complesso lavoro per i nostri apparati di intelligence.

La legge delega UE 2019-2020

E mentre scrivo questo post giunge la notizia del via libera di Montecitorio al testo di legge (il ddl Delega Ue 2019-2020), approvato dalla Camera in seconda lettura) che regola il recepimento di alcune norme europee, tra cui il diritto di autore, il nuovo Codice delle Comunicazioni elettroniche e, con l’articolo 18, il regolamento europeo sul riordino del quadro nazionale sulla certificazione della sicurezza informatica (alla fine di quest’articolo l’articolo 18 della legge, in anteprima).

Nel ddl, che ora torna al Senato in terza (!) lettura, c’è la delega per l’adeguamento al regolamento 2017/1991 in materia fondi europei per le attività di venture capital, quasi a ricordarsi dell’enorme difficoltà all’accesso al credito da parte delle piccole e medie imprese.

Qualcuno di voi ricorderà il decreto Gentiloni del 2017 il quale disegnava le linee guida di un programma nazionale in materia in materia cyber security nato dall’esigenza di elevare il livello di sicurezza in risposta all’intensificarsi degli attacchi cibernetici contro le nostre infrastrutture.

In una mia intervista rilasciata all’indomani della pubblicazione del decreto spiegai che tra i principali problemi dell’infrastruttura di sicurezza nazionale sotto il profilo cyber vi erano:

  • una modesta capacità di condivisione delle informazioni in ambito nazionale, ma soprattutto con altri Stati;
  • scarso coinvolgimento del cittadino e conseguente assenza di una consapevolezza della minaccia cibernetica del sistema Italia;
  • e scarsa collaborazione tra attori privati ed istituzione per la salvaguardia del patrimonio informativo nazionale.

Allora come oggi, sottolineai che nel settore privato abbiamo molte eccellenze che troppo spesso sono oggi escluse dai principali gruppi di lavoro nazionali in materia cyber.

Credo sia evidente che su quest’ultimo punto poco e nulla sia cambiato.


Testo articolo 18 ddl Delega Ue 2019-2020 dopo seconda lettura della Camera

(Princìpi e criteri direttivi per l’adeguamento della normativa nazionale alle disposizioni del titolo III, Quadro di certificazione della cibersicurezza, del regolamento
(UE) 2019/881, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e
della comunicazione e che abroga il regolamento (UE) n. 526/2013 (« regolamento
sulla cibersicurezza »))

Comma 1

1. Il Governo adotta, entro dodici mesi dalla data di entrata in vigore della presente
legge, uno o più decreti legislativi per l’adeguamento della normativa nazionale al titolo
III del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17
aprile 2019.

Comma 2

2. Nell’esercizio della delega di cui al comma 1 il Governo osserva, oltre ai princìpi e criteri direttivi generali di cui all’articolo 32 della legge n. 234 del 2012, anche i seguenti princìpi e criteri direttivi specifici:

a) designare il Ministero dello sviluppo economico quale autorità competente ai sensi del paragrafo 1 dell’articolo 58 del regolamento (UE) 2019/881;

b) individuare l’organizzazione e le modalità per lo svolgimento dei compiti e l’esercizio dei poteri dell’autorità di cui alla
lettera a), attribuiti ai sensi dell’articolo 58 e dell’articolo 56, paragrafi 5 e 6, del regolamento (UE) 2019/881;

c) definire il sistema delle sanzioni applicabili ai sensi dell’articolo 65 del regolamento (UE) 2019/881, prevedendo che gli
introiti derivanti dall’irrogazione delle sanzioni siano versati all’entrata del bilancio dello Stato per essere riassegnati ad apposito capitolo dello stato di previsione del Ministero dello sviluppo economico per finalità
di ricerca e formazione in materia di certificazione della cibersicurezza; le sanzioni.

Nell’esercizio della delega di cui al comma 1 il Governo osserva, oltre ai princìpi e criteri direttivi generali di cui all’articolo 32 della legge n. 234 del 2012, anche i seguenti princìpi e criteri direttivi specifici:

a) designare il Ministero dello sviluppo economico quale autorità competente ai sensi del paragrafo 1 dell’articolo 58 del regolamento (UE) 2019/881;

b) individuare l’organizzazione e le modalità per lo svolgimento dei compiti e l’esercizio dei poteri dell’autorità di cui alla
lettera a), attribuiti ai sensi dell’articolo 58 e dell’articolo 56, paragrafi 5 e 6, del regolamento (UE) 2019/881;

c) definire il sistema delle sanzioni applicabili ai sensi dell’articolo 65 del regolamento (UE) 2019/881, prevedendo che gli
introiti derivanti dall’irrogazione delle sanzioni siano versati all’entrata del bilancio
dello Stato per essere riassegnati ad apposito capitolo dello stato di previsione del Ministero dello sviluppo economico per finalità di ricerca e formazione in materia di certificazione della cibersicurezza.

Le sanzioni amministrative pecuniarie non devono essere inferiori nel minimo a 15.000 euro e non devono essere superiori nel massimo a 5.000.000 di euro;

d) prevedere, in conformità all’articolo 58, paragrafi 7 e 8, del regolamento (UE) 2019/881, il potere dell’autorità di cui alla lettera a) di revocare i certificati rilasciati ai sensi dell’articolo 56, paragrafi 4 e 5, lettera b), emessi sul territorio nazionale, salvo diverse disposizioni dei singoli sistemi europei di certificazione adottati ai sensi dell’articolo 49 di detto regolamento.

WEBINAR
10 Novembre 2021 - 12:00
Business SPID, Digital Identity e altri nuovi canali digitali: vantaggi per clienti e aziende
Dematerializzazione
Risorse Umane/Organizzazione
@RIPRODUZIONE RISERVATA

Articolo 1 di 4