sicurezza informatica

La cyber security nel decreto Semplificazioni: tutte le novità in arrivo

La realizzazione di una infrastruttura cloud nazionale e l’agevolazione dello smart working nella Pubblica amministrazione comportano diversi vantaggi ma anche numerose criticità legate alla sicurezza informatica. Ecco cosa serve per affrontare questi problemi

07 Ago 2020
Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Antonio Marco Giuliana

analista Hermes Bay


All’interno del DL Semplificazioni, emanato dal Governo il 16 luglio 2020 sono presenti numerose novità nel campo dell’innovazione e della sicurezza digitale, le quali dovranno integrarsi nell’ambito di una strategia di cyber security attraverso il consolidamento dell’architettura per la protezione dello spazio cibernetico nazionale.

Tra le diverse disposizioni figura lo sviluppo di un’infrastruttura ad alta affidabilità localizzata sul territorio nazionale per la razionalizzazione e il consolidamento dei Centri per l’elaborazione delle informazioni (Ced) destinata a tutte le pubbliche amministrazioni ovvero la realizzazione di un cloud nazionale. In particolare, la realizzazione del cloud nazionale ha l’obiettivo di tutelare l’autonomia tecnologica del Paese, mettendo in sicurezza le infrastrutture digitali della Pubblica Amministrazione e, allo stesso tempo, garantendo la qualità e la sicurezza dei dati e dei servizi digitali.

Tale infrastruttura sarà localizzata all’interno del territorio italiano al fine di tutelare l’autonomia tecnologica del Paese, mettere in sicurezza le infrastrutture digitali della Pubblica Amministrazione, garantire la qualità e la sicurezza dei dati e dei servizi digitali e soprattutto per razionalizzare e consolidare gli undicimila data center attualmente utilizzati dalle Pubbliche Amministrazioni.

Attraverso la gestione dei dati in cloud la Pubblica Amministrazione riuscirà ad ottenere l’abbassamento dei costi, aumentando, allo stesso tempo, la sicurezza e la rapidità nello sviluppo dei servizi digitali.

Per il raggiungimento di questi obiettivi il decreto prevede anche un potenziamento del personale Agid per l’espletamento delle funzioni di difensore civico per il digitale, come previsto dall’articolo 17, comma 1-quater del Cad.

L’AgID, con proprio regolamento, d’intesa con la competente struttura della Presidenza del Consiglio dei ministri, dovrà stabilire i livelli minimi di sicurezza, oltre alla capacità elaborativa, il risparmio energetico e l’affidabilità delle infrastrutture digitali per la pubblica amministrazione, definendo le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione.

Il cloud nazionale: vantaggi e criticità

Se da un lato l’infrastruttura cloud consentirà di migliorare l’efficienza operativa dei sistemi ICT attraverso la riduzione dei costi fissi, la garanzia di continuità del servizio, il mantenimento di dati e workload critici interni, dall’altro potrà essere suscettibile ad alcune criticità di gestione; potrebbero palesarsi problemi nel governo dell’architettura complessiva del sistema ma anche nell’integrabilità dei servizi con i sistemi on-premises. Altre criticità potrebbero riguardare l’accesso e le prestazioni della connettività di rete e i relativi rischi cyber.

Proprio la recente “Relazione sulla politica dell’informazione per la sicurezza” evidenzia che la maggior parte degli attacchi cyber del 2019 sono stati effettuati a danno dei sistemi delle pubbliche amministrazioni nazionali. Infatti, ben il 73% del numero complessivo degli attacchi registrati dal nostro comparto di intelligence ha colpito proprio il settore pubblico e, in particolar modo, i ministeri e gli enti regionali, provinciali e comunali. Si tratta delle persone giuridiche citate dal decreto semplificazioni che dovranno trasferire i propri servizi digitali verso soluzioni cloud nel rispetto dei requisiti fissati dall’ Agid.

Garantire la cyber sicurezza del Cloud sarà indispensabile dal momento che sempre più dati personali saranno memorizzati al suo interno. Inoltre, tutte le strutture pubbliche dovranno dotarsi di un sistema adeguato alla gestione dei “data breach” in ottica della GDPR compliance. Occorre peraltro ricordare che un’eventuale assenza di adeguati sistemi di sicurezza sui device (delle PA) che si connetteranno al cloud, potrebbe esporre il sistema ad eventuali criticità cyber. Risulterà pertanto necessario trovare delle soluzioni di sicurezza del cloud quanto più efficaci contro tutti i possibili “cloud security issues”. Ad esempio, si potrebbero utilizzare gli strumenti consolidati di “cloud security” mediante un approccio data-driven per codificare correttamente ogni livello di sicurezza. Inoltre, sarebbe auspicabile rivolgere una particolare attenzione a eventuali accordi di servizio (service-level agreements), che dovranno definire chiaramente le modalità e le tempistiche con cui il fornitore (privato o pubblico) dei servizi di sicurezza in cloud dovrà gestire la restituzione dei dati e delle applicazioni all’utente.

WHITEPAPER
Strategie DevOps: perché puntare su un'infrastruttura capace di gestire al meglio le applicazioni?
Cloud
DevOps

Tuttavia, è opportuno ricordare che anche i sistemi difensivi più efficaci sono suscettibili di attacco. Di qui passa l’importanza della conclusione dell’iter di approvazione del “Perimetro di Sicurezza Nazionale Cibernetica” al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, come anche degli enti e degli operatori pubblici e privati da cui dipenda l’esercizio di una funzione essenziale dello Stato.

Lo smart working sicuro

Relativamente allo smart working, il Decreto stabilisce che le Pubbliche Amministrazioni saranno tenute a sviluppare sistemi idonei a garantire ai dipendenti l’esercizio del lavoro da casa in sicurezza ed efficienza. Per scongiurare eventuali comportamenti impropri, il decreto prevede l’introduzione di un codice di condotta tecnologica che detterà “regole omogenee per tutte le Pubbliche Amministrazioni per gli acquisti ICT, per lo sviluppo dei sistemi e per la progettazione e realizzazione dei servizi digitali ai cittadini, con regole per la formazione tecnologica dei pubblici dipendenti ed esperti che affianchino i progetti di trasformazione digitale delle amministrazioni”.

È chiaro che occorrerà prestare la dovuta attenzione alle criticità che una tale modalità di lavoro comporta, tenendo in adeguata considerazione le problematiche di cyber security e la protezione dei dati personali in accordo con il GDPR.

Per tale ragione bisognerà garantire:

  • la riservatezza delle comunicazioni, tramite l’accesso remoto, affinché i dati degli utenti interessati non possano essere acceduti da entità non autorizzate;
  • l’integrità, rilevando qualsiasi cambiamento intenzionale o non intenzionale alle comunicazioni che avvengono durante il transito dei dati;
  • la disponibilità, assicurando che i dipendenti delle P.A. possano erogare i servizi ai cittadini tramite accesso remoto quando è necessario.

A tal fine, è auspicabile che le PA adottino quelle prescrizioni (contenute ad esempio all’interno del Cyber Security Framework, Special Pubblication 800-53 “Security and Privacy Controls for Federal Information o della Special Pubblication 800-46 “Guide to Enterprise Telework,Remote Access, and Bring Your Own Device (BYOD) Security Systems and Organizations tutte del NIST) necessarie per garantire un adeguato livello di sicurezza.

Tra gli accorgimenti per i dipendenti pubblici è inoltre consigliabile l’utilizzo di soluzioni tecnologiche che consentano di estendere le policy delle PA di sicurezza informatica ai dispositivi di loro proprietà (se utilizzati, anche in emergenza) come: l’installazione dello stesso endpoint utilizzato dalla PA, l’utilizzo della VPN per la connessione sicura alla rete d’ufficio, l’aggiornamento del software, la configurazione di sistemi di Mobile device management per gestire i dati e le app in uso alla P.A. da remoto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4