Inail

Sicurezza dei servizi della PA: come deve essere governata delle amministrazioni centrali

La sicurezza delle informazioni e la protezione dei dati della PA devono essere intese come asset, soprattutto in vista della migrazione verso il cloud. Serve un’infrastruttura adeguata a far fronte alle minacce, ma anche architetture flessibili per cogliere in sicurezza i vantaggi delle nuove soluzioni

22 Dic 2021
Stefano Tomasini

Direzione Centrale per l’Organizzazione Digitale - INAIL

La modernizzazione del nostro paese dal punto di vista della trasformazione digitale passa per alcune componenti strategiche che rivoluzioneranno il modo in cui la Pubblica Amministrazione italiana renderà disponibili i propri servizi.

Tre di queste rivestono un ruolo di particolare importanza e sono: il polo strategico nazionale (PSN), il perimetro di sicurezza nazionale cibernetico (PSNC) e il cloud.

Quest’ultimo rientra tra gli obiettivi del Piano Nazionale di Ripresa e Resilienza (PNRR) che tra le altre cose prevede di favorire e supportare le amministrazioni nella migrazione verso soluzioni cloud secondo il principio del cloud first.

Cloud: roadmap e prospettive alla luce della nuova strategia nazionale

Ognuna di queste componenti nasce da un’esigenza specifica e si è sviluppata seguendo criteri propri, ma tutte condividono, come è necessario che sia, la stessa attenzione al tema della sicurezza delle informazioni e della protezione dei dati.

La sicurezza come asset

La sicurezza va intesa come asset, ovvero come elemento fondamentale per raggiungere un determinato obiettivo. Così come la protezione dei dati personali, non deve essere vista come qualcosa che si aggiunge, un “add-on” a complemento di un servizio o di una nuova architettura, ma deve essere considerato un processo primario. Deve essere forte all’interno di una organizzazione, deve essere diffusa, avere degli obiettivi misurabili, e deve essere omogenea, globale e possibilmente certificata.

WHITEPAPER
Processi più snelli, più fluidi, più efficienti: i vantaggi dell’Industria 4.0
CIO
Cloud

La sicurezza deve poi sapersi migliorare e aggiornarsi, adottando anche paradigmi più recenti, come quello della zero trust, ovvero fiducia zero, modello particolarmente indicato quando si devono andare a proteggere dati e sistemi in cloud ibridi. Le best practice, che evidenziano la necessità di adottare una strategia di microsegmentazione, consentono di affrontare anche tutte quelle minacce cosiddette laterali che si muovono attraverso le reti, definendo perimetri granulari, in base agli utenti, ai dati e alla loro localizzazione.

Zero trust e gestione del rischio delle terze parti

Inoltre, i termini “certificazione” e “zero trust” ci indirizzano anche verso il tema della gestione del rischio delle terze parti (TRRM, Third-Party Risk Management). I fornitori spesso gestiscono i dati sensibili e per questo è fondamentale gestirne la sicurezza, come di ricorda anche il nuovo regolamento europeo sulla protezione dei dati – GDPR.

Solo per portare un esempio di uno dei miglioramenti più significativi realizzati nell’ultimo anno in termini di sicurezza in Inail c’è l’adozione della multifactor authentication (MFA) introdotta in modo omogeneo e diffuso sia per i circa 10.000 dipendenti interni, per i nostri fornitori, per l’accesso alla intranet tramite il portale, per l’acceso da remoto tramite la VPN, per gli accessi che avvengono tramite VDI, ma anche per gli accessi ai servizi di posta elettronica, condivisione e collaborazione che abbiamo in cloud. MFA che si aggiunge, anzi direi fa da complemento, all’obbligo di SPID come meccanismo di accesso preferenziale da parte dei nostri utenti ai nostri servizi a discapito delle ormai obsolete credenziali standard, ovvero username e password.

La sicurezza by design e by default

Del resto, la polarizzazione dei data center effetto del PSN, o la definizione di un perimetro di sicurezza cibernetica, determinerà una centralizzazione degli attacchi informatici verso target specifici. Di conseguenza, per poter consentire “alla macchina di restare in moto” nonostante gli attacchi che sicuramente si presenteranno, la sicurezza oltre a rappresentare un asset dovrà anche essere necessariamente un elemento by design e by default, perché in un contesto di attacchi come quello che stiamo vivendo, basti citare i casi recenti della Regione Lazio e dell’Ospedale San Giovanni per rimanere su scala locale, i nuovi servizi devono essere pensati in sicurezza e anche i restanti (quelli meno recenti) devono essere reingegnerizzati e protetti, tutti secondo il paradigma della sicurezza in profondità.

Non è sufficiente che un servizio applicativo sia ospitato all’interno di un datacenter per essere considerato sicuro, poiché è vero che il perimetro di sicurezza è essenziale ma ogni servizio deve avere una propria sicurezza intrinseca. Un servizio poco sicuro può rappresentare un vulnus anche se ospitato in un data center militarizzato.

Infine, i servizi, soprattutto ragionando a “livello paese”, devono essere resilienti, e disporre degli opportuni meccanismi di business continuity e disaster recovery al fine di mitigare gli attacchi mirati alla disponibilità delle infrastrutture.

In quest’ottica l’esperienza che alcune grandi amministrazioni centrali hanno maturato nel tempo, anche ad esempio attraverso il percorso di candidatura a PSN (per come era inteso prima del PNRR) può sicuramente essere messo a fattor comune per accelerare l’accesso al Polo Strategico Nazionale da parte delle PA.

Quello che è importante comprendere e valorizzare è proprio l’impegno che alcune PA centrali hanno dedicato per evolvere lato le infrastrutture dedicate all’erogazione dei propri servizi, sempre più innovativi, fruibili e sicuri e, in alcuni casi, le infrastrutture a supporto di altre pubbliche amministrazioni.

Impegno che quindi non deve rimanere locale, ma deve essere valutato anche in ottica paese, poiché con investimenti di questo tipo si è creato quel terreno comune di innovazione che può essere di aiuto anche per lo sviluppo delle nuove componenti strategiche come il PSN.

Una PA trainante deve sicuramente avere un’infrastruttura adeguata a far fronte alle minacce, ma deve anche disporre di architetture flessibili per cogliere in sicurezza i vantaggi del cloud (sia esso IAAS, PAAS o SAAS, pubblico, privato o ibrido), ma anche dei nuovi paradigmi (come lo sviluppo a microservizi, le architetture a container, ecc).

Conclusioni

L’opportunità da cogliere è quella di dare alle PA mature, con la capacità di cogliere l’innovazione, ma anche con un’esperienza significativa in termini di disegno e sviluppo di servizi digitali sicuri, un ruolo da abilitatori e catalizzatori nella sfida che pone le nuove componenti strategiche come il PSN, contribuendo anche a costituire quella filiera di soggetti, nell’ambito del partenariato pubblico-privato, in grado portare circa il 75% delle PA italiane a utilizzare servizi in cloud, come auspicato dal regolatore.

WHITEPAPER
Smart Logistic: semplificare, velocizzare e aumentare l'efficienza della logistica
IoT
Logistica/Trasporti
@RIPRODUZIONE RISERVATA

Articolo 1 di 4