cyber security

Sicurezza informatica nella PA: una storia infinita con molti nodi ancora da sciogliere

Quella della sicurezza informatica della PA italiana è una storia che parte da lontano, ma le diverse strade intraprese e piani avviati ancora non hanno risolto alcune questioni cruciali quali la governance e i controlli sistemici. Né hanno giovato alla causa la timidezza istituzionale e i continui rinvii

07 Mag 2019
Giovanni Manca

consulente, Anorc

italia-digitale

In tema di sicurezza informatica della PA, il nuovo Piano triennale per l’informatica nella Pubblica amministrazione  mostra obiettivi ambiziosi ma ragionevoli e raggiungibili, almeno sul piano delle intenzioni.

Quello delineato in questo ultimo Piano dall’Agid è però soltanto l’ultimo capitolo di una lunga serie di iniziative, proposte, linee guida, modelli organizzativi che si sono succeduti nel tempo senza risolvere alcune questioni cruciali, dalla governance ai controlli, fino alla formazione del personale, il tutto in un contesto in cui la quantità e la qualità della minaccia cibernetica sono in continuo aumento così come la digitalizzazione e l’offerta di servizi in rete da parte della pubblica amministrazione.

Ripercorriamo allora la “storia infinita” della sicurezza informatica nella pubblica amministrazione italiana, esaminando quello che è stato fatto finora e quello che resta da fare.

Una gestione della sicurezza efficiente ed efficace

Il Piano Triennale per l’informatica nella pubblica amministrazione 2019-2021 dedica ancora una volta il capitolo 8 alla sicurezza informatica.

Del ruolo di AgID e delle peculiarità del Piano Triennale ha ben scritto Corrado Giustozzi.

In questo scenario, con servizi sempre più cruciali per il funzionamento e lo sviluppo del rapporto tra PA e cittadini e imprese diventa indispensabile una gestione della sicurezza efficiente ed efficace in applicazione dell’articolo 51 del Codice dell’amministrazione digitale (CAD).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Peraltro alcune cose, cruciali, sono irrisolte o poco chiare o ignote. E la mancanza di informazioni sullo stato della sicurezza equivale a insicurezza.

Il primo elemento solo accennato nell’articolo sopra citato è la mancata emanazione delle regole tecniche previste nell’articolo 51, comma 1 del CAD. E’ importante sottolineare che tali regole tecniche erano indicate chiaramente nella precedente versione del Piano Triennale con scadenza settembre 2017 e chi scrive è a conoscenza di varie versioni da circa cinque anni.

Queste regole tecniche sono fondamentali per la sicurezza ICT delle PA in quanto forniscono le indicazioni sulle misure da adottare.

Le misure minime per la sicurezza ICT delle PA

AgID ha tamponato questa carenza normativa mediante l’emanazione del documento contenente le misure minime per la sicurezza ICT delle Pubbliche Amministrazioni. Questo documento con delle puntuali liste di riscontro fornisce le indicazioni per il raggiungimento di livelli di sicurezza prefissati a partire da quello minimo. Tale livello è obbligatorio anche se sarebbe opportuno aver raggiunto quello intermedio che non a caso è denominato standard.

Considerato le nuove disposizioni del CAD in materia di emanazione di regole tecniche (mediante lo strumento delle Linee guida) AgID può emanare le regole tecniche previste magari ampliandole allo scenario della sicurezza cibernetica. Questa ipotesi trova ragionevole conferma nella Linea di Azione LA60 con scadenza a dicembre 2019.

Queste Linee guida possono stabilire il completamento della costituzione dello CSIRT. Questo infatti sta ancora funzionando in regime provvisorio, mediante la collaborazione fra CERT Nazionale (MiSE) e CERT-PA (AgID), ma deve diventare una struttura autonoma dotata di una precisa collocazione amministrativa, oltre che di una propria struttura organizzativa.

Cyber security, il tema della governance

Questo aspetto evidenzia il tema della governance della sicurezza cibernetica. Un tema fondamentale come la sicurezza cibernetica dovrebbe avere un punto unico di coordinamento nazionale.

Il tema non è nuovo e fu affrontato già nel 2003/2004 dal “Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni” insediato dal Ministro per l’innovazione e le tecnologie e da quello per le Comunicazioni.

Nel marzo del 2004 fu pubblicato il documento “Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione”.

Nel marzo del 2006 vengono pubblicate le “Linee guida per la sicurezza ICT delle pubbliche amministrazioni” con il “Piano Nazionale della sicurezza ICT per la PA” e il “Modello organizzativo nazionale di sicurezza ICT per la PA”.

L’intenso lavoro svolto conteneva proposte per un gestione efficace e efficiente della sicurezza e non tutto è andato disperso.

Si sono gettate le basi per la gestione dell’emergenza nella PA (Continuità operativa e Disaster recovery) oggi operativa. E’ nato ed è ampiamente operativo l’Organismo per la Certificazione della Sicurezza (OCSI) stabilito attualmente presso il Ministero dello Sviluppo Economico.

L’organizzazione generale della sicurezza invece si è sviluppata in varie direzioni e AgID svolge solo una parte delle attività necessarie comprese quelle di coordinamento internazionale con l’Unione Europea.

Il lettore che volesse approfondire i temi appena descritti può consultare il quaderno CNIPA numero 23.

Il nodo dei controlli indipendenti

Ritornando al Piano triennale vigente si può senz’altro affermare che sono numerosi i passi in avanti sui temi in esame ed è altresì evidente la continuità delle Linee di Azione rispetto al Piano precedente.

Nel frattempo è arrivato il GDPR che impone (e sanziona nei casi di non applicazione della norma) misure di sicurezza adeguate anche a carico delle PA.

La conformità al GDPR è una parte dell’applicazione di corrette regole per la sicurezza ICT ma la presenza di sanzioni, anche elevate, generalmente spinge i decisori a fare qualcosa.

Ma il tema cruciale, da sempre irrisolto, è quello dell’assenza di controlli sistematici effettuati da terzi. Alle aziende si richiedono certificazioni ISO 9000, ISO 27001 e in settori specifici altre verifiche di sicurezza.

La pubblica amministrazione è sempre protetta dall’autonomia organizzativa e da meccanismi di autocertificazione. Già non è noto il numero di amministrazioni che ha applicato le Misure minime sopra citate. Mentre sappiamo dalle informazioni fornite dal Garante che non tutte le PPAA hanno nominato (è obbligatorio) il DPO previsto nel GDPR.

Il CERT-PA insediato presso AgID fornisce un valido supporto alla PA e anche un interessante e ampio numero di dati pubblicati sul sito istituzionale di AgID.

Ma manca un Rapporto sullo stato della sicurezza ICT delle PA che sia elaborato con una apposita e nota metodologia. E che impegni l’amministrazione della fornitura dei dati perché questi sono poi verificabili con appositi controlli.

Nel 2006 e 2007 furono pubblicati dal CNIPA i due unici rapporti sul tema con specifico riferimento alla PA centrale.

La metodologia sviluppata è ancora valida e rileggere oggi i rapporti (l’autore non ha evidenza di una loro attuale disponibilità in rete) conferma che la PA continua a essere un mistero.

L’applicazione del regolamento europeo GDPR e efficaci controlli istituzionali possono migliorare la situazione. L’affermazione politica sviluppata sul tema della concretezza amministrativa può trovare spazi anche sul tema della sicurezza ICT. L’Amministrazione non può controllare se stessa perché questo è contro i principi base della sicurezza (e non solo).

Sulla sicurezza, le timidezze istituzionali e il rinvio delle decisioni non è stato benefico. E abbiamo una serie di incidenti di sicurezza evidenziati sulla stampa e chissà quanti che rimangono ignoti.

Senza dimenticare la minaccia cibernetica internazionale che ha il suo più rilevante rischio nell’ambito delle infrastrutture critiche.

Infine, sempre presente, il tema della formazione del personale della PA. Questa viene ritenuta carente per l’ICT e la sicurezza ne è fondamentale componente.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3