cyber security

Sicurezza informatica nella PA: una storia infinita con molti nodi ancora da sciogliere

Quella della sicurezza informatica della PA italiana è una storia che parte da lontano, ma le diverse strade intraprese e piani avviati ancora non hanno risolto alcune questioni cruciali quali la governance e i controlli sistemici. Né hanno giovato alla causa la timidezza istituzionale e i continui rinvii

Pubblicato il 07 Mag 2019

Giovanni Manca

consulente, Anorc

italia-digitale

In tema di sicurezza informatica della PA, il nuovo Piano triennale per l’informatica nella Pubblica amministrazione  mostra obiettivi ambiziosi ma ragionevoli e raggiungibili, almeno sul piano delle intenzioni.

Quello delineato in questo ultimo Piano dall’Agid è però soltanto l’ultimo capitolo di una lunga serie di iniziative, proposte, linee guida, modelli organizzativi che si sono succeduti nel tempo senza risolvere alcune questioni cruciali, dalla governance ai controlli, fino alla formazione del personale, il tutto in un contesto in cui la quantità e la qualità della minaccia cibernetica sono in continuo aumento così come la digitalizzazione e l’offerta di servizi in rete da parte della pubblica amministrazione.

Ripercorriamo allora la “storia infinita” della sicurezza informatica nella pubblica amministrazione italiana, esaminando quello che è stato fatto finora e quello che resta da fare.

Una gestione della sicurezza efficiente ed efficace

Il Piano Triennale per l’informatica nella pubblica amministrazione 2019-2021 dedica ancora una volta il capitolo 8 alla sicurezza informatica.

Del ruolo di AgID e delle peculiarità del Piano Triennale ha ben scritto Corrado Giustozzi.

In questo scenario, con servizi sempre più cruciali per il funzionamento e lo sviluppo del rapporto tra PA e cittadini e imprese diventa indispensabile una gestione della sicurezza efficiente ed efficace in applicazione dell’articolo 51 del Codice dell’amministrazione digitale (CAD).

Peraltro alcune cose, cruciali, sono irrisolte o poco chiare o ignote. E la mancanza di informazioni sullo stato della sicurezza equivale a insicurezza.

Il primo elemento solo accennato nell’articolo sopra citato è la mancata emanazione delle regole tecniche previste nell’articolo 51, comma 1 del CAD. E’ importante sottolineare che tali regole tecniche erano indicate chiaramente nella precedente versione del Piano Triennale con scadenza settembre 2017 e chi scrive è a conoscenza di varie versioni da circa cinque anni.

Queste regole tecniche sono fondamentali per la sicurezza ICT delle PA in quanto forniscono le indicazioni sulle misure da adottare.

Le misure minime per la sicurezza ICT delle PA

AgID ha tamponato questa carenza normativa mediante l’emanazione del documento contenente le misure minime per la sicurezza ICT delle Pubbliche Amministrazioni. Questo documento con delle puntuali liste di riscontro fornisce le indicazioni per il raggiungimento di livelli di sicurezza prefissati a partire da quello minimo. Tale livello è obbligatorio anche se sarebbe opportuno aver raggiunto quello intermedio che non a caso è denominato standard.

Considerato le nuove disposizioni del CAD in materia di emanazione di regole tecniche (mediante lo strumento delle Linee guida) AgID può emanare le regole tecniche previste magari ampliandole allo scenario della sicurezza cibernetica. Questa ipotesi trova ragionevole conferma nella Linea di Azione LA60 con scadenza a dicembre 2019.

Queste Linee guida possono stabilire il completamento della costituzione dello CSIRT. Questo infatti sta ancora funzionando in regime provvisorio, mediante la collaborazione fra CERT Nazionale (MiSE) e CERT-PA (AgID), ma deve diventare una struttura autonoma dotata di una precisa collocazione amministrativa, oltre che di una propria struttura organizzativa.

Cyber security, il tema della governance

Questo aspetto evidenzia il tema della governance della sicurezza cibernetica. Un tema fondamentale come la sicurezza cibernetica dovrebbe avere un punto unico di coordinamento nazionale.

Il tema non è nuovo e fu affrontato già nel 2003/2004 dal “Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni” insediato dal Ministro per l’innovazione e le tecnologie e da quello per le Comunicazioni.

Nel marzo del 2004 fu pubblicato il documento “Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione”.

Nel marzo del 2006 vengono pubblicate le “Linee guida per la sicurezza ICT delle pubbliche amministrazioni” con il “Piano Nazionale della sicurezza ICT per la PA” e il “Modello organizzativo nazionale di sicurezza ICT per la PA”.

L’intenso lavoro svolto conteneva proposte per un gestione efficace e efficiente della sicurezza e non tutto è andato disperso.

Si sono gettate le basi per la gestione dell’emergenza nella PA (Continuità operativa e Disaster recovery) oggi operativa. E’ nato ed è ampiamente operativo l’Organismo per la Certificazione della Sicurezza (OCSI) stabilito attualmente presso il Ministero dello Sviluppo Economico.

L’organizzazione generale della sicurezza invece si è sviluppata in varie direzioni e AgID svolge solo una parte delle attività necessarie comprese quelle di coordinamento internazionale con l’Unione Europea.

Il lettore che volesse approfondire i temi appena descritti può consultare il quaderno CNIPA numero 23.

Il nodo dei controlli indipendenti

Ritornando al Piano triennale vigente si può senz’altro affermare che sono numerosi i passi in avanti sui temi in esame ed è altresì evidente la continuità delle Linee di Azione rispetto al Piano precedente.

Nel frattempo è arrivato il GDPR che impone (e sanziona nei casi di non applicazione della norma) misure di sicurezza adeguate anche a carico delle PA.

La conformità al GDPR è una parte dell’applicazione di corrette regole per la sicurezza ICT ma la presenza di sanzioni, anche elevate, generalmente spinge i decisori a fare qualcosa.

Ma il tema cruciale, da sempre irrisolto, è quello dell’assenza di controlli sistematici effettuati da terzi. Alle aziende si richiedono certificazioni ISO 9000, ISO 27001 e in settori specifici altre verifiche di sicurezza.

La pubblica amministrazione è sempre protetta dall’autonomia organizzativa e da meccanismi di autocertificazione. Già non è noto il numero di amministrazioni che ha applicato le Misure minime sopra citate. Mentre sappiamo dalle informazioni fornite dal Garante che non tutte le PPAA hanno nominato (è obbligatorio) il DPO previsto nel GDPR.

Il CERT-PA insediato presso AgID fornisce un valido supporto alla PA e anche un interessante e ampio numero di dati pubblicati sul sito istituzionale di AgID.

Ma manca un Rapporto sullo stato della sicurezza ICT delle PA che sia elaborato con una apposita e nota metodologia. E che impegni l’amministrazione della fornitura dei dati perché questi sono poi verificabili con appositi controlli.

Nel 2006 e 2007 furono pubblicati dal CNIPA i due unici rapporti sul tema con specifico riferimento alla PA centrale.

La metodologia sviluppata è ancora valida e rileggere oggi i rapporti (l’autore non ha evidenza di una loro attuale disponibilità in rete) conferma che la PA continua a essere un mistero.

L’applicazione del regolamento europeo GDPR e efficaci controlli istituzionali possono migliorare la situazione. L’affermazione politica sviluppata sul tema della concretezza amministrativa può trovare spazi anche sul tema della sicurezza ICT. L’Amministrazione non può controllare se stessa perché questo è contro i principi base della sicurezza (e non solo).

Sulla sicurezza, le timidezze istituzionali e il rinvio delle decisioni non è stato benefico. E abbiamo una serie di incidenti di sicurezza evidenziati sulla stampa e chissà quanti che rimangono ignoti.

Senza dimenticare la minaccia cibernetica internazionale che ha il suo più rilevante rischio nell’ambito delle infrastrutture critiche.

Infine, sempre presente, il tema della formazione del personale della PA. Questa viene ritenuta carente per l’ICT e la sicurezza ne è fondamentale componente.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati