sicurezza della PA

Cybersecurity nel Piano Triennale, Giustozzi: “ecco come proteggeremo le PA”

Niente più silos, ma layer (strati) e pillars (pilastri): il nuovo piano vuole fornire una struttura solida e la cybersecurity nelle sue varie declinazioni partecipa a tutti i layer per assicurare sia il mantenimento delle proprietà essenziali di sicurezza delle informazioni della PA, sia la resilienza della “macchina”

Pubblicato il 01 Giu 2017

Corrado Giustozzi

Docente LUISS, Rexilience

sicurezza_435095332

Il Piano triennale per l’informatica nella Pubblica amministrazione sviluppato da AgID è stato infine approvato. Si tratta di un documento programmatico, costruito sulla base di un modello strategico di evoluzione del sistema informativo della Pubblica amministrazione, che in generale declina le azioni e gli obiettivi da raggiungere per ogni elemento del modello di crescita digitale del Paese, e più nel dettaglio indirizza il piano delle gare, il piano dei finanziamenti ed i piani triennali delle singole Amministrazioni.

Fra le molte novità di rilievo presenti nel Piano è importante notare che, forse per la prima volta, il tema Cybersecurity non solo è esplicitamente presente, ma compare addirittura come fondamentale elemento di garanzia per tutto il rimanente quadro organico, insistendo in modo trasversale su tutti gli elementi che lo compongono.

Il Piano, per superare il tradizionale e inefficace modello a silos, si basa su un modello di riferimento composto di layer (o strati) successivi, i quali raccolgono organicamente le componenti rilevanti in funzione della loro tipologia e del loro livello logico di applicazione. Lo strato inferiore è quello delle infrastrutture materiali, identificate nei tre grandi sottoinsiemi Data Center, Cloud e Connettività. Su di esso si appoggia lo strato delle infrastrutture immateriali, che comprende i due ampi sottoinsiemi delle piattaforme abilitanti (CiE, SPID, PagoPA, …) e dei Dati PA (Banche dati di interesse nazionale, …). Ancora al di sopra si trova lo strato del modello di interoperabilità, il quale a sua volta costituisce le fondamenta sulle quali si poggia lo strato dei cosiddetti Ecosistemi (trasporti, scuola, sanità, turismo, …) che sono gli ambiti tematici sui quali si esplica l’azione delle varie Amministrazioni.

Questo modello a strati è percorso in senso trasversale da alcuni elementi di supporto, i pillar (o pilastri), che metaforicamente lo sorreggono e, in senso più operativo, gli conferiscono le necessarie componenti di supporto per il suo corretto funzionamento e la complessiva sostenibilità dell’insieme. Uno di questi pilastri è proprio la cybersecurity, che nelle sue varie declinazioni partecipa a tutti i layer per assicurare non solo il mantenimento delle proprietà essenziali di sicurezza e garanzia delle informazioni della Pubblica amministrazione, quali riservatezza integrità e disponibilità, ma anche la più generale resilienza della “macchina” della PA verso le nuove minacce cibernetiche, nonché il rispetto dei principi di privacy previsti dall’ordinamento giuridico.

Si tratta di un compito di fondamentale importanza, ed è significativo che esso sia stato esplicitato e sottolineato in modo così forte nel Piano. Non si può infatti pensare di diffondere nel Paese la cultura digitale e l’utilizzo dei servizi informatici e telematici se manca la fiducia nel loro corretto funzionamento, anche a fronte dei rischi e delle minacce che su di essi sempre più incombono. E solo la presenza nel Piano di una funzione di cybersecurity diffusa, trasversale e incisiva può fornire al sistema le adeguate garanzie di corretto funzionamento e le capacità di superare gli incidenti con il minimo impatto negativo.

Gli obiettivi strategici assegnati dal piano alla componente di cybersecurity possono così essere riassunti:

  • definire i profili di sicurezza delle componenti IT della Pubblica amministrazione e fornire i riferimenti tecnici e normativi che le Amministrazioni dovranno adottare;
  • offrire alle Amministrazioni supporto nella prevenzione e nella risposta agli incidenti di sicurezza cibernetica;
  • provvedere ad effettuare assessment e verifiche di sicurezza per accertare l’applicazione delle regole;
  • dare seguito alle attività in essere in materia di accreditamento e verifica provvedendo, in primis, alla piena attuazione del regolamento eIDAS.

La maggior parte di questi compiti è assegnata al CERT-PA, la struttura di sicurezza cibernetica della Pubblica amministrazione operante in seno ad AgID, la quale come noto fa parte dell’architettura istituita dal Governo per la protezione dello spazio cibernetico nazionale. A tal fine una delle maggiori priorità di AgID è quella di potenziare le capacità operative del CERT-PA, per metterlo in grado di operare al meglio nello svolgimento dei sempre più importanti compiti ad esso assegnati. Infatti il CERT-PA, oltre all’attività quotidiana di monitoraggio dello spazio cibernetico, di analisi della minaccia, di supporto proattivo e reattivo alla propria constituency, svolge numerose attività strategiche e di ampio respiro. Ad esempio il CERT-PA sviluppa e mantiene asset strategici quali la Cyber Security Knowledge Base ed il National Vulnerability Database, basi di conoscenze riguardanti la declinazione nazionale della minaccia cibernetica; sviluppa e rende disponibili strumenti ed informazioni utili per prevenire e rispondere ad attacchi informatici; sviluppa ed emana, assieme ad AgID, le regole tecniche e le linee guida per la sicurezza ICT delle Pubbliche amministrazioni.

Uno degli obiettivi delineati nel Piano è in realtà già stato conseguito: si tratta dell’emissione delle Misure minime di sicurezza ICT per la Pubblica amministrazione, che con la loro recente pubblicazione in Gazzetta Ufficiale (circolare AgID 18 aprile 2017 n. 2/2017, pubblicata sulla Gazzetta Ufficiale serie generale n. 103 del 5 maggio 2017) sono ufficialmente divenute di obbligatoria adozione da parte di tutte le Amministrazioni. Si tratta di un primo importante tassello in un quadro di necessari adempimenti che va man mano formandosi, e che ha come scopo ultimo quello di innalzare il livello complessivo di protezione della Pubblica amministrazione contro il livello sempre crescente della minaccia. Si tratta di un’iniziativa importante e necessaria, perché la minaccia riguarda tutti ed ognuno deve fare la sua parte nella protezione del sistema complessivo. Un esempio? Le Misure minime impongono alle Amministrazioni il costante aggiornamento del software di base e di quello applicativo, mediante sistematica e tempestiva applicazione delle patch rilasciate dai rispettivi produttori: se questo principio fosse già stato rispettato, la recente campagna di ransomware WannaCry (e derivati), che si basava sullo sfruttamento di una nota e corretta vulnerabilità di tutte le versioni di Windows, non si  sarebbe manifestata e diffusa in modo così virulento.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati