sicurezza informatica

Difendere la PA dal cyber-rischio: tre punti chiave

Negli ultimi mesi gli attacchi informatici alle pubbliche amministrazioni sono notevolmente aumentati e anche realtà piccole e medie ne stanno subendo le conseguenze, registrando notevoli perdite di dati. La tendenza sarà questa e bisogna, dunque, imparare a difendersi, anche con azioni che sembrano banali. Ecco come

10 Set 2021
Stefano Bruscoli

Responsabile U.O. Sistemi Informativi & Statistica, Comune di Pesaro

pa digitale2

La sicurezza informatica dei sistemi della pubblica amministrazione rappresenta oggi un tema centrale, al quale si dovrà prestare sempre più attenzione e dedicare parte del budget, sia per investimenti che per servizi.

Una nuova difesa per la PA

Occorre ricordare che l’attuale Internet, derivata dalla rete Arpanet, venne avviata senza che fosse pensato un sistema particolare di difesa, per un motivo molto semplice: in rete si contavano nel 1977 un centinaio di sedi collegate con altrettanti calcolatori, non vi era alcuna esigenza di difendersi perché non c’era un nemico. Ecco lo schema di Arpanet nel 1977:

WHITEPAPER
8 benefici dell’hybrid work che faranno bene al tuo business
Risorse Umane/Organizzazione
Smart working

Oggi in rete ci sono milioni di server, pc, ecc e le regole di funzionamento sono sostanzialmente le stesse.

Negli ultimi mesi gli attacchi sono notevolmente aumentati e anche realtà piccole e medie della PA ne stanno subendo le conseguenze, registrando notevoli perdite di dati. In alcune situazioni, dove le aziende si sono trovate con i sistemi paralizzati e/o i dati di backup criptati hanno scelto la strada di pagare quanto richiesto per il riscatto e ripristino dei sistemi.

Data center pubblici e migrazione verso il cloud: luci ed ombre di una corsa a ostacoli

Dobbiamo pensare che questo sarà la tendenza per il futuro con il quale dovremo fare i conti, e pertanto dobbiamo attrezzarci per cercare di subire il minor danno possibile. È chiaro che un computer sicuro al 100% è quello che non è collegato alla rete, spento e chiuso a chiave in una stanza, ma ha un difetto: è inutile!

Pertanto, dobbiamo mettere in atto le azioni di difesa più efficaci possibile.

Ne vado a elencare tre:

  1. la difesa perimetrale,
  2. l’aggiornamento dei client
  3. e la formazione del personale.

La difesa perimetrale

La difesa perimetrale è tutto ciò che utilizziamo per proteggere la nostra LAN aziendale, solitamente utilizziamo dei firewall fisici che mediante apposite regole gestiscono il traffico fra i vari segmenti della LAN. La segmentazione della rete è una buona prassi, al fine ad esempio di isolare i server dai vari client, consentendo che si acceda ai server solo su alcune porte necessarie per il funzionamento del software. Per quanto attiene i server l’utilizzo di un cloud aiuta sicuramente nella gestione complessiva del sistema, eliminando o riducendo drasticamente tutte le problematiche legate ad avere una farm on-premises. È assolutamente necessario che i sistemi operativi dei server siano aggiornati alle ultime versioni e venga gestita correttamente la policy di installazione delle varie patch di sicurezza. Sembrano banali raccomandazioni, inutili perché tutti si comportano come sopra indicato. La realtà non è questa però! Ci sono numerose PA che hanno ancora server con Windows 2003 e la versione più recente che hanno installato è Windows 2012. Per non parlare poi di quelle PA che affidandosi a venditori sicuramente poco professionali che utilizzano come “cloud” strutture come quella di OVH di Strasburgo, un insieme di container in acciaio impilati l’uno sull’altro collocati all’aperto in un parcheggio (!); nel marzo scorso si è verificato un incendio che ha lasciato al buio per diversi giorni numerose amministrazioni locali che avevano il proprio portale in tale struttura. Nella mia esperienza l’utilizzo di server Linux è senz’altro consigliato, in particolare per tutti i software che utilizzano sistemi che sono nativi di tali ambienti e portati poi anche su sistemi Windows. L’uso di Linux per i server non significa che ci possiamo dimenticare delle patch di aggiornamento, come spesso accade. In generale sui server si ha un grande timore ad effettuare gli aggiornamenti, pensando che poi i software ospitati su di essi non funzionino più. A volte ciò è vero ed è determinato dall’acquisto di sistemi da software house che si preoccupano poco o niente di seguire l’evoluzione tecnologica dei loro prodotti. Consiglio caldamente di abbandonare ai loro produttori tali sistemi e passare ad altri fornitori.

Chiudo sul tema server raccomandando una periodica attività di assessment fatta da professionisti esterni, con attività di penetration test ecc al fine di valutare complessivamente sia la parte server che le relative difese perimetrali.

L’aggiornamento dei client

Veniamo a client. Premetto che ritengo sbagliata una configurazione dove a tutti gli utenti utilizzano un personal computer. In una PA la gran parte degli utenti fa le stesse cose, ovvero utilizza sistemi di office automantion, lettura di pdf, gestione basica di immagini. E allora perché non utilizzare thin client con RDP? Una farm RDP con una decina di server con 12 processori e 36 gb di Ram ciascuno è in grado di gestire almeno 200 utenti, che grazie alla asincronia di utilizzo posso diventare comodamente 250. Ci sono sistemi molto evoluti per gestire il desktop remoto, ma anche quello di base di Microsoft a partire dalla versione 2016 si difende benissimo. Così facendo si riduce di molto il fronte sul quale si può essere attaccati, anche per la semplice considerazione che si hanno dieci sistemi operativi, quelli dei server da aggiornare. Inoltre, il profilo dell’utente è gestito a livello centralizzato e viene garantito il backup di tutti i dati in esso contenuti. Ma non solo, se ragioniamo di smart working, l’aggiunta di un server che faccia da gateway verso la WAN garantisce la fruibilità del sistema RDP anche da casa, utilizzando un pc domestico, senza problema di alcun tipo per la sicurezza. Ciò in quanto il sistema client fa girare una “bolla” isolata dal medesimo e non in grado di intercambiare dati, i medesimi risiedono sui server aziendali, con buona pace per il GDPR!

Così facendo si ottiene anche una discreta economia di gestione. I personal computer rimanenti in azienda dovranno essere aggiornati all’ultima versione del sistema operativo, solitamente Windows. Anche questo sembra banale ma provate a pensare a quanti pc avete in azienda che ancora utilizzano Windows XP!

L’utilizzo di un sistema di aggiornamento automatizzato nel caso di numeri elevati è fortemente consigliato.

Negli ultimi anni si sono molto diffusi sistemi mobile, quali smartphone e tablet, ma anche un forte aumento di utilizzo di pc portatili. Per questa categoria di device il rischio maggiore è il furto oppure lo smarrimento. Se all’interno di essi ci sono dati personali oppure particolari è un bel problema. Consiglio l’utilizzo di criptazione per gli hard disk dei portati e un sistema MDM (Mobile Device Management) per la gestione da remoto di tali endpoint al fine di poterne eseguire anche un reset completo.

La formazione del personale

L’ultimo elemento, non sicuramente ultimo per importanza è quello umano. Io sostengo che il migliore amico degli hacker siamo noi stessi, con le nostre azioni quotidiane. È provato che la gran parte degli attacchi deriva da comportamenti errati dell’utente (una mail con virus aperta per errore, un sito che non era il caso di visitare, etc.) oppure da attività di social engineering che carpiscono la fiducia dell’utente e vengo a conoscenza di credenziali, password, e così via.

Altra grande banalità ma vi assicuro che è vera: su molte scrivanie basta cercare un po’ e un foglietto con utente è password c’è quasi di sicuro. Magari nel caso più eclatante un post-it sotto la tastiera oppure sul monitor (!).

Sicuramente è necessario fare corsi, formazione per elevare il livello di conoscenze informatiche dei dipendenti, ma spesso ciò non si è rivelato sufficiente.

Consiglio caldamente anche qui attività di assessment, per verificare la “postura digitale” dei dipendenti. Ciò può essere fatto con campagne di finti hackeraggi, phisching, ecc. al fine di testare realmente come i nostri utenti si comportano; fare poi attività di formazione e tornare con le verifiche con campagne di verifica e vedere se vi sono stati miglioramenti. Si dovrebbe anche prendere in considerazione, per quel poco che è possibile, di agire anche sulla leva economica, ad incentivare attenzione verso il tema della sicurezza, che spesso non è percepita dagli utenti come un reale problema, ma una “cosa del CED” (!).

Quanto sopra scritto rappresenta il minimo sindacale. Vi assicuro che sembra banale ma non lo è e molte PA non lo fanno.

WHITEPAPER
Ripensare il performance management. Quali nuovi approcci possibili? Scopri l’app Feedback4You!
Risorse Umane/Organizzazione
Smart working
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3