La cyber resilience nella pubblica amministrazione è una necessità urgente e in crescita, in un’era in cui le infrastrutture digitali sono continuamente bersagliate da attacchi informatici. Esaminare l’importanza della cyber resilience, insieme alle strategie e misure preventive, è essenziale per proteggere i dati sensibili e garantire la continuità operativa dei servizi pubblici fondamentali.
Cos’è la cyber resilience e perché è importante
La sicurezza e resilienza del perimetro cibernetico delle amministrazioni pubbliche ha acquisito un’importanza cruciale negli ultimi anni, poiché le infrastrutture digitali sono diventate bersagli sempre più frequenti di attacchi informatici. Questa materia non solo riguarda la prevenzione degli attacchi ma anche la capacità di rispondere e recuperare rapidamente da essi, garantendo la continuità operativa. Un primo passo essenziale nella costruzione di una solida cyber resilience è l’adozione di protocolli di sicurezza avanzati. Questi protocolli includono l’utilizzo di crittografia forte, l’implementazione di firewall robusti e l’adozione di sistemi di rilevamento delle intrusioni[1].
Proteggere la PA dagli attacchi informatici, la tecnologia da sola non basta
Tuttavia, la tecnologia da sola non è sufficiente è necessario in primis uno sforzo organizzativo sostenuto dalla diffusione di competenze e buone pratiche tra tutti i livelli dell’organizzazione.
La pubblica amministrazione deve perciò anche concentrarsi sulla formazione continua del personale. Con l’avvento della piattaforma integrata di formazione “Syllabus”, voluta fortemente dal Ministero della Funzione Pubblica, si è potuto colmare il gap in termini di omogeneità e frammentazione nella formazione dei dipendenti.
Su tale piattaforma asincrona in modalità e-learning sono disponibili i corsi proposti dall’Agenzia per l’Italia Digitale (ACN), che rappresentano un notevole passo in avanti nella diffusione delle digital skills e possono contribuire a sensibilizzare i dipendenti sui rischi informatici e sulle migliori pratiche da seguire.
Solo attraverso una strategia comprensiva e coordinata si può sperare di proteggere le infrastrutture digitali dalle minacce informatiche sempre più sofisticate e garantire la continuità operativa dei servizi essenziali.
Casi celebri di attacchi informatici recenti
In un contesto di crescente sofisticazione degli attacchi informatici, alcuni eventi recenti dimostrano quanto siano vulnerabili le pubbliche amministrazioni e quanto sia urgente l’adozione di un approccio robusto alla cyber resilience. Esaminiamo alcuni casi celebri di attacchi informatici che hanno colpito la pubblica amministrazione negli ultimi anni.
Questi incidenti rivelano falle critiche nelle infrastrutture digitali e sottolineano la necessità di strategie preventive e di risposta efficace.
Attacco ransomware alla Regione Lazio (2021)
Uno degli attacchi più gravi in Italia si è verificato nel luglio 2021, quando un attacco ransomware ha colpito i sistemi della Regione Lazio. L’attacco ha bloccato l’accesso al portale per la prenotazione dei vaccini contro il COVID-19 e ha causato un’interruzione significativa dei servizi regionali per diverse settimane. Nonostante la richiesta di riscatto, la Regione ha dichiarato di non aver pagato nulla agli hacker. Le indagini hanno rivelato che l’attacco è stato possibile grazie al furto delle credenziali di accesso di un dipendente esterno.[2]
Attacco informatico all’Agenzia delle Entrate (2022)
Nel luglio 2022, l’Agenzia delle Entrate è stata vittima di un attacco da parte di un gruppo di cybercriminali noto come LockBit. Gli hacker hanno annunciato di aver violato i sistemi dell’agenzia e di essere in possesso di circa 78 GB di dati sensibili, tra cui documenti fiscali e personali dei cittadini italiani. Il gruppo ha minacciato di pubblicare tali dati se non fosse stato pagato un riscatto. L’Agenzia delle Entrate e la Polizia Postale hanno subito avviato un’indagine, minimizzando l’impatto dell’attacco[3]
Attacco phishing al Ministero dello Sviluppo Economico (MISE) (2020)
Nel 2020, il Ministero dello Sviluppo Economico è stato vittima di un attacco phishing sofisticato che ha mirato a rubare informazioni personali e credenziali di accesso di funzionari del governo. Gli hacker hanno inviato email contraffatte, apparentemente provenienti da alti funzionari del ministero, per ingannare i destinatari e spingerli a fornire i loro dati. Anche se l’attacco non ha causato danni significativi ai sistemi centrali del MISE, ha evidenziato l’importanza della formazione del personale su attacchi di ingegneria sociale.[4]
Attacco DDoS ai sistemi comunali di Torino (2021)
Nel 2021, i sistemi informatici del Comune di Torino sono stati colpiti da un attacco Distributed Denial of Service (DDoS), che ha causato il blocco dei servizi digitali per i cittadini, inclusi quelli per il pagamento di imposte e le procedure amministrative. Sebbene l’attacco non abbia comportato furti di dati, ha paralizzato temporaneamente le operazioni digitali del comune, sollevando preoccupazioni sulla vulnerabilità delle infrastrutture informatiche locali.[5]
Questi esempi mettono in luce una serie di vulnerabilità comuni: sistemi legacy non aggiornati, gestione inadeguata dei permessi di accesso, assenza di misure di autenticazione robusta e mancanza di strategie di mitigazione per attacchi DDoS. Le conseguenze per le amministrazioni pubbliche coinvolte sono state significative, con impatti che vanno dai disservizi prolungati ai costi di ripristino elevati, passando per il danno alla fiducia dei cittadini.
Strategie preventive per una cyber resilience efficace
Per migliorare la cyber resilience nelle pubbliche amministrazioni, è fondamentale adottare un insieme di strategie preventive concrete e specifiche.
L’adozione di protocolli di sicurezza avanzati
Tra queste, l’adozione di protocolli di sicurezza avanzati, la segmentazione della rete e l’importanza del monitoraggio continuo delle infrastrutture digitali rappresentano i pilastri fondamentali. In primo luogo, l’adozione di protocolli di sicurezza avanzati è essenziale per proteggere i dati sensibili. Questi protocolli includono l’utilizzo di crittografia end-to-end, autenticazione a più fattori (MFA) e procedure di aggiornamento regolari.
La crittografia end-to-end garantisce che i dati siano leggibili solo dalle parti autorizzate, riducendo la probabilità che dati compromessi possano essere utilizzati in modo dannoso. L’MFA aggiunge un ulteriore livello di protezione, assicurando che anche se una password viene compromessa, l’accesso non autorizzato è comunque bloccato senza il secondo fattore di autenticazione.
Infine, mantenere software e sistemi operativi aggiornati chiude le vulnerabilità conosciute che potrebbero essere sfruttate dagli attaccanti.
La segmentazione della rete
Poi, la segmentazione della rete è una strategia efficace per limitare il movimento laterale degli attaccanti all’interno delle infrastrutture. Segmentare la rete in diverse zone di sicurezza isolate aiuta a contenere eventuali intrusioni, riducendo l’impatto di un attacco. Ad esempio, le aree critiche come database con informazioni sensibili possono essere separate dalle reti utilizzate per la navigazione quotidiana. In caso di violazione, la segmentazione limita la portata dell’infiltrazione e facilita l’ispezione e la risoluzione del problema.
L’importanza del monitoraggio continuo delle infrastrutture digitali
L’importanza del monitoraggio continuo delle infrastrutture digitali non può essere sottovalutata. Implementare un sistema di monitoraggio che consenta di rilevare tempestivamente attività sospette o anomale aiuta a intervenire rapidamente in caso di attacco. L’utilizzo di strumenti avanzati come sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione delle intrusioni (IPS), e firewall di nuova generazione sono alcuni dei metodi più efficaci. Questi sistemi analizzano costantemente il traffico di rete in tempo reale, individuando e bloccando potenziali minacce prima che possano causare danni significativi. In sintesi, per costruire una cyber resilience efficace, le pubbliche amministrazioni devono integrare:
- Protocolli di Sicurezza Avanzati
- Multi Factor Authentication
- Crittografia End2End
- Aggiornamenti regolari
- Segmentazione della rete
- Monitoraggio continuo delle infrastrutture all’interno delle loro strategie di sicurezza.
- IPS
- IDS
- AI Firewall
La combinazione di queste misure preventive non solo aumenta significativamente la capacità di resistere agli attacchi informatici, ma migliora anche la capacità di recupero e risposta agli incidenti, minimizzando il rischio di gravi conseguenze operative e legali.
Il ruolo fondamentale della formazione continua
La formazione continua del personale rappresenta un pilastro fondamentale per mantenere un elevato livello di sicurezza informatica nelle pubbliche amministrazioni. La crescente sofisticazione degli attacchi informatici richiede un aggiornamento costante delle competenze e delle conoscenze degli operatori, per poter rispondere in maniera efficace e tempestiva alle minacce. La prevenzione non può basarsi esclusivamente su tecnologie e protocolli avanzati; è di cruciale importanza che i dipendenti siano capaci di riconoscere e gestire potenziali situazioni di rischio.
Programmi strutturati di formazione: il Syllabus
Programmi strutturati di formazione come “Syllabus” della Scuola Nazionale dell’Amministrazione (SNA) sono esempi eccellenti di iniziative volte a garantire una preparazione costante e capillare del personale della PA. “Syllabus” offre percorsi formativi modulari che coprono differenti aspetti della cybersecurity, dalle nozioni di base fino agli approfondimenti specialistici, tarati sulle diverse esigenze delle amministrazioni pubbliche. Questi percorsi formativi permettono di instaurare una vera e propria cultura della sicurezza informatica, sensibilizzando i dipendenti sui rischi e sulle best practice da adottare quotidianamente.[6]
In particolare, la formazione continua contribuisce a ridurre le vulnerabilità legate al fattore umano, spesso sfruttato dagli attaccanti. Phishing, social engineering e altre tecniche di manipolazione psicologica possono facilmente ingannare dipendenti non adeguatamente formati. Corsi di aggiornamento periodici e simulazioni di attacco aiutano a mantenere alta l’attenzione e a riconoscere queste minacce nella vita lavorativa di tutti i giorni.
Un approccio sistemico per implementare efficacemente programmi di formazione
Per implementare efficacemente programmi di formazione, le amministrazioni dovrebbero adottare un approccio sistemico che includa:
- Assessment continui delle competenze: valutare periodicamente il livello di preparazione dei dipendenti per identificare eventuali lacune e prevedere corsi di aggiornamento mirati.
- Workshop e laboratori pratici: organizzare sessioni pratiche per simulare scenari di attacco e pratica delle risposte, migliorando così la prontezza e le capacità operative del personale.
- Coinvolgimento di esperti esterni: collaborare con enti e istituzioni specializzate per fornire formazione avanzata e aggiornamenti sulle nuove forme di minacce e sulle tecnologie emergenti.
Infine, la promozione di una cultura della sicurezza deve essere un obiettivo prioritario. È essenziale sensibilizzare tutti i livelli dell’amministrazione, facendo comprendere che la sicurezza informatica non è solo una responsabilità del reparto IT, ma un impegno condiviso. Comunicazioni interne, campagne di awareness e l’adozione di politiche premiali per comportamenti virtuosi possono incentivare una più ampia partecipazione e interesse per le tematiche della cybersecurity.
L’efficace implementazione di programmi come “Syllabus” e le iniziative formative mirate non solo mitigano i rischi, ma incrementano considerevolmente la resilienza complessiva dell’infrastruttura digitale pubblica. In vista dei continui cambiamenti e delle nuove minacce, la formazione continua si conferma un investimento fondamentale per garantire la sicurezza e l’efficienza della pubblica amministrazione.
Il contributo dell’Agenzia per la Cybersicurezza Nazionale (ACN)
Il contributo dell’Agenzia per la Cybersicurezza Nazionale (ACN)[7] L’Agenzia per la Cybersicurezza Nazionale (ACN) gioca un ruolo cruciale nel rafforzare la cyber resilience delle pubbliche amministrazioni italiane. Fondata con l’obiettivo di proteggere le infrastrutture digitali a livello nazionale, l’ACN fornisce un supporto imprescindibile e mette in atto iniziative concrete che mirano a contrastare le minacce informatiche in modo proattivo.
Il programma di sicurezza informatica per la PA
Uno dei principali progetti istituiti dall’ACN è il Programma di Sicurezza Informatica per la Pubblica Amministrazione.
Questo programma, articolato in diverse fasi, prevede l’implementazione di sistemi avanzati di monitoraggio e rilevamento delle minacce, così come l’adozione di tecnologie di crittografia per proteggere i dati sensibili. L’ACN collabora strettamente con i vari enti della pubblica amministrazione per garantire che queste misure vengano adottate e periodicamente aggiornate. Un esempio significativo dell’efficacia dei progetti dell’ACN è stato il caso di un attacco ransomware ai danni di un importante ministero. Grazie alle metodologie di risposta rapida dell’ACN, l’attacco è stato contenuto, riducendo al minimo il danno e permettendo una ripresa delle attività in tempi brevi. Questo incidente ha messo in evidenza l’importanza della preparazione e della cooperazione inter-agenzia.
L’upgrade della sicurezza delle reti e dei sistemi nazionali
L’ACN sta anche promuovendo l’Upgrade della Sicurezza delle Reti e dei Sistemi Nazionali, un’iniziativa volta a migliorare la sicurezza delle reti utilizzate dalle pubbliche amministrazioni. Questo progetto implica la revisione e la modernizzazione dei protocolli di sicurezza esistenti, nonché l’introduzione di nuove tecnologie come firewall avanzati e sistemi di prevenzione delle intrusioni. Il tutto viene integrato con un sistema centralizzato di gestione delle minacce che permette un’analisi in tempo reale delle potenziali vulnerabilità. Sul fronte della formazione, l’ACN organizza corsi di aggiornamento e simulazioni di attacco (red teaming) che preparano il personale della pubblica amministrazione a riconoscere e rispondere agli attacchi informatici. Questi corsi complementano gli sforzi di formazione continua già discussi nel capitolo precedente e rafforzano la capacità di reazione delle istituzioni.
La piattaforma di condivisione delle informazioni sulle minacce
Per sostenere queste attività, l’ACN ha avviato la Piattaforma di Condivisione delle Informazioni sulle Minacce (Threat Intelligence Sharing Platform).
Questo strumento consente alle differenti entità governative di condividere dati e analisi relativi alle minacce informatiche, migliorando così la risposta collettiva agli attacchi. La piattaforma facilita il rapido scambio di informazioni e best practices, costituendo un elemento fondamentale per una difesa coesa e integrata. In conclusione, l’ACN ha delineato una serie di misure preventive e reattive che hanno già dimostrato la loro efficacia nel contrastare gli attacchi informatici. La collaborazione tra l’ACN e le diverse pubbliche amministrazioni è essenziale per costruire un sistema di sicurezza informatica solido e resiliente. Nel prossimo capitolo, esploreremo suggerimenti pratici e immediati che le pubbliche amministrazioni possono adottare per ulteriormente migliorare la loro sicurezza informatica.
Suggerimenti pratici per migliorare la sicurezza informatica
Prima di tutto, è essenziale garantire che i software e i sistemi operativi utilizzati siano aggiornati regolarmente. Le vulnerabilità nei sistemi software vengono spesso sfruttate dagli attaccanti per penetrare nelle infrastrutture digitali. Gli aggiornamenti e le patch di sicurezza rilasciati dai fornitori devono essere applicati tempestivamente per ridurre i rischi associati a eventuali falle di sicurezza.
La gestione degli accessi
La gestione degli accessi è un altro aspetto fondamentale. Le pubbliche amministrazioni devono implementare politiche di controllo degli accessi stringenti, assicurando che solo il personale autorizzato possa accedere a determinati dati e risorse. È utile adottare il principio del minimizzare i privilegi, garantendo che ciascun utente abbia solo gli accessi necessari per svolgere le proprie mansioni. L’implementazione di meccanismi di autenticazione multi-fattore può significativamente ridurre il rischio di accessi non autorizzati.
L’utilizzo della crittografia
Un’altra raccomandazione chiave è l’utilizzo della crittografia. Tutti i dati sensibili, sia in transito che a riposo, dovrebbero essere crittografati. Questa misura garantisce che i dati rubati o intercettati non possano essere letti o utilizzati dagli attaccanti, riducendo così i danni in caso di violazione.
Oltre a queste precauzioni tecniche, è cruciale investire nella formazione continua del personale. Le pubbliche amministrazioni dovrebbero promuovere una cultura della sicurezza informatica, organizzando regolarmente workshop e corsi di aggiornamento, come quelli previsti dal programma Syllabus, promuovendo la consapevolezza sulle minacce informatiche e le migliori pratiche per prevenirle.
Valutazioni periodiche dei rischi
Inoltre, è consigliabile effettuare delle valutazioni periodiche dei rischi. Le pubbliche amministrazioni dovrebbero analizzare continuamente le vulnerabilità delle loro infrastrutture attraverso audit di sicurezza, penetration test e simulazioni di attacchi. Questi test permettono di identificare e correggere tempestivamente eventuali debolezze.
Un piano di risposta agli incidenti ben definito
Infine, è fondamentale avere un piano di risposta agli incidenti ben definito. Questo piano deve includere procedure dettagliate per la gestione di diverse tipologie di attacco, dalla rilevazione fino alla ripresa delle operazioni. La rapidità e l’efficacia nella risposta possono fare la differenza tra un incidente contenuto e una crisi estesa.
Attuando queste misure preventive e strategie proattive, le pubbliche amministrazioni possono non solo proteggere le loro infrastrutture digitali, ma anche accrescere la loro cyber resilience, preparandosi meglio per affrontare e rispondere agli attacchi informatici.
Rafforzare la cyber resilience: cruciale il fattore tempo
In definitiva è evidente la necessità di rafforzare la cyber resilience attraverso misure pratiche e immediate. Gli enti pubblici devono adottare al più presto protocolli di sicurezza avanzati e assicurare una formazione continua del personale in merito alle migliori pratiche di cybersecurity. L’adozione di strumenti come il Syllabus e le direttive dell’ACN (Agenzia per la Cybersicurezza Nazionale) può rappresentare un valido supporto nella pianificazione di programmi di formazione efficaci e il fattore tempo è ormai cruciale.
Sitografia
ACN https://www.cybersicurezza.gov.it/acn ↑
AGID https://www.agid.gov.it/it/sicurezza/cyber-resilience ↑
ilSole24 ore https://www.ilsole24ore.com/art/attacco-hacker-regione-lazio-dalla-vpn-al-ransomware-gestito-lontano-AE0R6Pe ↑
Corriere della Sera https://www.corriere.it/tecnologia/22_luglio_26/attacco-hacker-all-agenzia-entrate-lockbit-riscatto-fiscale-dati-6a56c1f4-0d44-11ed-990b-0d5a54f5477e.shtml ↑
La Repubblica https://www.repubblica.it/tecnologia/2020/06/22/news/attacco_hacker_mise_phishing-259723051/ ↑
Il giornale https://www.ilgiornale.it/news/cronache/hacker-attacco-ai-sistemi-informatici-torino-comune-sotto-2020542.html ↑