Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

progetto COMPACT

PA locali, un approccio gestionale per la cyber security dei servizi digitali

Garantire un rafforzamento complessivo e consapevole del livello di cyber-resilienza delle pubbliche amministrazioni attraverso il noto ciclo Plan-Do-Check-Act. Così il progetto Compact mira a rendere i dipendenti più consapevoli delle minacce e pronti a reagire. Vediamolo nel dettaglio

11 Ott 2018

Luigi Romano

prof. Ordinario Sistemi per l'Elaborazione dell'Informazione, Università degli Studi di Napoli Parthenope


Per garantire una digitalizzazione efficiente e sicura delle pubbliche amministrazioni locali non basta un approccio tecnico, ma serve anche un approccio gestionale che aumenti la consapevolezza dei dipendenti pubblici e la cyber-resilienza, nell’ambito di un processo di miglioramento progressivo della sicurezza. A questo mira il progetto di ricerca Compact, finanziato con i fondi europei (Competitive Methods to protect local Public Administration from Cyber security Threats).

La premessa, che giustifica queste iniziative, è che l’avvento di Internet ha profondamente modificato il panorama delle pubbliche amministrazioni. Da una parte mette a disposizione una serie sempre più ampia di tecnologie e di applicazioni specializzate in grado di incrementare l’efficienza dei servizi offerti ai cittadini. Dall’altra, il diffondersi di fenomeni come l’e-government e l’e-health cela, tuttavia, notevoli nuovi rischi per il settore pubblico a causa dell’utilizzo di una mole sempre più ampia di informazioni e di dati spesso di carattere personale.

PA locali preda sempre più ambita del cybercrime

Come è stato evidenziato in numerosi studi[1], il panorama della sicurezza informatica sta inevitabilmente cambiando e con esso le pubbliche amministrazioni locali stanno rapidamente diventando un obiettivo attraente per i criminali informatici, che in assenza di misure di sicurezza adeguate sono potenzialmente in grado di accedere a enormi quantità di dati personali, spesso sensibili, nonché di ottenere il controllo di risorse critiche nel caso di città gestite in modo “smart”. Gli effetti degli attacchi informatici risultano essere considerevoli, in quanto in grado di causare interruzioni nelle attività di business, perdite di dati e furti di proprietà intellettuale, con un impatto significativo sia sugli individui che sulle organizzazioni.

All’interno del processo di digitalizzazione in corso le minacce informatiche rappresentano ad oggi, quindi, il rischio più significativo e crescente che le organizzazioni del settore pubblico si trovano ad affrontare. Studi dimostrano che quasi il 40% degli attacchi malware e in generale delle minacce informatiche[2] è contro le organizzazioni del settore pubblico[3], che risultano essere ormai più esposte dei settori, come ad esempio quello della finanza, tradizionalmente considerati obiettivi principali di attacchi informatici. Inoltre, tale situazione risulta essere ulteriormente esacerbata dal crescente utilizzo da parte degli enti pubblici di sistemi operativi connessi e dalla conseguente riduzione dei periodi di distribuzione dei malware (sia fissi che mobili)[4]. L’aumento della gravità degli attacchi informatici, infatti, sembra coincidere con l’incremento del numero e delle tipologie dei dispositivi connessi, nonché con un’enorme espansione della virtualizzazione e dell’utilizzo dei cloud pubblici.

Le principali minacce alla sicurezza delle PA locali

I maggiori problemi che caratterizzando le pubbliche amministrazioni, limitandone la capacità di garantire elevati standard di sicurezza informatica, sono classificabili in 9 categorie principali:

  • Mancanza di una classificazione standard dei dati: la maggior parte delle amministrazioni pubbliche ad oggi non utilizza tecniche o procedure standardizzate di classificazione dei dati. Ne consegue che, nel tentativo di conformarsi alle normative nazionali e sovranazionali soprattutto in tema di trasparenza, tali enti si espongono al rischio di diffondere in maniera accidentali dati personali e sensibili dei cittadini.
  • Assenza di Non-Disclosure Agreements (NDA) efficaci: il 40% delle organizzazioni del settore pubblico fa ancora affidamento ad accordi cartacei di non divulgazione che spesso vengono utilizzati in maniera incoerente e non omogenea. Ciò amplifica i rischi connessi al fattore umano, che ad oggi rappresenta uno dei maggiori problemi che affligge le pubbliche amministrazioni, dal momento che i dipendenti potenzialmente malintenzionati o semplicemente insoddisfatti spesso hanno accesso ad importanti risorse informative con rischi elevati in termini di sicurezza di tali informazioni.
  • Mancanza di piani per affrontare e rispondere a violazioni di sicurezza o per disaster recovery: il 36% delle organizzazioni del settore pubblico non dispone di un piano per rispondere alle violazioni della sicurezza, e solo il 10% delle organizzazioni del settore pubblico effettua test finalizzati a verificare l’effettiva capacità di rispondere agli scenari peggiori. Il 34% delle organizzazioni del settore pubblico, inoltre, non dispone di misure di disaster recovery pianificate. Tali mancanze comportano per le pubbliche amministrazioni un rischio estremamente elevato, dato che, come è noto, in caso di incidenti l’efficienza e la tempestività degli interventi rappresentano un elemento chiave e imprescindibile per ridurre o evitare il verificarsi di danni.
  • Mancanza di politiche di sicurezza applicate in modo uniforme: il 33% delle organizzazioni del settore pubblico non dispone di policy di sicurezza applicate in modo uniforme (questo significa un’applicazione limitata – se non completa mancanza – di una policy coerente in materia di sicurezza in tutta l’organizzazione). Questa condizione limita fortemente la capacità delle pubbliche amministrazioni di rispettare le normative in materia, come, ad esempio, il recente Regolamento dell’Unione Europea in materia di protezione dei dati personali 2016/679 (GDPR)[5].
  • Assenza di policy e procedure adeguate per lo smaltimento dei dati: il 76% delle organizzazioni del settore pubblico non dispone di politiche e procedure adeguate per lo smaltimento sicuro e affidabile dei dati. In particolare, solo il 16% delle organizzazioni del settore pubblico ha elaborato policy che richiedono che i record vengano effettivamente raccolti e controllati. E’ evidente, invece, che la previsione di solide politiche mirate a gestire il corretto smaltimento di record elettronici e cartacei, sulla base di solide linee guida tecniche e organizzative e di best practises, rappresenta un requisito indispensabile per proteggere i dati privati ​​da divulgazioni non autorizzate.
  • Mancanza di meccanismi efficaci di controllo dell’accesso: il 20% delle organizzazioni del settore pubblico non ricorre a ruoli per gestire l’accesso ai dati ed oltre il 26% delle organizzazioni del settore pubblico non dispone di una procedura ufficiale per i dipendenti licenziati o riassegnati. Questo crea vulnerabilità, poiché consente un accesso inappropriato alle risorse.
  • L’ampia presenza di sistemi datati, non catalogati, né sottoposti a manutenzione rappresenta ad oggi un obiettivo sensibile di attacco dalle dimensioni sconosciute.
  • Gestione inappropriata degli aggiornamenti di sicurezza (patch), nonché uso di software scaduti in computer, dispositivi mobili e server centrali.
  • Limitata capacità e motivazione del personale delle amministrazioni locali nel rilevare e segnalare attacchi informatici. Ciò è dovuto ad una serie di fattori interconnessi tra cui (i) l’invecchiamento della forza lavoro delle pubbliche amministrazioni, (ii) la presenza di competenze tecnologiche limitate e (iii) l’assenza di riconoscimenti dei risultati raggiunti dai dipendenti. Ciò rende i lavoratori della PA meno rispondenti alle tradizionali misure educative (come la formazione in aula).

I fattori che complicano la situazione

Affrontare le questioni summenzionate è un compito intrinsecamente complesso, le cui principali tendenze evolutive sono attualmente oggetto di un’indagine approfondita sia nell’UE che negli Stati Uniti[6], e la cui difficoltà è aggravata da due fattori principali:

Vincoli di bilancio: le “dimensioni e i vincoli di bilancio” delle PA “spesso impediscono loro di creare strutture organizzative altamente granulari in grado di garantire personale dedicato alla sicurezza delle informazioni e di investire significativamente in prodotti o servizi di cybersicurezza”[7];

Aspetti legali ed etici: dal momento che gestiscono anche dati personali dei cittadini, la resilienza informatica delle PA è una questione di pubblico interesse. Le organizzazioni sono obbligate a garantire il trattamento e la conservazione dei dati personali sotto la loro responsabilità attraverso la predisposizione di adeguate misure tecniche ed organizzative. Questo anche alla luce del rafforzamento del quadro normativo in materia di protezione dei dati personali avvenuto in seguito all’entrata in vigore Regolamento europeo 2016/679 che ha abrogato la precedente direttiva 95/46/CE (GDPR). Pertanto, le pubbliche amministrazioni sono oggi chiamate a prevedere idonee misure di tutela dei dati personali che siano conformi alla nuova e più stringente disciplina materia, nonché alle future evoluzioni normative. La principale sfida legale ed etica consiste nel garantire un adeguato livello di protezione dei dati personali dei cittadini gestiti dalle PA, garantendo al contempo il rispetto e la tutela dei diritti e delle libertà fondamentali delle persone, nonché dell’interesse pubblico in generale.

Garantire una digitalizzazione efficiente della PA

Da quanto è stato evidenziato e in linea con il piano d’azione europea sull’e-Government relativo agli anni 2016-2020[8], è possibile, quindi, affermare che l’ampio processo di digitalizzazione delle pubbliche amministrazioni non possa attualmente compiersi in maniera efficiente in assenza di interventi mirati a garantire l’affidabilità e la sicurezza delle nuove tecnologie e dei processi che esse implementano, al fine di evitare che l’evoluzione digitale possa condurre a violazioni più o meno ampie della sfera dei diritti fondamentali degli utenti.

E’ evidente la necessità di individuare soluzioni che siano in grado di migliorare la qualità e la facilità d’uso degli strumenti e dei servizi di cui le PA necessitano per incrementare il loro livello di sicurezza informatica, contenendo i costi e rispettando i vincoli legali ed etici. La stragrande maggioranza delle offerte esistenti – e in particolare quelle caratterizzate da un TCO (Total Cost of Ownership) conveniente per le PA – non riesce a raggiungere il livello di efficacia necessario. Nella maggior parte dei casi ciò è dovuto al fatto che tali misure sottostimano il fattore umano, vale a dire tutti gli errori umani che aprono la porta agli attacchi informatici. L’evidenza sperimentale dimostra, infatti, che la riduzione al minimo degli errori umani è ancora più cruciale degli aggiornamenti tecnici[9].

Un approccio gestionale alla sicurezza: il progetto Compact

Al fine di fronteggiare in maniera ottimale tale insidiosa sfida, accanto alla predisposizione di soluzioni tecniche, risulta necessario, quindi, prevedere un peculiare approccio gestionale che, orientato alla qualità totale, consenta di instaurare presso le pubbliche amministrazioni un processo di miglioramento progressivo della sicurezza.

Questo è l’obiettivo che si prefigge il progetto di ricerca COMPACT (Competitive Methods to protect local Public Administration from Cyber security Threats). Finanziato nell’ambito del programma quadro di finanziamento della Commissione europea H2020, il progetto mira a consentire alle pubbliche amministrazioni locali di diventare gli attori principali del proprio processo di miglioramento della capacità di recupero della sicurezza, fornendo loro strumenti e servizi efficaci per rimuovere i bottleneck nell’ambito della sicurezza informatica. Il livello di innovatività del progetto è rilevante in quanto le soluzioni previste non sono limitate alle tecnologie, ma pervadono l’intero processo, che costituisce inevitabilmente una dimensione importante al fine di garantire il pieno e consapevole coinvolgimento dei dipendenti delle pubbliche amministrazioni locali nel miglioramento della cyber-resilienza.

Più nel dettaglio, l’approccio adottato consiste in una specializzazione del noto e consolidato ciclo Plan-Do-Check-Act (PDCA) nel campo della sicurezza informatica, basato sulle indicazioni degli standard EN ISO / IEC 27001 e BS ISO / IEC 27005, e rispetto ai requisiti specifici del contesto LPA. Ciò si traduce in una profonda innovazione del processo di miglioramento della sicurezza informatica degli LPA.

Figura 1 – L’innovazione apportata da COMPACT nel processo di miglioramento della sicurezza informatica delle pubbliche amministrazioni locali.

Pianificazione

In particolare, la fase di pianificazione del progetto Compact mira a stimare il rischio che interessa l’amministrazione locale nell’ambito delle attività di protezione dei dati e a specificare le politiche di sicurezza che verranno applicate al fine di mitigare il rischio stimato durante le fasi successive della metodologia. Durante questa fase viene stabilito il contesto dell’organizzazione raccogliendo e analizzando le informazioni relative agli aspetti sia tecnologici che umani. Quest’ultime vengono poi correlate in tempo reale con i dati provenienti da fonti esterne, come i database di vulnerabilità e le piattaforme di condivisione delle informazioni sulla sicurezza, nonché con i dati provenienti dalle applicazioni di monitoraggio dei processi aziendali finalizzate alla valutazione del rischio.

Implementazione

L’obiettivo della seconda fase (DO), invece, consiste nell’implementazione della strategia di trattamento del rischio progettata durante la precedente attività di pianificazione. Tale finalità è raggiunta mediante le seguenti azioni:

Policy Enforcement: finalizzata all’esecuzione delle politiche di sicurezza individuate nel piano di trattamento di gestione della stima del rischio prodotta dalla valutazione dinamica del rischio.

Consapevolezza e formazione della sicurezza basata sul gioco: questa azione consente agli utenti di acquisire un’esperienza diretta nel campo della sicurezza, focalizzando l’attenzione sui diversi rischi e minacce che gravano attualmente sulle pubbliche amministrazioni. I moduli di formazione mirano, infatti, ad educare dipendenti sul ruolo che essi rivestono nell’ente pubblico, sugli attacchi più comuni e su come possono concretamente proteggere il loro sistema. I giochi, in particolare, sono adattati ai diversi ruoli assunti nelle pubbliche amministrazioni locali, al fine di rispondere in maniera efficiente alle esigenze formative dei diversi profili lavorativi e di consentire risposte idonee a specifici tipi di minacce (ad es. Social Engineering, Ransomware e Data Breaches). Per garantire il conseguimento di tali obiettivi, gli strumenti previsti in tale fase costituiscono un compromesso tra economicità e facilità d’uso, al fine di semplificare quanto più possibile la loro adozione all’interno delle pubbliche amministrazioni.

Valutazione dell’efficacia

L’obiettivo della terza fase (Check) consiste nel valutare l’efficacia delle azioni di trattamento del rischio implementate durante la fase precedente. Il monitoraggio della sicurezza in tempo reale e l’Intelligence sulle minacce consentono un’individuazione efficace e tempestiva delle debolezze nelle strategie di trattamento del rischio adottate, misurando così il rischio residuo generato dalla loro applicazione. Ogni qualvolta viene prodotta una nuova stima del livello di rischio gravante sulle pubbliche amministrazioni locali si procede di conseguenza a definire nuove politiche di sicurezza. Queste ultime rappresentano, infine, il punto di riferimento dell’ultima fase (ACT), in cui si procede ad adeguare le contromisure e le strategie di trattamento ai nuovi profili di rischio individuati nella fase precedente.

Conclusioni

In generale tale approccio gestionale garantirà un rafforzamento complessivo e consapevole del livello di cyber-resilienza delle pubbliche amministrazioni. Il ciclo Plan-Do-Check-Act (PDCA) ispirato al principio della qualità totale consentirà infatti di rendere il personale di tali enti maggiormente consapevole delle minacce alla sicurezza informatica a cui sono quotidianamente esposti, migliorandone al contempo le capacità, sia tecniche che comportamentali, attraverso tecniche di formazione innovative e destinate a tutta la forza lavoro non esperta in materia di information technologies. Inoltre, consentirà di mettere a disposizione strumenti concreti di protezione contro minacce di base, come phishing, ransomware, BYOD (Bring Your Own Device), jailbreak del cloud, cross-site scripting, che ad oggi risultano essere quelle di maggior impatto e rischio per le pubbliche amministrazioni locali.

___________________________________________________________

  1. http://www.publicfinance.co.uk/opinion/2016/03/time-face-cyber-risk
  2. http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
  3. http://www.publicfinance.co.uk/opinion/2016/03/time-face-cyber-risk
  4. CCN-CERT, Threats and Risk Analysis in Industrial Control Systems (ICS), Report IA-04/16, Centro Criptologico Nacional: Madrid, 28 Jan 2016 (in Spanish), https://www.ccn-cert.cni.es/informes/informes-ccncert-publicos/1381-ccn-cert-ia-04-16-amenazas-y-analisis-de-riesgos-en-sistemas-de-control-industrial-ics/file.html
  5. Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC
  6. K. J. Andreasson (Ed.), Cybersecurity: Public Sector Threats and Responses (Public Administration and Public Policy), 1st ed., CRC Press: Boca Raton, 2012, http://www.amazon.com/Cybersecurity-Public-Threats-Responses-Administration/dp/1439846634
  7. COM/2016/0179 final H2020 Calls, DS-02-2016, Specific Challenge
  8. COM/2016/0179 final -Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e Al Comitato delle Regioni, Piano d’azione dell’UE per l’eGovernment 2016-2020 Accelerare la trasformazione digitale della pubblica amministrazione, https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:52016DC0179
  9. “Cybersecurity’s Human Factor: Lessons from the Pentagon”, James A. (Sandy) Winnefeld Jr., Christopher Kirchhoff, and David M. Upton, Security and Privacy – Harvard Business Review, September 2015: https://hbr.org/2015/09/cybersecuritys-human-factor-lessons-from-the-pentagon

@RIPRODUZIONE RISERVATA

Articolo 1 di 4