Forum pa 2017

“Information sharing” per la cyber sicurezza, nelle PA manca la cultura

Capacità di iniziativa, volontà di fare squadra, accountability sono gli elementi essenziali per superare i limiti in termini di risorse – economiche e di personale – e culturali per avviare iniziative di cybersecurity singole o tra amministrazioni

16 Giu 2017
cyber_570267622

Il Forum PA 2017 è stato anche quest’anno occasione per discutere di Cyber Security. Nell’ambito del programma della tre giorni, è stato organizzato un tavolo di lavoro ristretto ad interlocutori qualificati, composto dai referenti della sicurezza informatica della PA centrale e locale e dai rappresentanti di alcuni player del mercato dei servizi per la Cyber Security. Molti dei partecipanti sono coinvolti in maniera permanente nei Cantieri organizzati da Forum PA, che se pur non direttamente legati a questo evento, hanno permesso nei mesi scorsi di affrontare diversi degli argomenti trattati.

L’obiettivo di questa occasione era analizzare alcune tra le priorità strategiche di Cyber Security, che le pubbliche amministrazioni sono chiamate ad indirizzare per garantire servizi digitali sicuri per cittadini e imprese, per poi provare a definire concrete linee di azioni da perseguire.

La cassa di risonanza creata dagli ultimi eventi – come la recente diffusione del Ransomware WannaCry – ha aumentato la consapevolezza sui rischi Cyber da parte del grande pubblico. Ciò comporta una maggiore – se ancora ce ne dovesse essere bisogno – responsabilità nel garantire adeguati livelli di sicurezza per le aziende e organizzazioni italiane e conseguentemente di tutta la nazione.

Un paese, ove i servizi digitali possano essere erogati in sicurezza, è un paese che permette alle aziende di prosperare e svilupparsi e rappresenta un catalizzatore per nuovi investimenti nazionali ed esteri. Gli inglesi con la loro strategia nazionale, che definisce azioni e strumenti di controllo per accompagnare in sicurezza la trasformazione digitale del paese, sono un modello di impegno in tal senso.

Costituzione dei CERT e Information Sharing, Awareness, introduzione di standard e pratiche di sicurezza, Sicurezza “by Design” sono state le priorità analizzate durante sessione di lavoro.

Non rappresentano delle novità per chi opera nel settore. Erano già state incluse nella strategia nazionale di Cyber Security nel Dicembre 2013 (delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico e nel Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali) o nel più recente Framework Nazionale di Cyber Security[1] pubblicato a Febbraio 2016, che dedicava a queste una sezione specifica di raccomandazioni per il Top Management.

Quali allora i punti di interesse dibattuti durante il tavolo di lavoro?

Le iniziative di Information Sharing sono al momento ancora molto limitate in termini di attuazione, in particolare tra pubbliche amministrazioni. I privati non sono in una situazione migliore, anche se in alcuni settori, come il Finanziario, si stanno avviando i primi progetti. L’istituzione del CERT-FIN e la realizzazione di un network basato sulla piattaforma MISP ne sono un esempio. Tutti i rappresentanti delle PA presenti sono concordi nell’affermare che la collaborazione tra diverse amministrazioni e uno scambio di informazioni tempestivo e strutturato siano un valore per la prevenzione e risposta degli incidenti e per la riduzione degli impatti in caso di accadimento. Ma questa collaborazione non si è di fatto concretizzata ancora in iniziative ed interventi. L’ostacolo principale indicato da diverse amministrazioni è rappresentato dalla mancanza di iniziativa. La mancanza di risorse, se pur limitante, non è riconosciuta come uno scoglio insormontabile. Gli esempi di iniziative dal basso, come nel settore dei trasporti, in cui diversi enti / organizzazioni hanno fatto propri i principi di condivisione basati su relazioni di fiducia, realizzando uno scambio semplici basato sulla email, dimostrano che volontà e iniziativa posso superare i vincoli economici e anche culturali. La definizione di linee guida che stabiliscano metodi e protocolli da impiegare per l’Information Sharing tra le pubbliche amministrazioni deve essere conseguentemente una priorità e un impegno a livello nazionale. La responsabilità spetta in primis ad AgiD, in ragione del suo ruolo di guida e indirizzo in materia di sicurezza informatica nella pubblica amministrazione, ma non esclude che pubbliche amministrazioni particolarmente attive e responsabili possano definire accordi di partenariato proprio per velocizzarne l’attuazione.

La condivisione delle informazioni deve poi svilupparsi in parallelo all’interno delle singole amministrazioni. I CERT hanno la responsabilità di coordinare le azioni di prevenzione e risposta all’interno delle organizzazioni coinvolgendo non solo i responsabili di sicurezza ma anche funzioni come le Operations dei sistemi informatici ed industriali o il Business. Processi strutturati e interfacce di scambio tra funzioni sono indispensabili. La responsabilità della loro definizione e realizzazione è delle singole amministrazioni.

La situazione della costituzione dei CERT è invece leggermente migliore. Diverse le amministrazioni presenti hanno già da istituito i team per la prevenzione e risposta agli incidenti Cyber e altre si stanno lavorando. Ce ne sono ancora molte però che si devono attivare in tal senso.

Molte le iniziative di awareness presentate dalle amministrazioni rivolte in particolare al personale interno che vedono l’impiego di vari strumenti quali corsi on-line, comunicazione di “pillole” di Awareness, campagne di sensibilizzazione su Phishing e Social Engineering. Analogamente diverse sono le iniziative di collaborazione con l’accademia e le scuole sia per migliorare quella cultura di base della Cyber Security sia per formare nuovi esperti di sicurezza così ricercati dal mercato.

Comune la necessità di migliorare però la consapevolezza e la percezione le minacce di Cyber Security da parte dei vertici aziendali e del management in generale.  Essenzialmente per due ragioni. Devono essere in grado di comprendere i rischi, perché responsabili in ultimo per la gestione del rischio Cyber, che deve essere integrato nella gestione complessiva dei rischi aziendali. Sono loro poi chiamati ad approvare le modalità di trattamento e ad assegnare le opportune risorse per attuare i programmi di Security, per cui la conoscenza è un pre-requisito imprescindibile.

Dall’altro lato, è proprio il management aziendale, depositario delle informazioni strategiche delle organizzazioni, il target preferenziale di molte frodi ed attacchi mirati. L’uso corretto degli strumenti digitali e la consapevolezza su quelli che siano i comportamenti virtuosi da tenere è ormai un prerequisito imprescindibile.

L’introduzione di standard e pratiche di sicurezza, risulta essere priorità da indirizzare su due dimensioni.  In primis esiste la necessità per la sicurezza nazionale di definire e/o adottare standard per certificare apparati e sistemi, impiegati dalle Infrastrutture Critiche. Questi sono gli operatori di servizi essenziali indicati ad esempio dalla direttiva comunicatoria NIS come quelli del settore energetico, dei trasporti, trattamento delle acque, del servizio sanitario, solo per citarne alcuni. La garanzia di impiego di prodotti soddisfacenti idonei requisiti di sicurezza è essenziale per proteggere i servizi offerti ai cittadini, i loro dati, la loro privacy, ma anche la loro sicurezza, salute e incolumità. Francia e Germania si sono già attività in questo senso.  Il recente DCPM del 17 febbraio 2017 assegna in tal senso al MISE il compito di istituire un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche.

Il commento comune degli rappresentanti delle PA è che gli standard ci siano. Lo standard ISO/IEC 15408-1:2009 anche conosciuto come Common Criteria, per le certificazioni di computer security o lo standard OWASP per le verifiche di sicurezza delle applicazioni web, sono solo alcuni esempi.

È necessario attivarsi per un rapida attuazione del processo.

La seconda dimensione è invece associata all’innalzamento del livello di sicurezza complessivo delle organizzazioni e delle aziende. Anche su questo fronte diverse sono state le iniziate completate negli ultimi anni. Il già citato Framework Nazionale di Cyber Security e i Controlli Essenziali di Cyber Security che sono seguiti, con focus proprio sui controlli di sicurezza di base destinati alle piccole e medie imprese italiano. È recente poi le emissioni da parte di AgiD[2] delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni”, in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, finalizzate a consolidare lo stato della sicurezza informatica nazionale, alla luce dei crescenti rischi Cyber che minacciano l’Italia. Queste, se pur strutturate su più livelli, rischiano di dare una falsa percezione di sicurezza da parte di quelle amministratori che applicheranno il livello minimo (la scadenza è fissata per il 31 dicembre 2017 anche se non sono previste sanzioni per la mancata applicazione).

Sono pertanto da considerarsi come un primo passo per la messa in sicurezza delle amministrazioni pubbliche, ma non devono essere considerate come un punto di arrivo. L’obiettivo deve essere quello di adottare sì quelle minime ma avviare processi interni di valutazione del rischio Cyber che permettano di identificare gli ambiti – processi, sistemi, applicazioni, dati ecc. – di maggiore criticità e gli adeguati livelli di protezione da raggiungere.

Ultimo tema discusso, la Sicurezza by Design. Cerchiamo di fare in primis chiarezza sul termine.  Sicurezza by Design sta ad indicare che il software ma anche i sistemi debbano essere sviluppati e implementati tenendo conto dei principi di sicurezza già dalle fasi iniziali di progettazione. Non si tratta di un concetto nuovo. Quello che rappresenta una reale difficoltà è sua la messa in pratica in maniera rigorosa. Le pressioni delle funzioni di Business per una rapida introduzione di nuovi prodotti e servizi ha fatto sì che la sicurezza fosse talvolta messa in secondo piano proprio perché vista come un freno. La soluzione può esserci, lavorando nel responsabilizzare proprio il Business che è di fatto accountable per l’accettazione del rischio Cyber.

Bisogna lavorare poi all’applicazione del principio Sicurezza by Design all’interno delle organizzazioni e in particolare nei processi di Supply Chain. Lavorare con i fornitori della filiera di approvvigionamento della PA che sempre più sono coinvolti nella progettazione, gestione e manutenzione delle infrastrutture informatiche e industriali.

È indispensabile in ultimo continuare ad agire per migliorare la cultura della sicurezza di coloro che sono chiamati a progettare, sviluppare e implementare nuovi prodotti e/o servizi. I programmi attivati a livello universitario con il supporto di diverse operatori del settore sono un esempio da portare avanti.

Tanti gli argomenti dibattuti, ma volendo cercare il Leitmotiv dell’incontro, possiamo sicuramente dire che questo sia l’urgenza di mettere a terra quanto discusso. Capacità di iniziativa, volontà di fare squadra, accountability sono gli elementi essenziali per superare i limiti in termini di risorse – economiche e di personale – e culturali per avviare iniziative singole o tra amministrazioni.

Le iniziative di Information Sharing per la condivisione di dati e informazioni per la prevenzione e risposta agli incidenti potranno essere un primo tavolo di prova, proprio su cui cercare di metter in atto quanto discusso.

[1] http://www.cybersecurityframework.it/
[2] http://www.agid.gov.it/notizie/2016/09/26/misure-minime-sicurezza-informatica-pubbliche-amministrazioni

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati