Il cloud è centrale nel Piano per l’informatica nella Pubblica Amministrazione 2019-2021, anche per ridurre il rischio informatico. Ma sorgono nuovi problemi, negli end point. E restano non affrontate due lacune: la scarsa consapevolezza cyber nella PA e l’assenza di strutture organizzative locali sul cyber risk.

La cybersecurity emerge come tema strategico dal Piano per l’informatica nella Pubblica Amministrazione 2019-2021 approvato a marzo scorso. In particolare, l’adozione del paradigma cloud first può considerarsi un modello che genera maggiore vulnerabilità cibernetica per le strutture informatiche che lo utilizzano. Si aprono infatti benefici e possibilità nuove per la PA se si riesce a contenere il cyber risk.

Questa idea di maturazione necessaria della PA nel digitale, su vari fronti, si rispecchia negli stessi motivi di fondo che hanno portato al piano triennale. “Con il nuovo Piano Triennale si gettano le basi per consentire al settore pubblico di cominciare a correre e recuperare terreno nel percorso appena avviato verso una trasformazione digitale concreta e inclusiva. Un percorso non facile ma ragionevole e concreto, che fa perno sul Responsabile per la transizione al digitale (Rtd) e vede imprese e cittadini protagonisti di un progetto di crescita del Paese”. Sono infatti queste le parole con cui Giulia Bongiorno, Ministro per la Funzione Pubblica, ha presentato il Piano per l’informatica nella Pubblica Amministrazione 2019-2021, da lei stessa approvato in data 12/03/2019[1].

Il Piano 2019-2021 si presenta come un documento molto più corposo rispetto al suo predecessore (si passa da 133 a 339 pagine complessive[2]), formato da 13 capitoli più appendici e dotato di un ottimo livello di fruibilità generale in termini di chiarezza espositiva e ricchezza delle fonti.

Dalla lettura del testo emerge con nitidezza la volontà, proclamata dallo stesso Ministro Bongiorno, di colmare il gap digitale che pone l’Italia in una posizione di svantaggio rispetto ai partner europei più evoluti e traspare la vibrante e concreta ambizione di realizzare un progetto chiave per l’ammodernamento del Paese.

ELEMENTI DI DISCONTINUITÀ RISPETTO AL PIANO PRECEDENTE

Prima di analizzare nel merito contenuti e indicazioni del Piano 2019-2021, occorre evidenziarne la sostanziale continuità con l’omologo Piano relativo al triennio precedente, dal quale vengono ripresi la gran parte delle soluzioni e dei progetti proposti. Non mancano tuttavia, all’interno del Piano 2019-2021, tangibili elementi di novità, come del resto è normale che sia alla luce del fatto che esso è stato redatto sotto un Governo diverso rispetto a quello che aveva redatto il precedente. Fra questi elementi di novità, si identificano quelli che sono probabilmente i tre punti salienti del nuovo Piano:

  • L’intenzione di accentuare il risalto attribuito al ruolo delle amministrazioni territoriali e di accompagnare le stesse nel loro percorso di trasformazione digitale, ponendo in primo piano la figura del Responsabile per la transizione al digitale e individuando in lui il referente principale per l’implementazione di tale percorso.
  • L’ulteriore rafforzamento della centralità del “modello Cloud della PA”, con conseguente applicazione del principio Cloud First.
  • L’introduzione di modelli e strumenti per l’innovazione digitale incentrati sui principi di “open innovation” e “smart landscape”.

Relativamente al primo punto, viene effettuato un “riequilibrio” per ridurre il gap digitale fra centro e periferie e fra PA virtuose e PA meno evolute mediante la condivisione e la diffusione di strategie, piani operativi e buone pratiche già adottate. L’enfasi posta, sin dalle dichiarazioni di presentazione del Ministro Bongiorno, sulla figura del Responsabile per la transizione digitale va letta come volontà di individuare una sorta di destinatario della enorme mole di raccomandazioni, indicazioni e prescrizioni contenute nel Piano e valorizzare l’elemento manageriale nell’ottica dell’attuazione dei processi di trasformazione.

Riguardo al paradigma Cloud della PA invece, è innegabile che i notevoli vantaggi ad esso connessi – in termini di incremento dell’affidabilità dei sistemi, qualità dei servizi erogati e risparmi di spesa realizzabili – ne giustificano in toto la centralità che il nuovo Piano gli ha riservato, in continuità con gli sforzi definiti nell’ambito del Programma nazionale di abilitazione al Cloud per favorire la migrazione dei sistemi informativi verso il Cloud della PA, e rendono tollerabile la maggiore esposizione a minacce cibernetiche che dall’adozione di tale paradigma deriva.

Open innovation e smart landscape sono infine i veri e propri punti di discontinuità rispetto al passato: da una parte, aprirsi alle competenze ed alle tecnologie innovative provenienti dall’esterno significa coinvolgere il mondo imprenditoriale nel processo di ammodernamento della PA secondo il modello della cosiddetta partnership pubblico-privato; dall’altra, introdurre il concetto di smart landscape, di derivazione diretta dalla più nota smart city, serve ad evidenziare che il processo di ammodernamento del settore pubblico non va univocamente identificato con la digitalizzazione ed informatizzazione del relativo apparato amministrativo ma deve essere inteso in maniera dinamica, con riferimento all’intera comunità sociale e territoriale di riferimento di ogni singola infrastruttura amministrativa.

SICUREZZA INFORMATICA NEL PIANO TRIENNALE AGID

Venendo alle materie di specifico interesse del presente articolo, diamo uno sguardo alle parti dedicate ai temi della sicurezza informatica e della protezione cibernetica all’interno del Piano per l’informatica nella PA 2019-2021 e proviamo ad analizzare le implicazioni in ambito security delle novità introdotte.

In merito ai rischi di sicurezza correlati ad una sempre maggiore migrazione verso il Cloud Computing, si individua nella razionalizzazione delle risorse ICT descritta nel capitolo “Infrastrutture” uno dei principali approcci per aumentare il livello di sicurezza complessivo dell’amministrazione attraverso la riduzione della “superficie” esposta agli attacchi informatici.

Per razionalizzazione delle risorse si intende in sostanza la definizione operativa delle procedure attraverso le quali si ammetteranno alla fornitura dei servizi di cloud alla PA soltanto delle infrastrutture qualificate, i cosiddetti Cloud Service Provider (CSP). I criteri per la qualificazione dei Cloud Service Provider e la relativa procedura di qualificazione sono specificati nella Circolare n. 2/2018[3].

Tali infrastrutture così individuate erogheranno a loro volta in modalità SaaS i cosiddetti servizi Cloud qualificati. I criteri per la qualificazione di servizi SaaS per il Cloud della PA e la relativa procedura di qualificazione sono specificati nella Circolare n. 3/2018[4]. I servizi cloud così qualificati sono infine esposti mediante il Cloud Marketplace (il catalogo dei servizi cloud qualificati)[5].

Il processo di razionalizzazione appena descritto garantisce soltanto un efficace screening dei soggetti ammessi alla fornitura dei servizi alla PA, ma non è di per sé sinonimo di un aumento del livello di sicurezza del relativo sistema informatico. Al contrario, più si espande il ricorso a modelli di cloud computing e più cresce la superficie di attacco potenziale a disposizione degli aggressori.

LA SICUREZZA PASSA DALLA PROTEZIONE DEGLI ENDPOINT

L’adozione di strumenti di cloud computing, infatti, aumenta il numero dei cosiddetti “endpoint” che hanno accesso ai database e di conseguenza moltiplica i rischi di sicurezza legati alla mancata implementazione di adeguati sistemi di protezione “a bordo” dei vari device che si connettono ed incrementa i livelli di esposizione dei dati ed alle applicazioni gestiti sul cloud stesso.

In altre parole, il cloud computing, pur se strutturato seguendo tutte le prescrizioni necessarie a garantire elevati livelli di affidabilità del gestore del servizio, può considerarsi un modello che genera maggiore vulnerabilità cibernetica per le strutture informatiche che lo utilizzano: per quanto si possa sofisticare il livello di controllo centralizzato, è solo attraverso l’utilizzo di sistemi di protezione sugli endpoint che si può garantire un livello di sicurezza adeguato.

E’ pertanto la predisposizione di policy che obblighino i singoli utilizzatori ad uniformarsi a procedure predefinite la prima azione da compiere per garantire la data security nel cloud computing.

La verifica della compliance a queste policy può essere poi effettuata tramite soluzioni di tipo cloud security services, che la rendono possibile anche senza controllare fisicamente i dispositivi o connettersi direttamente a ciascuno di essi ma semplicemente attraverso controlli preventivi all’autorizzazione dell’accesso in cloud da parte del singolo endpoint. Molte di queste soluzioni esistono sul mercato ed hanno raggiunto un livello abbastanza elevato di affidabilità[6].

Altro elemento chiave nella gestione della cloud security è la capacità di automatizzare le attività più semplici e ripetitive attraverso soluzioni preimpostate, in modo che le operazioni di sicurezza possano concentrarsi esclusivamente sulla ricerca di attività anomale e sospette.

Alla luce di quanto appena esposto, si può affermare che garantire sicurezza in ambito cloud non sia un qualcosa di agevole, perché la responsabilità è condivisa fra fornitori di servizi cloud ed un elevato numero di utilizzatori dei servizi, alcuni dei quali non in possesso delle conoscenze e della cultura per operare in maniera congrua.

L’AUMENTO DI ATTACCHI INFORMATICI

Episodi di attacchi informatici in ambito cloud computing sono peraltro sempre più frequenti, come dimostrano i dati contenuti nel Rapporto Clusit 2019 sulla sicurezza ICT in Italia: il numero di attacchi gravi attribuiti al cyber crimine nel 2018 è aumentato del 43,8% rispetto all’anno precedente. La tecnica più utilizzata è il malware. Lo scorso anno gli attacchi basati sui malware sono stati 585 (68% del totale)[7]. Sempre più elevato risulta essere anche il livello di sofisticazione degli attacchi: le forme e le configurazioni che possono assumere i vari malware, specialmente nell’ambito dei sistemi di cloud computing, si moltiplicano anno dopo anno[8].

A questo proposito, il Security Prediction Report 2019 di FireEye[9] evidenzia, come le enormi migrazioni in corso verso il cloud, sia nel settore pubblico che in quello privato, non siano per ora accompagnate da un adeguato impegno per la protezione dei dati trasferiti, come accadeva invece all’epoca dei vecchi data center. Il rapporto prevede che il cloud rappresenterà nel 2019 il terreno dove avranno più probabilità di concretizzarsi criticità e attacchi, visto il sempre maggiore incentivo economico per gli aggressori a concentrarsi in questo ambito e la significativa porzione di dati non ancora adeguatamente protetta e priva di tecnologie e processi avanzati per rilevare i malware.

Il Piano Triennale per l’informatica nella PA, di fatto incentrato sull’utilizzo di un paradigma come quello del cloud computing che implica un sensibile aumento dei security risk deve per forza essere in grado di confrontarsi con un ambiente tecnologico estremamente complesso ed in continua evoluzione.

CLOUD SECURITY, GLI INGREDIENTI MANCANTI

Per fornire una idea del livello di sofisticazione tecnologica che si è raggiunta nel settore della Cybersecurity on cloud basta citare il recentissimo caso di acquisizione di una startup di Tel Aviv (la Luminate Security) – pioniera delle tecnologie di difesa dei servizi in cloud fornite come SaaS – da parte dell’impresa “Symantec”, a fronte di un corrispettivo di $200 milioni. L’entità dell’esborso è spiegata dal fatto che la Luminate ha introdotto un particolare tipo di tecnologia, definita perimeter technology, rivoluzionando il settore della cybersecurity in ambito cloud[10].

Sempre dalle pagine del Security Prediction Report 2019 di FireEye, si rileva che il problema più grande in tema di cloud security è quello legato al gap di competenze specifiche, dal momento che esiste un numero molto limitato di veri esperti in materia. Tali profili professionali sono peraltro caratterizzati, vista la rarità e l’importanza delle competenze possedute, da una estrema mobilità, avendo un grande mercato e essendo contesi dalle maggiori aziende.

La continua evoluzione delle minacce inoltre fa sì che queste competenze divengano velocemente obsolete, rendendo pressoché impossibile e non conveniente economicamente investire ingenti risorse in un team interno per la gestione della cybersecurity. Ciò è ancor più vero nel caso di un soggetto pubblico come la PA, caratterizzato tipicamente dalla necessità di ottimizzare le risorse economiche a disposizione.

POSSIBILE IL RICORSO A ESTERNI SPECIALIZZATI

Sotto questo punto di vista, non sembra pertanto possibile che la PA possa essere in grado di farcela da sola a gestire un livello così elevato di complessità tecnologica. Si potrebbe sostenere che, accanto all’attivazione di percorsi formativi interni per creare competenze e awareness fra addetti, partner e utilizzatori, ci sia bisogno – anche e soprattutto per i soggetti pubblici – di affidarsi a terze parti private specializzate in modo da poter usufruire del meglio delle competenze sul mercato e stare in contatto con persone aggiornate che possano apportare know how e gestire l’intero processo di cybersecurity. Un modello di cooperazione fra istituzioni e imprese private questo che è peraltro inserito fra gli indirizzi strategici del Piano nazionale per la protezione cibernetica e la sicurezza informatica.

PROTEZIONE DATI, TEMA CRITICO CON LO SMART LANDSCAPE

Una breve menzione la merita il tema della privacy. Il tema della protezione dei dati raccolti dovrebbe essere integrato nel dibattito sulla sicurezza di un processo di trasformazione digitale, specialmente se esso ha per protagonista una istituzione pubblica e specialmente se nell’ambito di tale progetto si attribuisce un ruolo centrale al modello di smart landscape come riproposizione e ampliamento del modello di smart city.

Per quanto questi modelli promettano, a fronte della diminuzione del livello di privacy, dei sensibili miglioramenti in termini di efficienza, vivibilità e sicurezza delle comunità, la richiesta da parte dei cittadini di una seria vigilanza sull’acquisizione e sull’utilizzo di dati che li riguardano è assolutamente legittima. La protezione della privacy nell’ambito di qualsiasi tecnologia smart di cloud computing o internet of things è uno degli aspetti critici da tenere in considerazione.

Per questo motivo molte imprese private si stanno occupando di sviluppare soluzioni che tengano conto delle esigenze di privacy all’interno della cloud security e implementino elementi di crittografia per innalzare il livello di tutela della riservatezza dei dati immagazzinati in cloud[11].

Tornando per un attimo al tema della awareness e della cultura della sicurezza cibernetica, la diffusione delle quali era considerato un punto centrale anche all’interno del Piano nazionale per la protezione cibernetica e la sicurezza informatica del 2017, si rileva come al riguardo emerga una grande consapevolezza all’interno del Piano Triennale per l’informatica nella PA: fra le righe del Capitolo 8 riservato alla sicurezza si cita l’“Italian Cyber Security Report 2014”, che individua nella mancanza nelle pubbliche amministrazioni della consapevolezza sulla minaccia cibernetica e l’assenza di strutture organizzative locali in grado di operare efficacemente un’attività di preparazione e risposta agli incidenti uno dei maggiori aspetti di criticità nel contesto del processo di trasformazione digitale della PA.

Per quanto possa sembrare retorico, infatti, senza l’attivazione di tali dinamiche a livello dei singoli centri operativi della PA e dei singoli addetti responsabili dell’utilizzo dei sistemi, è molto difficile immaginare una effettiva riduzione delle vulnerabilità e delle esposizioni cibernetiche.

Ultimo ambito di riflessione è quello relativo ad un aspetto abbastanza delicato ogni qualvolta si parli di PA, ossia quello organizzativo e di governance: saper pianificare e guidare gli investimenti ed i progetti, gestirne e monitorarne l’implementazione, misurare l’efficacia dei processi operativi. Ebbene, a questo riguardo chi ha redatto il Piano Triennale per l’informatica nella PA sembra tenere in considerazione tali circostanze, prendendosi la cura di sottolineare progetto per progetto e tecnologia per tecnologia chi sono i beneficiari (cittadini, imprese o amministrazioni), in che tempi sono attesi i risultati (breve, medio, lungo periodo) e quali sono i ruoli e le responsabilità dei soggetti preposti all’attuazione del piano.

NOTE

1. http://www.funzionepubblica.gov.it/articolo/dipartimento/12-03-2019/il-ministro-bongiorno-approva-il-piano-triennale-linformatica-1

2. https://www.agendadigitale.eu/cittadinanza-digitale/che-cambia-col-piano-triennale-agid-2019-2021-una-guida-operativa/

3. https://cloud-pa.readthedocs.io/it/v18.0409/circolari/CSP/circolare_qualificazione_CSP_v1.2.html

4. https://cloud-pa.readthedocs.io/it/v18.0409/circolari/SaaS/circolare_qualificazione_SaaS_v_4.12.27.html

5. https://cloud.italia.it/marketplace/supplier/market/index.html

6. https://umbrella.cisco.com/

7. https://www.zerounoweb.it/techtarget/searchsecurity/cybersecurity/cybersecurity-per-il-clusit-siamo-a-un-bivio-cruciale/

8. https://www.tripwire.com/state-of-security/security-data-protection/cloud/malware-cloud/

9. https://content.fireeye.com/predictions/rpt-security-predictions-2019

10. https://www.corrierecomunicazioni.it/digital-economy/cloud/cybersecurity-on-cloud-symantec-si-prende-luminate-per-200-milioni-di-dollari/

11. https://digitalguardian.com/blog/cryptography-cloud-securing-cloud-data-encryptionhttps://www.microsoft.com/en-us/research/project/cloud-security-cryptography/?from=http%3A%2F%2Fresearch.microsoft.com%2Fen-us%2Fprojects%2Fcryptocloud%2F

Vai all’articolo