Il Piano triennale per l’informatica nella Pubblica amministrazione sviluppato da AgID è stato infine approvato. Si tratta di un documento programmatico, costruito sulla base di un modello strategico di evoluzione del sistema informativo della Pubblica amministrazione, che in generale declina le azioni e gli obiettivi da raggiungere per ogni elemento del modello di crescita digitale del Paese, e più nel dettaglio indirizza il piano delle gare, il piano dei finanziamenti ed i piani triennali delle singole Amministrazioni.
Fra le molte novità di rilievo presenti nel Piano è importante notare che, forse per la prima volta, il tema Cybersecurity non solo è esplicitamente presente, ma compare addirittura come fondamentale elemento di garanzia per tutto il rimanente quadro organico, insistendo in modo trasversale su tutti gli elementi che lo compongono.
Il Piano, per superare il tradizionale e inefficace modello a silos, si basa su un modello di riferimento composto di layer (o strati) successivi, i quali raccolgono organicamente le componenti rilevanti in funzione della loro tipologia e del loro livello logico di applicazione. Lo strato inferiore è quello delle infrastrutture materiali, identificate nei tre grandi sottoinsiemi Data Center, Cloud e Connettività. Su di esso si appoggia lo strato delle infrastrutture immateriali, che comprende i due ampi sottoinsiemi delle piattaforme abilitanti (CiE, SPID, PagoPA, …) e dei Dati PA (Banche dati di interesse nazionale, …). Ancora al di sopra si trova lo strato del modello di interoperabilità, il quale a sua volta costituisce le fondamenta sulle quali si poggia lo strato dei cosiddetti Ecosistemi (trasporti, scuola, sanità, turismo, …) che sono gli ambiti tematici sui quali si esplica l’azione delle varie Amministrazioni.
Questo modello a strati è percorso in senso trasversale da alcuni elementi di supporto, i pillar (o pilastri), che metaforicamente lo sorreggono e, in senso più operativo, gli conferiscono le necessarie componenti di supporto per il suo corretto funzionamento e la complessiva sostenibilità dell’insieme. Uno di questi pilastri è proprio la cybersecurity, che nelle sue varie declinazioni partecipa a tutti i layer per assicurare non solo il mantenimento delle proprietà essenziali di sicurezza e garanzia delle informazioni della Pubblica amministrazione, quali riservatezza integrità e disponibilità, ma anche la più generale resilienza della “macchina” della PA verso le nuove minacce cibernetiche, nonché il rispetto dei principi di privacy previsti dall’ordinamento giuridico.
Si tratta di un compito di fondamentale importanza, ed è significativo che esso sia stato esplicitato e sottolineato in modo così forte nel Piano. Non si può infatti pensare di diffondere nel Paese la cultura digitale e l’utilizzo dei servizi informatici e telematici se manca la fiducia nel loro corretto funzionamento, anche a fronte dei rischi e delle minacce che su di essi sempre più incombono. E solo la presenza nel Piano di una funzione di cybersecurity diffusa, trasversale e incisiva può fornire al sistema le adeguate garanzie di corretto funzionamento e le capacità di superare gli incidenti con il minimo impatto negativo.
Gli obiettivi strategici assegnati dal piano alla componente di cybersecurity possono così essere riassunti:
- definire i profili di sicurezza delle componenti IT della Pubblica amministrazione e fornire i riferimenti tecnici e normativi che le Amministrazioni dovranno adottare;
- offrire alle Amministrazioni supporto nella prevenzione e nella risposta agli incidenti di sicurezza cibernetica;
- provvedere ad effettuare assessment e verifiche di sicurezza per accertare l’applicazione delle regole;
- dare seguito alle attività in essere in materia di accreditamento e verifica provvedendo, in primis, alla piena attuazione del regolamento eIDAS.
La maggior parte di questi compiti è assegnata al CERT-PA, la struttura di sicurezza cibernetica della Pubblica amministrazione operante in seno ad AgID, la quale come noto fa parte dell’architettura istituita dal Governo per la protezione dello spazio cibernetico nazionale. A tal fine una delle maggiori priorità di AgID è quella di potenziare le capacità operative del CERT-PA, per metterlo in grado di operare al meglio nello svolgimento dei sempre più importanti compiti ad esso assegnati. Infatti il CERT-PA, oltre all’attività quotidiana di monitoraggio dello spazio cibernetico, di analisi della minaccia, di supporto proattivo e reattivo alla propria constituency, svolge numerose attività strategiche e di ampio respiro. Ad esempio il CERT-PA sviluppa e mantiene asset strategici quali la Cyber Security Knowledge Base ed il National Vulnerability Database, basi di conoscenze riguardanti la declinazione nazionale della minaccia cibernetica; sviluppa e rende disponibili strumenti ed informazioni utili per prevenire e rispondere ad attacchi informatici; sviluppa ed emana, assieme ad AgID, le regole tecniche e le linee guida per la sicurezza ICT delle Pubbliche amministrazioni.
Uno degli obiettivi delineati nel Piano è in realtà già stato conseguito: si tratta dell’emissione delle Misure minime di sicurezza ICT per la Pubblica amministrazione, che con la loro recente pubblicazione in Gazzetta Ufficiale (circolare AgID 18 aprile 2017 n. 2/2017, pubblicata sulla Gazzetta Ufficiale serie generale n. 103 del 5 maggio 2017) sono ufficialmente divenute di obbligatoria adozione da parte di tutte le Amministrazioni. Si tratta di un primo importante tassello in un quadro di necessari adempimenti che va man mano formandosi, e che ha come scopo ultimo quello di innalzare il livello complessivo di protezione della Pubblica amministrazione contro il livello sempre crescente della minaccia. Si tratta di un’iniziativa importante e necessaria, perché la minaccia riguarda tutti ed ognuno deve fare la sua parte nella protezione del sistema complessivo. Un esempio? Le Misure minime impongono alle Amministrazioni il costante aggiornamento del software di base e di quello applicativo, mediante sistematica e tempestiva applicazione delle patch rilasciate dai rispettivi produttori: se questo principio fosse già stato rispettato, la recente campagna di ransomware WannaCry (e derivati), che si basava sullo sfruttamento di una nota e corretta vulnerabilità di tutte le versioni di Windows, non si sarebbe manifestata e diffusa in modo così virulento.
