A fine maggio è stato aggiudicato da Consip un nuovo contratto che permetterà alle PA di acquistare servizi di sicurezza, altresì propedeutici alla realizzazione dei progetti PNRR riferiti alla Missione 1 – “Digitalizzazione” – Componente 1 – “Digitalizzazione, innovazione e sicurezza della PA”. Un processo dall’impatto rilevante, in quanto per affrontare i diversi e sofisticati attacchi informatici di oggi abbiamo bisogno di tecnologia avanzata, infrastrutture sicure e una maggiore cooperazione operativa, nonché un approccio comune europeo sui parametri di riferimento della sicurezza informatica per prodotti e per servizi contro le minacce informatiche che colpiscono le nostre economie, le nostre democrazie e la pace.
Nel nostro contesto odierno, per rispondere alle sfide contingenti soprattutto cyber, si deve acquisire il massimo grado di conoscenza e consapevolezza in modo tale da garantire la cyber resilience.
Il PNRR occasione unica per i Comuni: risorse, strumenti e soluzioni per vincere la sfida
PA digitale e sicurezza, lo scenario
Le nostre PA – per poter essere competitive e resilienti – devono essere protagoniste del cyberspace e, per farlo, devono agire con piena consapevolezza per gestire problematiche di cybersecurity attraverso:
- La predisposizione di una cybersecurity strategy che attinga ai vari standard e linee guida della cybersecurity.
- Una maggiore consapevolezza del contesto in cui si trovano ad operare, partendo dai propri obiettivi di business, ovvero identificando le informazioni critiche per il business, rendendo la cybersecurity parte integrante della propria cultura e considerando quali impatti sulla cybersecurity possono avere le decisioni prese dall’organizzazione.
Pertanto, la cybersecurity non può essere considerata solo a posteriori, bensì deve essere integrata nelle priorità del business sin dall’inizio. Essa non può limitarsi alla gestione del rischio o essere affidata ai soli esperti di tecnologia, deve essere responsabilità di tutti.
Discipline come il Risk Management, la Business Continuity e la cybersecurity sono da considerarsi leve strategiche per le organizzazioni, contribuendo all’implementazione di un nuovo modello operativo basato su una solida “spina dorsale” digitale, ovvero: l’”organizzazione bionica” che si affida alla tecnologia e alle persone per migliorare la resilienza e l’innovazione e preparare l’organizzazione ad anticipare gli eventi dirompenti.
Il bando per i servizi di sicurezza da remoto
Il Lotto 2 della gara Consip – “Servizi di Sicurezza da Remoto” ha un valore di 117 milioni di euro e consiste in servizi di compliance e controllo che mirano a: verificare il grado di sicurezza del sistema informativo; definire la strategia di cybersecurity; comprendere i fabbisogni di sicurezza, soprattutto considerando la necessità di proteggere le infrastrutture digitali da attacchi hacker sempre più massivi. In particolare, si tratta di:
- Strategie di Security – Necessità di definire le scelte strategiche in termini di gestione della sicurezza delle informazioni, degli indirizzi organizzativi, tecnologici e i relativi fabbisogni per quanto riguarda la sicurezza IT
- Vulnerability Assessment – Processo finalizzato a identificare e classificare rischi e vulnerabilità di sicurezza del sistema informativo.
- Testing del codice – Processo di identificazione di vulnerabilità riferiti al software, nella fase iniziale del ciclo di vita, al fine di poterle eliminare prima della distribuzione sul mercato.
- Supporto ad analisi e gestione degli incidenti – Analisi degli incidenti e divulgazione delle informazioni in caso di emergenza.
- Penetration testing – Sfruttamento delle vulnerabilità rilevate in modo tale da valutare il grado di sicurezza del sistema informativo.
- Compliance – Analisi della conformità a norme, regolamentazioni, standard o policy in termini di sistema informativo.
È doveroso ricordare il contratto è un accordo quadro multi-fornitore a condizioni predefinite. Di seguito gli aggiudicatari della gara per ambito di assegnazione:
- Amministrazioni locali – Gruppo di imprese RTI costituito da Deloitte Risk Advisory Srl, EY Advisory Spa e Tele-co Srl – Valore del contratto: Euro 70.200.000.
- Amministrazioni Centrali – Gruppo di imprese RTI costituito da Intellera Consulting Srl, Capgemini Italia Spa, HSPI Spa e TELECONSYS Spa (Amministrazioni centrali) – Valore del contratto: Euro 46.800.000.
Roadmap verso la Cybersecurity nazionale ed europea
Continua il cammino verso la cybersecurity a livello sia nazionale sia europeo. La crisi ucraina ha, indubbiamente, in qualche modo accelerato l’adozione di processi per la messa in sicurezza delle infrastrutture critiche e nuove misure sono state strutturate per rispondere al “wild west digitale” e, in particolare, la Nuova Strategica di Cybersecurity italiana e la futura Cyber Resilience Act europea.
- Nuova Strategia di Cybersecurity Italiana – È confermata la volontà di proseguire il cammino verso una cybersecurity nazionale sempre più strutturata attraverso la nuova strategia di Cybersecurity Italiana per il periodo 2022-2026 presentata dall’Agenzia per la Cybersicurezza Nazionale (ACN) lo scorso 25 maggio 2022. Si tratta di mettere in atto 82 misure di sicurezza di prevenzione e di mitigazione del rischio, al fine di garantire maggiormente la resilienza delle infrastrutture digitali del Paese in particolare quelle di PA pesantemente attaccate in quest’ultimo periodo. Da come si evince dal comunicato stampa di ACN si mira a:
- Assicurare una transizione digitale cyber resiliente della PA e del tessuto produttivo italiano.
- Raggiungere l’autonomia strategica nazionale ed europea nel settore del digitale;
- Anticipare l’evoluzione della minaccia cyber.
- Gestire correttamente le crisi cibernetiche generate dagli attacchi informatici.
- Contrastare la disinformazione online creata in seguito all’ampliarsi della cosiddetta minaccia ibrida.
Di fatto si fa riferimento a tre obiettivi principali e, precisamente:
- Protezione – La protezione degli asset strategici nazionali, attraverso un approccio orientato alla gestione e mitigazione del rischio, formato sia da un quadro normativo che da misure, strumenti e controlli per abilitare una transizione digitale resiliente del Paese.
- Risposta – La risposta alle minacce, agli incidenti e alle crisi cyber nazionali, attraverso sistemi di monitoraggio, rilevamento, analisi e attivazione di processi che coinvolgano l’intero ecosistema di cybersicurezza nazionale.
- Sviluppo – Lo sviluppo sicuro delle tecnologie digitali, per rispondere alle esigenze del mercato, attraverso strumenti e iniziative volti a supportare i centri di eccellenza, le attività di ricerca e le imprese.
Le misure strategiche
Alcune delle misure della Strategia a supporto della PA sono:
- Misura n. 1 – “Rafforzare il sistema di scrutinio tecnologico nazionale a supporto della sicurezza della supply chain e l’adozione di schemi di certificazione europea di cybersecurity, anche mediante l’accreditamento di laboratori di valutazione pubblico/privati”.
- Misura n.10 – “Pubblicare linee guida sulla cybersecurity per le Amministrazioni Pubbliche, con differenti gradi di cogenza (con riguardo, ad es., a MFA, registrazione e conservazione dei log, ecc.), anche in riferimento alla transizione al cloud e favorendo una gestione continuativa e automatizzata del rischio cyber, secondo un approccio zero trust”.
- Misura n. 14 – Coordinare interventi di potenziamento delle capacità di identificazione, monitoraggio e controllo del rischio cyber nella Pubblica Amministrazione per la messa in sicurezza dei dati e dei servizi dei cittadini.
- Misura n.15 – Provvedere alla qualificazione dei servizi cloud per la Pubblica Amministrazione, in attuazione della Strategia Cloud Italia, al fine di assicurare adeguati livelli di sicurezza per i servizi e i dati della PA.
- Misura n. 16 – Facilitare la migrazione sicura dei servizi e dei dati della Pubblica Amministrazione sul cloud, ovvero PSN o Public Cloud, in linea con le attività di classificazione dei dati e dei servizi come da Strategia Cloud Italia.
- Misura n. 19 – Implementare servizi di monitoraggio di vulnerabilità e configurazioni erronee dei servizi digitali esposti su Internet di interesse della Pubblica Amministrazione, attuando politiche di early warning.
- Misura n. 20 – Promuovere l’utilizzo delle migliori pratiche di gestione dei domini di posta elettronica della Pubblica Amministrazione, implementando un servizio di monitoraggio e protezione contro campagne di phishing o abusi.
- Misura n. 21 – Promuovere lo sviluppo e l’implementazione di un servizio nazionale di gestione delle copie dei backup “a freddo”, al fine di offrire, alle Pubbliche Amministrazioni e operatori privati, un’infrastruttura con alti livelli di resilienza a supporto di una pronta riattivazione di sistemi e servizi a seguito di guasti o incidenti.
- Misura n. 33 – “Accrescere le capacità di risposta e ripristino a seguito di crisi cibernetiche implementando una rete di CERT settoriali integrata con lo CSIRT Italia, nonché un piano nazionale di gestione crisi che definisca procedure, processi e strumenti da utilizzare in coordinamento con gli operatori pubblici e privati, con l’obiettivo di assicurare la continuità operativa delle reti, dei sistemi informativi e dei servizi informatici”.
- Regolamentazioni europee per la Cybersecurity – Anche l’Unione Europea prosegue la serie di iniziative regolamentari. In particolare, la legge sulla resilienza informatica (Cyber Resilience Act) andrà ad integrare il quadro legislativo dell’UE esistente, che comprende la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), la legge sulla sicurezza informatica, nonché l’accordo raggiunto lo scorso 12 maggio 2022 in termini di direttiva sulle misure per un livello comune elevato di sicurezza informatica in tutta l’Unione (NIS 2) alla luce delle crescenti minacce cyber che gravano sulle organizzazioni.
