In tema di sicurezza informatica della PA, il nuovo Piano triennale per l’informatica nella Pubblica amministrazione mostra obiettivi ambiziosi ma ragionevoli e raggiungibili, almeno sul piano delle intenzioni.
Quello delineato in questo ultimo Piano dall’Agid è però soltanto l’ultimo capitolo di una lunga serie di iniziative, proposte, linee guida, modelli organizzativi che si sono succeduti nel tempo senza risolvere alcune questioni cruciali, dalla governance ai controlli, fino alla formazione del personale, il tutto in un contesto in cui la quantità e la qualità della minaccia cibernetica sono in continuo aumento così come la digitalizzazione e l’offerta di servizi in rete da parte della pubblica amministrazione.
Ripercorriamo allora la “storia infinita” della sicurezza informatica nella pubblica amministrazione italiana, esaminando quello che è stato fatto finora e quello che resta da fare.
Una gestione della sicurezza efficiente ed efficace
Il Piano Triennale per l’informatica nella pubblica amministrazione 2019-2021 dedica ancora una volta il capitolo 8 alla sicurezza informatica.
Del ruolo di AgID e delle peculiarità del Piano Triennale ha ben scritto Corrado Giustozzi.
In questo scenario, con servizi sempre più cruciali per il funzionamento e lo sviluppo del rapporto tra PA e cittadini e imprese diventa indispensabile una gestione della sicurezza efficiente ed efficace in applicazione dell’articolo 51 del Codice dell’amministrazione digitale (CAD).
Peraltro alcune cose, cruciali, sono irrisolte o poco chiare o ignote. E la mancanza di informazioni sullo stato della sicurezza equivale a insicurezza.
Il primo elemento solo accennato nell’articolo sopra citato è la mancata emanazione delle regole tecniche previste nell’articolo 51, comma 1 del CAD. E’ importante sottolineare che tali regole tecniche erano indicate chiaramente nella precedente versione del Piano Triennale con scadenza settembre 2017 e chi scrive è a conoscenza di varie versioni da circa cinque anni.
Queste regole tecniche sono fondamentali per la sicurezza ICT delle PA in quanto forniscono le indicazioni sulle misure da adottare.
Le misure minime per la sicurezza ICT delle PA
AgID ha tamponato questa carenza normativa mediante l’emanazione del documento contenente le misure minime per la sicurezza ICT delle Pubbliche Amministrazioni. Questo documento con delle puntuali liste di riscontro fornisce le indicazioni per il raggiungimento di livelli di sicurezza prefissati a partire da quello minimo. Tale livello è obbligatorio anche se sarebbe opportuno aver raggiunto quello intermedio che non a caso è denominato standard.
Considerato le nuove disposizioni del CAD in materia di emanazione di regole tecniche (mediante lo strumento delle Linee guida) AgID può emanare le regole tecniche previste magari ampliandole allo scenario della sicurezza cibernetica. Questa ipotesi trova ragionevole conferma nella Linea di Azione LA60 con scadenza a dicembre 2019.
Queste Linee guida possono stabilire il completamento della costituzione dello CSIRT. Questo infatti sta ancora funzionando in regime provvisorio, mediante la collaborazione fra CERT Nazionale (MiSE) e CERT-PA (AgID), ma deve diventare una struttura autonoma dotata di una precisa collocazione amministrativa, oltre che di una propria struttura organizzativa.
Cyber security, il tema della governance
Questo aspetto evidenzia il tema della governance della sicurezza cibernetica. Un tema fondamentale come la sicurezza cibernetica dovrebbe avere un punto unico di coordinamento nazionale.
Il tema non è nuovo e fu affrontato già nel 2003/2004 dal “Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni” insediato dal Ministro per l’innovazione e le tecnologie e da quello per le Comunicazioni.
Nel marzo del 2004 fu pubblicato il documento “Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione”.
Nel marzo del 2006 vengono pubblicate le “Linee guida per la sicurezza ICT delle pubbliche amministrazioni” con il “Piano Nazionale della sicurezza ICT per la PA” e il “Modello organizzativo nazionale di sicurezza ICT per la PA”.
L’intenso lavoro svolto conteneva proposte per un gestione efficace e efficiente della sicurezza e non tutto è andato disperso.
Si sono gettate le basi per la gestione dell’emergenza nella PA (Continuità operativa e Disaster recovery) oggi operativa. E’ nato ed è ampiamente operativo l’Organismo per la Certificazione della Sicurezza (OCSI) stabilito attualmente presso il Ministero dello Sviluppo Economico.
L’organizzazione generale della sicurezza invece si è sviluppata in varie direzioni e AgID svolge solo una parte delle attività necessarie comprese quelle di coordinamento internazionale con l’Unione Europea.
Il lettore che volesse approfondire i temi appena descritti può consultare il quaderno CNIPA numero 23.
Il nodo dei controlli indipendenti
Ritornando al Piano triennale vigente si può senz’altro affermare che sono numerosi i passi in avanti sui temi in esame ed è altresì evidente la continuità delle Linee di Azione rispetto al Piano precedente.
Nel frattempo è arrivato il GDPR che impone (e sanziona nei casi di non applicazione della norma) misure di sicurezza adeguate anche a carico delle PA.
La conformità al GDPR è una parte dell’applicazione di corrette regole per la sicurezza ICT ma la presenza di sanzioni, anche elevate, generalmente spinge i decisori a fare qualcosa.
Ma il tema cruciale, da sempre irrisolto, è quello dell’assenza di controlli sistematici effettuati da terzi. Alle aziende si richiedono certificazioni ISO 9000, ISO 27001 e in settori specifici altre verifiche di sicurezza.
La pubblica amministrazione è sempre protetta dall’autonomia organizzativa e da meccanismi di autocertificazione. Già non è noto il numero di amministrazioni che ha applicato le Misure minime sopra citate. Mentre sappiamo dalle informazioni fornite dal Garante che non tutte le PPAA hanno nominato (è obbligatorio) il DPO previsto nel GDPR.
Il CERT-PA insediato presso AgID fornisce un valido supporto alla PA e anche un interessante e ampio numero di dati pubblicati sul sito istituzionale di AgID.
Ma manca un Rapporto sullo stato della sicurezza ICT delle PA che sia elaborato con una apposita e nota metodologia. E che impegni l’amministrazione della fornitura dei dati perché questi sono poi verificabili con appositi controlli.
Nel 2006 e 2007 furono pubblicati dal CNIPA i due unici rapporti sul tema con specifico riferimento alla PA centrale.
La metodologia sviluppata è ancora valida e rileggere oggi i rapporti (l’autore non ha evidenza di una loro attuale disponibilità in rete) conferma che la PA continua a essere un mistero.
L’applicazione del regolamento europeo GDPR e efficaci controlli istituzionali possono migliorare la situazione. L’affermazione politica sviluppata sul tema della concretezza amministrativa può trovare spazi anche sul tema della sicurezza ICT. L’Amministrazione non può controllare se stessa perché questo è contro i principi base della sicurezza (e non solo).
Sulla sicurezza, le timidezze istituzionali e il rinvio delle decisioni non è stato benefico. E abbiamo una serie di incidenti di sicurezza evidenziati sulla stampa e chissà quanti che rimangono ignoti.
Senza dimenticare la minaccia cibernetica internazionale che ha il suo più rilevante rischio nell’ambito delle infrastrutture critiche.
Infine, sempre presente, il tema della formazione del personale della PA. Questa viene ritenuta carente per l’ICT e la sicurezza ne è fondamentale componente.