Nell’attuale era digitale la sicurezza informatica e il corretto uso del mondo web e degli strumenti informatici da parte di ogni singolo cittadino, aziende private e Pubblica Amministrazione (PA), devono necessariamente essere elementi da considerare quali prioritari nel processo innovativo digitale.
Come ribadito nel recente documento di Strategia per la Crescita Digitale 2014-2020 elaborato dalla Presidenza del Consiglio dei Ministri, tra le principali ricette anticrisi vi è proprio quella del mercato unico digitale. Si tratta di una misura che vale il 3% del Pil all’anno. Utilizzare le leve pubbliche per lo sviluppo digitale di cittadini e imprese è il fulcro della strategia messa a punto dalla Presidenza. Le risorse pubbliche devono servire per promuovere la trasformazione digitale delle imprese italiane e sviluppare le competenze dei cittadini.
Sempre in questo documento è evidenziato come lo sviluppo di tale strategia deve avvenire secondo la logica della co-progettazione, anche valorizzando le best practices sul territorio per definire piani e standard nazionali.
Anche il Piano triennale di attuazione dell’Agenda digitale recentemente presentato dal Direttore Generale di AgID a ForumPA prevede un deciso passaggio da una prima fase definita “artigianale” della digital transformation della PA ad una fase “industriale”. Il nuovo Piano Triennale ha infatti l’obiettivo di dare alla PA quella strategia che per anni è mancata e che ha causato una frammentazione totale che oggi deve essere superata.
Oggi è evidente una notevole frammentazione a livello di infrastrutture e di sistemi non integrati, che non solo aumentano costi e riducono efficienza e sicurezza dei processi della PA, ma rendono anche più complessa la vita a cittadini e imprese negli adempimenti nei confronti dell’Amministrazione.
In tale contesto la collaborazione tra aziende pubbliche e private può portare un notevole contributo al processo di digital trasformation della PA, iniziando un cammino che porta verso una “PA 4.0” e avviando la realizzazione di nuovi servizi per un ecosistema pubblico in cui cittadino e imprese siano al centro. Sogei ha iniziato la realizzazione di servizi in questo nuovo paradigma:
– L’esigenza del cittadino/impresa deve essere risolta da una soluzione unitaria che “attraversi” la complessità dei processi amministrativi coinvolti, come sta avvenendo nella Fatturazione Elettronica e nella Sanità Digitale,
– La domanda di cittadini/imprese digitalmente sempre più preparati ed esigenti deve essere soddisfatta con l’adozione delle nuove tecnologie disponibili che rendano i processi amministrativi più efficienti, come i Fast Corridor Doganali,
– La semplificazione dei processi amministrativi richiesta da cittadini/imprese deve essere realizzata mediante l’integrazione di fonti di informazioni oggi ancora frammentate e non controllate, come nella Dichiarazione precompilata.
Quindi il rapido e continuo sviluppo dei servizi in rete che creano un vero e proprio mondo virtuale nel cosiddetto “spazio cibernetico”, se da un lato presenta innumerevoli vantaggi, quali l’abbattimento delle frontiere geografiche (attraverso l’interconnessione di miliardi di individui), l’erogazione di nuovi tipi di servizi e lo scambio di conoscenza a livello globale, dall’altro è fonte di nuovi e complessi rischi. Per questo la Cyber Security è una parte fondamentale del processi di trasformazione e innovazione digitale della PA.
E’ evidente che una tale trasformazione di paradigma dei servizi offerti dalla PA, basati su nuove tecnologie, quali open&big data, cloud, …, erogati in un cyberspace denso di minacce, richieda specifiche misure per la protezione dei dati (fra cui quelli personali) e per la Cyber Security.
I dati 2016 del Data Breach & Investigation Report di Verizon[1] riportano il settore pubblico al primo posto tra quelli più colpiti da Data Breach, confermando l’incidenza maggiore del fenomeno in questo settore rispetto a tutti gli altri. Tra le cause principali di data breach, oltre all’errore umano, troviamo l’abuso di privilegi ed il furto fisico di dispositivi contenente informazioni, confermando la necessità di un approccio integrato alla gestione dei rischi di sicurezza.
Il Regolamento Europeo sulla Protezione dei Dati Personali nonché la Direttiva NIS (Network and Information Security) approvate di recente in Commissione Europea stanno introducendo importanti misure di sicurezza, tra le quali la costituzione di un CERT per la prevenzione e reazione agli attacchi informatici, le notifiche alle autorità competenti in caso di Data Breach, l’impiego proprio del paradigma di security by design nella progettazione di qualsiasi sistema informatico.
Nel quadro della trasformazione digitale del nostro paese, la PA, che è un importante e rilevante elemento di contatto con i cittadini, non può e non deve assolutamente prescindere dalla sicurezza nella realizzazione dei servizi digitali.
In particolare le minacce provenienti dal mondo cyber devono essere necessariamente prese in considerazione nel processo di trasformazione digitale, la sicurezza non deve essere vista solamente come uno stato finale ma, piuttosto deve diventare un fattore abilitante dei servizi che le aziende pubbliche e private forniscono ai cittadini.
E’ necessario anticipare le minacce puntando sulla conoscenza del fenomeno, sulla formazione di tutti i dipendenti e dei singoli cittadini e su una progettazione dei servizi che consideri la sicurezza il fulcro e il driver da cui partire nella costruzione di processi amministrativi efficienti e sicuri (security by design).
L’esperienza ed il punto di vista di Sogei sulla Cyber Security
Sogei prima ancora della minaccia cibernetica, in qualità di infrastruttura critica del Paese, ha dovuto affrontare e gestire, con particolare attenzione, tutti i rischi direttamente o indirettamente connessi con la sicurezza delle informazioni e con la sicurezza fisica. Ciò, negli anni, ha consentito lo sviluppo di una cultura della sicurezza orientata alla gestione integrata dei rischi, proprio a motivo della criticità e della strategicità dei servizi ICT erogati. Questo approccio è divenuto pertanto un elemento “congenito” dei processi e delle principali iniziative aziendali e ha portato alla definizione di una strategia per assicurare la protezione integrata dell’organizzazione e dei servizi erogati, affrontando tutti gli aspetti legati alla sicurezza, fisica, logica e cibernetica.
I principali fattori abilitanti, che hanno permesso a Sogei di gestire la sicurezza in maniera integrata sono:
• Una Struttura Organizzativa dedicata al governo ed alla gestione della sicurezza, a diretto riporto del Vertice Aziendale e presidiata da un Chief Security Officer (CSO) che «orchestra», in un’ottica integrata, tutti gli attori coinvolti negli aspetti di tutela e salvaguardia del patrimonio informativo e degli asset aziendali.
• Pratiche, processi e standard interni per la sicurezza (c.d. Sistemi di Gestione), volti a garantire il massimo livello di efficacia e copertura nel presidio organizzativo dei singoli ambiti di sicurezza (Sicurezza delle Informazioni, Sicurezza Fisica, Gestione della Privacy, ecc.), assicurando al tempo stesso una gestione integrata dei rischi.
• Conformità alle norme vigenti, agli standard adottati e ai requisiti espressi dai Clienti in ambito di sicurezza delle informazioni, mediante un approccio “multi-compliance”, attraverso la gestione del requisito (normativo, contrattuale) e della misura di sicurezza introdotta per soddisfare lo stesso, fin dalle prime fasi realizzative (security by design). Nell’analisi multi-compliance sono stati recepiti nel 2015 i requisiti previsti dal Framework NIST, per la definizione di soluzioni organizzative e per l’attivazione o il potenziamento di presidi tecnologici specifici in ambito cybersecurity (come ad esempio il CERT). Quanto implementato è risultato coerente inoltre con le raccomandazioni previste per le grandi imprese, contenute nel Framework Nazionale per la CyberSecurity[2].
• Attuazione di avanzate soluzioni tecnologiche per contrastare i principali rischi di sicurezza fisica, logica e cibernetica, in termini di prevenzione, protezione, monitoraggio, risposta a minacce e attacchi informatici; tali misure di protezione e controllo sono applicate ad ogni livello di implementazione dei servizi informatici erogati (reti, sistemi, piattaforme software, basi dati, programmi applicativi).
• Un Computer Emergency Response Team (CERT) dedicato in modo costante alla prevenzione, al controllo e alla gestione degli incidenti di sicurezza cibernetica (), che svolge una attività continua di acquisizione ed analisi delle informazioni tecniche rilevanti ed aggiornate sulle vulnerabilità e sulle minacce in corso o emergenti (quali l’attivismo, lo spionaggio, altre forme di lucro, ecc.).
• Nell’ambito della gestione e sviluppo delle risorse umane, Sogei predispone infine programmi di formazione e sensibilizzazione che contemplano le politiche e le procedure organizzative adottate in azienda in materia di (cyber) sicurezza.
Utilizzando l’esperienza di Sogei, sicuramente alcuni elementi sopra descritti possono essere presi a modello dalla PA, come la gestione integrata dei rischi, l’adozione di Framework di “multi-compliance”, l’attuazione del CERT e la definizione di un programma di formazione e sensibilizzazione dei dipendenti.
Analogamente a quanto fatto a supporto dei programmi di digitalizzazione con la nascita della figura del Digital Champion, si ritiene che sia necessaria la figura dei Digital Security Champion nazionali, tra i quali Sogei potrebbe far parte, con l’obiettivo di facilitare il raggiungimento di un livello omogeneo di (Cyber) Sicurezza all’interno della PA ed in generale supportando la realizzazione degli indirizzi operativi indicati nel Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica[3] emanato dalla Presidenza del Consiglio dei Ministri nel Dicembre 2013. Tra gli indirizzi ricordiamo alcuni:
• Favorire l’attività di tavoli istituzionali, tavoli tecnici ed organismi competenti che prevedono la partecipazione di reti/fornitori di servizi, con particolare riguardo alla definizione di accordi e di procedure condivise per l’operatività dei CERT.
• Sviluppare iniziative, soluzioni e prodotti per la gestione delle crisi a carattere cibernetico attraverso il contributo sinergico delle Autorità competenti, dei fornitori di Servizi, del settore privato, dei diversi Dicasteri, ecc..
• Perseguire uniformi livelli di sicurezza dei Data Center e degli ambienti di lavoro delle Amministrazioni e dei gestori delle infrastrutture critiche nazionali.
• Perseguire il coinvolgimento e la cooperazione tra i CERT Dicasteriali ed il CERT-PA, al fine di mitigare gli effetti di possibili eventi cibernetici.
• Sviluppare, sperimentare e validare attività operative nel cyber-spazio con l’ausilio di strumenti di simulazione, con addestramento collettivo e training on the job.
In parallelo è necessario anche avviare un processo di evoluzione della Sicurezza ed in particolare della Cyber Security, che accompagni quello tecnologico, attraverso iniziative e attività progettuali adeguate a sostegno del processo di digitalizzazione dove al centro è posto il cittadino. Attraverso le capacità di difesa e contrasto alle minacce cyber e attraverso la esperienza e competenza di Sogei, si può fornire un contributo sostanziale allo sviluppo e alla crescita dei servizi digitali in Italia a servizio dei cittadini, affiancando nei prossimi anni Enti e Amministrazioni nelle sfide e nelle opportunità legate alla digitalizzazione.
In particolare si ritiene necessario capitalizzare il know-how maturato dagli esperti di sicurezza focalizzando l’attenzione sulla costituzione di due poli importanti: uno a sostegno della ricerca (Cyber Defense Lab), l’altro a sostegno dello sviluppo di soluzioni innovative, coinvolgendo anche il mondo accademico, il settore pubblico e quello privato (Centro per la Sicurezza Cibernetica Nazionale).
Il Cyber Defense Lab potrà erogare servizi specialistici a supporto del processo di gestione dei cyber-incident erogati dai vari CERT. Tale attività garantirà d’altra parte il continuo aggiornamento e sviluppo di nuove competenze nell’ambito del Lab, disponendo di un ampio e diversificato repertorio di casi reali di studio.
Tra le iniziative innovative in questo senso potrebbe essere sviluppata ad esempio una base informativa estesa sugli attacchi Cyber nella PA, propedeutica allo sviluppo di modelli predittivi di Cyber Intelligence, in grado di fornire indicazioni utili ad anticipare potenziali attacchi futuri rivolti ad enti e organizzazioni pubbliche di rilevanza nazionale. Ciò significa anche contribuire attivamente alle attività di Cyber e Counter-Intelligence, creando i presupposti per produrre una “conoscenza” utile all’identificazione dei rischi e dei pericoli derivanti dal Cyberspazio e alla pianificazione di azioni proattive miranti alla protezione dei propri sistemi informatici, nonché di vero e proprio contrasto alle minacce che provengono dalla Rete, con l’obiettivo di anticipare e ostacolare i pericoli prima che gli stessi si possano verificare.
Conclusioni
Sogei, sfruttando la propria esperienza nella progettazione di soluzioni tecnologiche di Cyber Security e dei relativi processi di gestione, è in grado di costituire insieme a fornitori privati qualificati un Centro per la Sicurezza Cibernetica Nazionale (o per la PA). Il Centro ha lo scopo di realizzare soluzioni innovative sulla Cyber Security che possano fornire strumenti necessari a contrastare le minacce Cyber e fornire una risposta tempestiva a potenziali attacchi cibernetici diretti non solo verso la PA, ma anche verso il cittadino o verso qualsiasi soggetto, che abbia una valenza nazionale.
La collaborazione tra il settore pubblico e il settore privato, all’interno del Centro per la Sicurezza Cibernetica, può portare inoltre anche alla definizione di requisiti, regole e vincoli da utilizzare per la realizzazione di software sicuro, allo sviluppo sia di soluzioni innovative su tematiche di interesse strategico nazionale, che di standard e framework nazionali a supporto del mondo digitale.
A sostegno delle soluzioni individuate all’interno Centro per la Sicurezza Cibernetica, si ritiene che sia indispensabile mettere a punto una rete sicura di info-sharing tra settore pubblico e privato attraverso la quale condividere in modo veloce e affidabili tutte le informazioni necessarie per poter contrastare le minacce e gli incidenti informatici di tipo Cyber. E’ opportuno che tali informazioni siano strutturate e gestite con una nica regia nazionale, in un corretto equilibrio dei principi di “need to know” e “need to share”, bilanciando le esigenze della difesa nazionale e dei settori pubblico e privato.
Quanto fino ad ora esposto può essere vanificato senza un opportuno sostegno ad attività formative ed educative in materia di difesa cibernetica necessarie per aumentare la consapevolezza di addetti e cittadini.
Verso i cittadini è necessario avviare un percorso di sensibilizzazione e awareness sui temi della Cyber Security in quanto, come fruitori dei servizi digitali, sono un elemento debole e vulnerabile del mondo Cyber. A tal proposito attraverso il Cyber Defense Lab è ipotizzabile avviare specifici progetti di ricerca per ideare servizi da utilizzare per avviare una campagna nazionale di sensibilizzazione su tali temi rivolta a tutti i cittadini.
Per il personale della pubblica amministrazione, è necessario avviare un percorso di formazione personalizzato in base ai ruoli e alle attività svolte nell’ambito delle singole Amministrazioni; è ipotizzabile che Sogei, realizzi strumenti di e-learning ideati per sviluppare la consapevolezza degli utenti, a tutti i livelli di responsabilità, sui rischi di Cyber Security e sul corretto comportamento nell’uso delle risorse informatiche.
[1] http://www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf
[2] Il Cyber Security Report 2015, realizzato dal CIS-Sapienza e dal Laboratorio Nazionale di Cyber Security, in collaborazione con diverse organizzazioni pubbliche e private, contiene un Framework Nazionale per la Cyber Security. Lo scopo del Framework Nazionale è quello di offrire alle organizzazioni un approccio omogeneo per affrontare la cyber security, al fine di ridurre il rischio legato alla minaccia cyber
[3] http://www.agid.gov.it/sites/default/files/leggi_decreti_direttive/piano-nazionale-cyber_0.pdf
