Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

sicurezza della PA

Difendere la PA dal cyber crime: il risk assessment

Il processo di risk assessment riveste un ruolo fondamentale all’interno del sistema di gestione della sicurezza delle Informazioni delle amministrazioni pubbliche. Una proposta di “roadmap” per individuare i rischi incombenti sul patrimonio pubblico e le strategie con cui sia possibile affrontarli in maniera strutturata

30 Gen 2019

Giuseppe Arcidiacono

Responsabile Sistema Informativo at ARCEA


La sfera d’incidenza della sicurezza delle informazioni si sta allargando sempre più, fino ad abbracciare ed a riconnettersi profondamente con l’intera struttura organizzativa di una amministrazione, tanto da rendere ormai difficoltoso, ed a volte impossibile, intravedere i confini che dividono le competenze e le responsabilità di natura politica, tecnica e burocratica da quelle puramente “informatiche”.

Alla luce, quindi, della profonda dipendenza dei processi amministrativi, gestionali, decisionali e strategici di una pubblica amministrazione da informazioni elaborate, conservate o semplicemente veicolate attraverso l’Information Technology, si può affermare che la sicurezza delle informazioni e la cyber security diventino non solo una necessità ma addirittura un prerequisito fondamentale ed imprescindibile per garantire la correttezza, l’imparzialità, l’equità e l’efficacia della macchina statale ma soprattutto per fornire la ragionevole certezza che le azioni poste in essere siano effettivamente orientate alla salvaguardia ed al servizio dei contribuenti.

Ecco perché è importante, dopo aver approfondito nel primo intervento i principi basilari sottesi alla necessità di implementare un sistema di gestione della sicurezza delle informazioni nel contesto dei servizi pubblici, soffermarsi sull’individuazione dei rischi incombenti sul patrimonio pubblico, e quindi su tutta la comunità, e sulle strategie con cui sia possibile affrontarli in maniera strutturata e consapevole.

La definizione di una roadmap

Nel primo passaggio è stata posta in evidenza la necessità che la sicurezza delle informazioni in una PA debba necessariamente essere allineata, oltre che strettamente interconnessa, con la “mission istituzionale”, che indica, di fatto, la direzione di governo, determina le priorità nell’utilizzo delle risorse, fissa gli obiettivi da raggiungere nel breve e medio periodo, attestandosi pertanto ad un livello “strategico” e partendo da elementi di “Governance” quali le politiche di alto livello, i comitati direzionali e così via, in questa seconda “puntata” proseguiamo il percorso con la definizione di una “roadmap”, mutuata da casi concretamente attuati e dai principi di framework internazionali, quali la ISO/IEC 27001 ed il COBIT 5 di ISACA.

Affronteremo pertanto quella che in termini specialistici è generalmente definita come attività di “risk assessment”, ossia di valutazione preliminare dei rischi, che precede altri due processi di fondamentale importanza quali il “risk treatment”, che costituisce l’insieme delle risposte concretamente implementate, e lo “statement of applicability” o “dichiarazione di applicabilità” che guida un’organizzazione verso l’attuazione di misure di sicurezza derivanti da standard o “best practice” applicate in tutto il mondo.

Il concetto di rischio nella pubblica amministrazione

Si rende preliminarmente necessario definire, seppur in maniera sintetica, quale sia il significato più profondo del concetto di rischio in termini generali ma soprattutto in relazione alla realtà concreta di una pubblica amministrazione che, spesso, si ritrova ad operare in un ambito caratterizzato da condizioni, vincoli, regole e impianti normativi difficilmente riscontrabili in altri ambienti: si pensi ad esempio ai compiti ed alle responsabilità tipiche del pubblico ufficiale nell’esercizio delle proprie funzioni oppure alle prerogative di un amministratore di un ente locale (ad esempio un sindaco) che deve contemperare elementi di necessità e contingenza con il rispetto dei tempi e delle procedure prescritte dai procedimenti amministrativi.

Per tale motivo, se si considera che il rischio può essere considerato come la potenzialità che un evento avverso abbia ricadute negative rispetto ad una determinata situazione (in termini tecnici il rischio è calcolabile come “probabilità x impatto di un accadimento potenziale”), è immediatamente intuibile anche ai non addetti ai lavori come in un’organizzazione chiamata a garantire servizi spesso vitali per una collettività di persone, un’attività come quella del “risk assessment” rivesta un ruolo estremamente delicato anche perché coinvolge sfere quali la salvaguardia dell’incolumità fisica, della salute ma anche dei diritti fondamentali o la tutela dei cittadini nel loro complesso ed in particolare dei soggetti più deboli.

Gestione di scenari di rischio bordeline

Per comprendere meglio quale sia la reale portata di tale attività all’interno di un ente pubblico, è opportuno tracciare alcuni scenari che potrebbero manifestarsi nel caso in cui non si adottassero adeguate contromisure: ad esempio, come potrebbe essere valutato il rischio derivante dall’esondazione di un torrente nelle cui vicinanze sono insediati centri abitativi?

E’ del tutto palese come le questioni meramente tecniche, che richiederebbero di calcolare quale sia la reale probabilità di un improvviso innalzamento delle acque e dei potenziali danni che possono scaturirne, debbano strettamente connettersi a considerazioni di carattere etico, morale, umanitario ma anche a responsabilità di tipo amministrativo, civile e penale.

Seppur in una situazione differente, quale dovrebbe essere l’approccio di un dirigente che voglia determinare il rischio derivante da un errore nel calcolo di tasse o imposte nei confronti di uno o più contribuenti? Si tratterebbe di una valutazione strettamente finanziaria o dovrebbe invece tenere in considerazione gli aspetti sociali, familiari e personali di un individuo che si veda costretto a pagare ingiustamente cifre magari spropositate rispetto alle proprie capacità economiche? Dovrebbe essere preso in considerazione l’impatto derivante da un possibile gesto estremo da parte di un cittadino posto ingiustamente in condizioni di sofferenza?

Considerata la vasta articolazione di funzioni attribuite alla pubblica amministrazione, intesa sia come organizzazione unitaria finalizzata alla gestione della macchina statale nel suo complesso ma anche come l’insieme disomogeneo di una molteplicità di enti centrali e periferici tra loro distinti ed anche fortemente diversi nella struttura, nelle finalità e nelle attività di carattere quotidiano e istituzionale (si consideri, ad esempio, la differenza che intercorre tra un piccolo comune ed un’azienda ospedaliera o tra un’amministrazione regionale ed un corpo di polizia) sono davvero tanti gli scenari che sarebbe possibile definire “border-line” perché non propriamente gestibili attraverso le tecniche analitiche, e spesso asettiche, della Gestione del Rischio.

Per tale motivo, un’attività di “Risk Assessment” in ambito pubblico deve necessariamente essere condotta con modalità specifiche e differenti rispetto ad altri contesti e deve per esempio prevedere una forte collaborazione con tutti i cosiddetti “portatori di interesse (o stakeholder) che potrebbero far emergere prospettive, punti di vista, esigenze e problematiche spesso sconosciute o sottostimate dal top-management o dai funzionari operanti ai vari livelli dell’amministrazione.

Allo stesso modo, è necessario considerare come in alcuni casi gli impatti potrebbero avere un valore incalcolabile a causa della gravità e la vastità delle conseguenze che potrebbero causare e che pertanto, nel caso di una pubblica amministrazione, alcune opzioni di trattamento debbano essere preventivamente scartate.

Le risposte possibili rispetto a diverse categorie di rischi

A tale proposito, è bene evidenziare come, in estrema sintesi, le risposte possibili rispetto a differenti categorie di rischi possono essere classificate in cinque macro-aree:

  • Mitigazione degli impatti, ossia attuazione di contromisure finalizzate a ridurre l’impatto in caso l’evento avverso si verifichi. Un esempio particolarmente significativo di tale tipologia di risposta al rischio è rappresentato dalle tecniche di costruzione antisismica che, all’occorrenza di un terremoto, permettono ad un edificio di resistere per un tempo maggiore e subire minori cedimenti strutturali.
  • Prevenzione, ossia implementazione di azioni che mirano a ridurre la possibilità che un evento avverso si verifichi. Si faccia, a tal proposito, riferimento ai controlli di sicurezza in essere presso gli aeroporti che sono finalizzati a evitare, per quanto possibile, che siano introdotte armi o sostanze potenzialmente pericolose sugli aeromobili.
  • Condivisione, ovvero la “cessione” di un rischio ad un soggetto terzo che se ne fa carico in cambio di una contropartita, in genere di carattere economico. La concretizzazione più diffusa di tale risposta è sicuramente la stipula di una polizza assicurativa che, a fronte del pagamento di un premio, garantisce un rimborso in caso di concretizzazione del rischio.
  • Accettazione, che implica la decisione di non porre in essere alcuna contromisura rispetto ad un determinato rischio accettandone di fatto gli impatti che deriverebbero dalla sua concretizzazione. Generalmente tale misura si applica quando l’implementazione di una risposta sarebbe ancora più dispendiosa, non solo dal punto di vista economico, rispetto alla materializzazione degli effetti negativi associati al rischio. Si pensi, ad esempio, alla circostanza nella quale si preferisce non riparare un bene o un oggetto perché il costo dell’intervento sarebbe superiore alla sua reale utilità e pertanto si “attende” la sua definitiva rottura.
  • Annullamento, che rappresenta la determinazione di rinunciare a un’attività perché i rischi che ne deriverebbero potrebbero avere un impatto non adeguatamente mitigabile e comunque assolutamente non accettabile. Riprendendo uno degli scenari analizzati in precedenza, la scelta più corretta nel caso in cui una zona sia sottoposta a rischio esondazione dovrebbe essere quella della rinuncia alla costruzione di un immobile, soprattutto se destinato ad uso abitativo.

I rischi di natura “informativa”

Uno dei principali dubbi che potrebbero sorgere nella lettura del paragrafo precedente, e che si ritiene di dover fugare prima di proseguire nella trattazione, è quello relativo ad una apparente mancata connessione tra gli scenari analizzati e l’ambito dei sistemi informativi.

Che collegamento intercorre, ad esempio, nell’errata trasmissione di una tassa da parte di un Comune ad un cittadino? Oppure, allo stesso modo, perché la decisione di un sindaco o di una pubblica autorità di disporre lo sgombero di una casa a rischio alluvione dovrebbe rientrare nell’analisi dei rischi IT?

Basta qualche semplice riflessione a dissipare immediatamente qualsiasi perplessità in merito ed allo stesso tempo a confermare come la sfera d’incidenza della sicurezza delle informazioni si stia allargando sempre più, fino ad abbracciare ed a riconnettersi profondamente con l’intera struttura organizzativa di una amministrazione, tanto da rendere ormai difficoltoso, ed a volte impossibile, intravedere i confini che dividono le competenze e le responsabilità di natura politica, tecnica e burocratica da quelle puramente “informatiche”.

Ad esempio, non sono strumenti digitali quelli che deve necessariamente utilizzare un dirigente o un funzionario pubblico per determinare l’importo da richiedere ad un contribuente? Come è possibile identificare le zone a rischio idrogeologico se non attraverso sistemi di elaborazione progettati e sviluppati in base alle esigenze degli enti pubblici. Ed allora diventa assolutamente lecito, se non addirittura imprescindibile, chiedersi cosa potrebbe succedere se i dati restituiti dai dispositivi elettronici (PC, notebook, smartphone) fossero inaccurati, manipolabili, non accessibili nel momento della effettiva necessità o divulgati a persone non autorizzate o peggio ancora male intenzionate.

La sicurezza delle informazioni e la cyber-security diventano quindi non solo una necessità ma addirittura un prerequisito fondamentale ed imprescindibile per garantire la correttezza, l’imparzialità, l’equità e l’efficacia della macchina statale ma soprattutto per fornire la ragionevole certezza che le azioni poste in essere siano effettivamente orientate alla salvaguardia ed al servizio dei contribuenti.

Minacce e vulnerabilità

Al fine di ottenere una migliore chiave di lettura della successiva analisi, è opportuno introdurre due ulteriori concetti correlati alla definizione di rischio ed in particolare:

  • quello di minaccia, che può essere considerata come un attore esterno, umano, digitale o naturale, in grado di arrecare danno in maniera casuale, accidentale o deliberata,
  • e quello di vulnerabilità, che al contrario rappresenta una debolezza, intrinseca o causata da incuria e poca attenzione, del sistema da difendere.

Per esplicitare la differenza tra minaccia e vulnerabilità, è sufficiente far riferimento ad un hacker che intenda penetrare in un computer non protetto da password: in questo caso la minaccia è naturalmente rappresentata dal malintenzionato attaccante che per entrare nel dispositivo sfrutta una vulnerabilità rappresentata dalla mancanza di una protezione fondamentale quale la chiave di accesso.

Metodologia di Risk Assessment

Una volta che sono stati delineati i principi fondamentali del Risk Assessment in ambito pubblico e che è stato definito il quadro di riferimento, si rende necessario affrontare argomenti di carattere più operativo ed in particolare descrivere una metodologia di gestione del rischio personalizzabile per le amministrazioni statali e locali.

Un interessante punto di partenza può essere costituito dal framework VERA (Very Easy Risk Assessment), elaborato in Italia da Cesare Gallotti, che, oltre a fornire un utile file Excel di supporto alle operazioni, si presta ad essere riadattato alle esigenze di singole realtà organizzative, comprese le pubbliche amministrazioni grazie al tipo di licenza aperta con cui viene distribuita dall’autore.

In particolare, tralasciando questioni di carattere puramente tecnico, la descrizione seguente si ispira al citato framework, integrandolo con alcune tematiche, quali le vulnerabilità del sistema e le loro interconnessioni con minacce ed asset, con il fine di avvicinare la metodologia al contesto di riferimento tipico di una PA.

Identificazione di risorse, vulnerabilità e minacce

Il primo passo nella valutazione del rischio è l’identificazione di tutte le attività che possono influire sulla riservatezza, l’integrità e la disponibilità delle informazioni nell’organizzazione, rispetto alle quali è indispensabile ottenere almeno le seguenti informazioni:

  • Natura e tipologia dei dati trattati e della categoria di soggetti interessati;
  • Modalità e classificazione dei trattamenti;
  • Strumenti utilizzati;
  • Banche dati in cui sono archiviate le informazioni;
  • Luogo di custodia dei supporti di memorizzazione;
  • Tipologia di dispositivi utilizzati;
  • Tipologie di interconnessioni con i quali si effettua l’accesso.

Le risorse censite secondo quanto descritto in precedenza possono includere documenti in formato cartaceo o elettronico, applicazioni e database, persone, apparecchiature informatiche, infrastrutture e servizi esterni / processi in outsourcing.

Il passo immediatamente successivo è quello di identificare tutte le minacce e le vulnerabilità associate a ciascun asset, che possono essere derivate dalla norma internazionale ISO/IEC 27005, che rappresenta il principale riferimento per la gestione del rischio in materia di sicurezza delle informazioni, e calcolate in base a quanto descritto dal documento dell’Agenzia Governativa Statunitense NIST (National Institute of Standards and Technology) conosciuto come “SP 800-30” e finalizzato a fornire informazioni utili alla determinazione quantitativa dei rischi IT .

Dopo aver terminato la fase di “censimento” ed avere quindi a disposizione tutti gli elementi fondamentali, è necessario associare ogni risorsa alle diverse minacce che possono porle a rischio ed allo stesso tempo connettere ogni minaccia alle vulnerabilità potenzialmente sfruttabili.

Nella seguente tabella è riportato un esempio di associazione tra asset e vulnerabilità:

keyboard_arrow_right
keyboard_arrow_left
AssetVulnerabilità
InfrastrutturaMancanza di controllo di accesso
Linea elettrica instabile
Locazione suscettibile ad allagamenti
Locazione suscettibile ad incendio

Nella tabella di seguito presentata, invece, è riportato un esempio di associazione tra asset, vulnerabilità e minacce:

keyboard_arrow_right
keyboard_arrow_left
ASSETInfrastrutturaInfrastrutturaInfrastrutturaInfrastrutturaInfrastrutturaInfrastrutturaHardwareHardwareHardware
CategoriaMinaccia/VulnerabilitàInfrastrutturaMancanza di controllo di accessoLinea elettrica instabileLocazione suscettibile a fenomeni climatciLocazione suscettibile a terremotoLocazione suscettibile ad allagamentiLocazione suscettibile ad incendioMancanza di sistemi di rimpiazzoSuscettibilità a variazioni di tensioneSuscettibilità a variazioni di temperatura
Danni fisiciIncendioXXXXX
AllagamentoXXXXX
Polvere, corrosione, congelamento.
Distruzione di strumentazione da parte di persone malintenzionateX
Attacchi (bombe, terroristi)X

Impatto e probabilità

Sulla scorta di quanto esposto nella parte iniziale dell’articolo, ed in particolare considerando che un rischio è composto da due componenti fondamentali, impatto e probabilità, si rende necessario procedere con le seguenti valutazioni, per le quali saranno proposte tre tabelle esplicative mutuate dal VERA.

In prima battuta, pertanto, si procederà con il calcolo delle conseguenze per ciascuna combinazione di minacce e vulnerabilità per un singolo bene nel caso in cui il rischio si materializzi, che fornirà un risultato tra quelli di seguito riportati:

keyboard_arrow_right
keyboard_arrow_left
Impatto ScarsoLa perdita di riservatezza, disponibilità o integrità non comporta danni a livello economico-finanziario, non influisce sugli obblighi legali o contrattuali o sulla sua reputazione.
Impatto moderatoLa perdita di riservatezza, disponibilità o integrità comporta costi e ha un impatto basso o moderato sugli obblighi legali o contrattuali o sulla reputazione dell’organizzazione.
Impatto elevatoLa perdita di riservatezza, disponibilità o integrità ha un impatto considerevole e / o immediato a livello economico-finanziario, sulle operazioni, sugli obblighi legali o contrattuali o sulla sua reputazione.

Dopo la valutazione delle conseguenze, è necessario valutare, secondo quanto indicato nella tabella seguente, la probabilità che si verifichi un tale rischio, ovvero quanto sia verosimile che una minaccia possa sfruttare una determinata vulnerabilità:

keyboard_arrow_right
keyboard_arrow_left
Probabilità BassaI controlli di sicurezza esistenti sono forti e hanno finora fornito un livello adeguato di protezione. Non sono previsti nuovi incidenti in futuro.
Probabilità moderataI controlli di sicurezza esistenti sono moderati e hanno fornito per lo più un livello adeguato di protezione. Nuovi incidenti sono possibili, ma non altamente probabili.
Probabilità AltaI controlli di sicurezza esistenti sono bassi o inefficaci. Tali incidenti hanno un’alta probabilità di verificarsi in futuro.

Una volta determinate le minacce e le vulnerabilità, il livello di rischio, così come è stato anticipato nella prima parte della trattazione, è automaticamente calcolato attraverso una sintesi dei due valori originari.

In particolare, è possibile riassumere il significato dei diversi valori di rischio attraverso la seguente tabella, mutuata, come anticipato in precedenza, dallo standard VERA:

keyboard_arrow_right
keyboard_arrow_left
Livello di RischioSignificato
1 – BassaÈ applicabile ad almeno uno dei seguenti:

– la minaccia si può verificare con frequenza inferiore rispetto a quanto riportato dalle ricerche più note;

– in caso di attacco deliberato, i dati sono poco appetibili e l’immagine aziendale non è compromessa e pertanto i tentativi di attacco o non sono iniziati o sono condotti da malintenzionati scarsamente preparati da un punto di vista tecnico e con scarse risorse a disposizione.

– in caso di attacco non deliberato, l’ambito è poco complesso e quindi è difficile commettere errori;

– in caso di eventi naturali, gli studi dimostrano che la minaccia può verificarsi molto raramente.

2 – MediaÈ applicabile ad almeno uno dei seguenti:

– la minaccia si può verificare secondo quanto riportato dalle ricerche più note;

– in caso di attacco deliberato, i dati sono poco appetibili e l’immagine aziendale non è compromessa e quindi può essere condotto da malintenzionati non particolarmente motivati, mediamente preparati da un punto di vista tecnico e con scarse risorse a disposizione; o in alternativa, gli studi confermano che tentativi di attacco sono comunque rari;

– in caso di attacco non deliberato, l’ambito è mediamente complesso e quindi possono essere commessi errori;

– in caso di eventi naturali, gli studi dimostrano che la minaccia può verificarsi nella media dei casi studiati.

3 – AltaÈ applicabile ad almeno uno dei seguenti:

– la minaccia si può verificare più frequentemente rispetto a quanto riportato dalle ricerche più note;

– in caso di attacco deliberato, i dati sono appetibili o l’immagine aziendale è compromessa, e quindi può essere condotto da malintenzionati molto motivati, tecnicamente preparati e con ingenti risorse a disposizione; o in alternativa, gli studi confermano che tentativi di attacco sono comunque portati molto di frequente;

– in caso di attacco non deliberato, l’ambito è di elevata complessità (per esempio per molteplicità di sedi, tipologie di sistemi informatici, utenti interni e/o esterni) e quindi è facile siano commessi errori;

– in caso di eventi naturali, gli studi dimostrano che la minaccia si verifica quasi certamente.

Risk appetite e criteri di accettazione del rischio

L’ultima fondamentale parte, che chiude il processo di risk assessment, è quella della definizione dei criteri di accettazione del rischio che guideranno le successive azioni da intraprendere nella fase di “risk treatment” e nella “dichiarazione di applicabilità”.

Si tratta, invero, dell’attività probabilmente più importante, che avrà sicuramente le maggiori ripercussioni sulla gestione della sicurezza delle informazioni, in quanto determinerà quali rischi dovranno essere successivamente trattati e quali invece saranno considerati accettabili e quindi, almeno nel breve periodo, non affrontati attraverso l’implementazione di contromisure.

Per capire quali siano i meccanismi che conducono ad una tale decisione, che, rivestendo carattere strategico, dovrà essere adottata dal top management dell’ente con atto formale, è bene soffermarsi su un ulteriore concetto, quello di “risk appetite”, ossia sulla cosiddetta “propensione al rischio” di un’organizzazione.

Si tratta, invero, di un indicatore finalizzato a determinare quale sia il livello di rischio accettabile per un’amministrazione e quali rischi di conseguenza debbano essere trattati secondo le modalità individuate nel successivo processo di “risk treatment”.

Ancora una volta, è necessario sottolineare come l’ambito della pubblica amministrazione rappresenti un contesto peculiare e probabilmente unico nel suo genere, in considerazione degli aspetti particolarmente critici che abbiamo affrontato nella prima parte del presente documento.

Quanto può essere ampia, ad esempio, la discrezionalità di un amministrazione che intenda fissare il valore del rischio accettabile rispetto a situazioni, circostanze, ambiti e procedimenti che sono regolamentati da norme nazionali o comunitarie?

In che termini un dirigente può derogare rispetto a disposizioni puntuali o in che modo deve declinare disposizioni che al contrario forniscono solamente indicazioni sommarie?

Considerando ancora una volta che la pubblica amministrazione agisce, direttamente o indirettamente, sulla sfera personale e sui diritti dei cittadini, appare evidente come la fissazione di tali valori debba ricondursi ad un’attenta analisi del contesto normativo e ad una sua trasposizione nel contesto reale di riferimento, anche attraverso il confronto con i soggetti interessati e con gli organi preposti a fornire interpretazioni o pareri in merito ad argomenti spesso complessi, articolati e inquadrabili da prospettive profondamente differenti.

Conclusioni

Come abbiamo avuto modo di vedere nelle precedenti sezioni, il processo di risk assessment riveste un ruolo fondamentale all’interno del sistema di gestione della sicurezza delle informazioni in quanto determina in maniera diretta le successive azioni che saranno poste in essere a tutela della disponibilità, riservatezza e integrità delle informazioni.

Un rischio non evidenziato o classificato in maniera non corretta in questa fase, infatti, non sarà, fino ad una sua rivalutazione, oggetto di trattamento o comunque sarà affrontato in maniera non consona alla sua effettiva pericolosità e potrebbe, pertanto, procurare danni e problemi ancora maggiori perché del tutto o in parte inaspettati a causa di una incompleta o errata valutazione iniziale.

L’analisi dei rischi deve essere considerata, pertanto, come un processo sempre aperto che, ad intervalli predefiniti o in seguito ad importanti cambiamenti interni o esterni all’amministrazione, deve condurre a nuove considerazioni sui livelli di rischio ed innescare, al contempo, le successive attività di implementazione e rivisitazione del sistema di gestione della sicurezza delle informazioni, che saranno oggetto delle prossime “puntate” della nostra road-map.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4