Come era inevitabile, data la crescente importanza data alla cyber security nelle agende dei Governi a livello mondiale, anche nel nuovo Piano triennale per l’Informatica nella Pubblica Amministrazione 2019 – 2021 la sicurezza cibernetica assurge a vero e proprio componente cruciale dell’intero sistema.
Importante allora il modo in cui la cyber security viene declinata all’interno del piano Agid, in attesa di un ulteriore importante tassello per definire il quadro operativo per la governance strategica della sicurezza del Paese: il Dpcm che dovrà normare il completamento della costituzione dello CSIRT Italiano, atteso per lo scorso novembre ma non ancora uscito.
La cyber security da componente trasversale a elemento cruciale
C’è innanzitutto da dire che, in effetti, non è la prima volta che la cyber security assume un ruolo esplicito nel Piano triennale di AgiD: era infatti già successo nel piano precedente, dove per la prima volta in assoluto essa veniva chiaramente indicata quale componente trasversale, rispetto ai tre strati orizzontali sui quali era modellata la struttura ICT della PA (quello delle “Infrastrutture materiali”, quello delle “infrastrutture immateriali” e quello degli “ecosistemi”), col compito di assicurare per ciascuno di essi le necessarie componenti atte ad indirizzare le specifiche esigenze di sicurezza dello strato stesso.
Nel nuovo Piano triennale tuttavia la cyber security viene promossa a vero e proprio componente cruciale dell’intero sistema in quanto, come si vede dalla mappa del modello strategico, non solo attraversa ma addirittura abbraccia e racchiude tutti i macro ambiti che aggregano gli elementi omogenei oggetto del Piano.
Al suo interno essa comprende innanzitutto tutte le attività per la regolazione e regolamentazione della sicurezza nella Pubblica Amministrazione, che sono state assegnate ad AgID in particolare dal Quadro Strategico Nazionale e dalla Direttiva del Presidente del Consiglio del 1 agosto 2015; oltre a questi vi sono anche tutti tutti gli altri aspetti che concorrono a rendere sicuri e affidabili i sistemi informatici della PA, anche sotto il punto di vista del rispetto della normativa sulla protezione dei dati personali (GDPR).
Cyber security nel piano triennale: gli obiettivi strategici
Nell’ambito del Piano, alla sicurezza informatica è dedicato l’intero Capitolo 8 della Parte 2. In esso dapprima si dà conto brevemente del contesto in cui è chiamata ad operare l’AgID, sia direttamente che per il tramite del CERT-PA, quindi si enunciano gli obiettivi strategici che si intendono perseguire, ed infine si declinano le specifiche iniziative in corso o in programma.
Fra le più significative tra quelle programmate per il 2019 spiccano:
- il rilascio al pubblico della piattaforma Infosec, attualmente accessibile solo a livello sperimentale, che fornisce un supporto ricco ed altamente qualificato agli analisti di sicurezza;
- il rilascio in via sperimentale, per le Pubbliche amministrazioni, della piattaforma nazionale di trasmissione automatizzata di IoC qualificati, realizzata a seguito della sperimentazione svolta nel corso del 2018 da parte di due Gruppi di lavoro coordinati da AgID e dal CERT-PA;
- l’emanazione del documento di Linee Guida di sicurezza cibernetica per le Pubbliche amministrazioni, a supporto e complemento del documento prescrittivo contenente le Misure minime di sicurezza ICT pubblicato nel 2017, il quale indirizzerà in termini più ampi e generali il problema della minaccia cibernetica e le modalità per farvi fronte in termini non solo tecnici ma anche organizzativi;
È anche in corso di elaborazione un modello organizzativo standard per la realizzazione di quelli che sono stati definiti “CERT di prossimità”, ossia CERT di secondo livello (“orizzontali” o territoriali, e “verticali” o tematici), che costituiscano un punto di snodo fra il CERT-PA centrale e le realtà più distribuite della PA quali gli enti locali e territoriali o determinate comunità specifiche. Il documento, di cui non è ancora stata stabilita la data ufficiale di rilascio, costituirà il riferimento normativo per la eventuale costituzione di tali strutture da parte di soggetti istituzionali eventualmente interessati a realizzarli a beneficio del sistema globale (ad esempio: Regioni o Ministeri).
Naturalmente, al di là di queste iniziative specifiche, la sicurezza informatica ispira gran parte delle altre iniziative del Piano, laddove si raccomanda ad esempio di adottare in tutti i progetti un approccio di “security by default”. A tal proposito il Piano impone ancora, a tutte le Amministrazioni che non l’avessero ancora fatto, di rendersi conformi alle Misure minime di sicurezza ICT: non è infatti pensabile che un Ente possa dedicarsi a nuovi sviluppi senza aver messo a posto, almeno a livelli minimali, la propria sicurezza infrastrutturale interna.
La cyber security in un contesto di profonda trasformazione
A livello più generale va forse spesa qualche considerazione sul fatto che il Piano, il quale oltre alle Amministrazioni traguarda anche per il loro tramite le imprese e i cittadini, si inserisce in un momento storico di profonda trasformazione della governance della sicurezza a livello di sistema Paese.
Le misure che l’Italia si è data con la norma di recepimento della Direttiva NIS (D.Lgs 65/2018), in aggiunta a quanto già stabilito in precedenza mediante il cosiddetto “decreto Gentiloni” del febbraio 2017 e il conseguente Piano nazionale, hanno infatti disegnato una precisa “cabina di regia” per la cyber security nazionale baricentrata sul DIS, di cui occorre tenere debito conto. Per ultimare definitivamente il quadro operativo manca oramai un solo ultimo tassello, ossia il completamento della costituzione dello CSIRT Italiano: questo infatti sta ancora funzionando in regime provvisorio, mediante la collaborazione fra CERT Nazionale (MiSE) e CERT-PA (AgID), ma deve diventare una struttura autonoma dotata di una precisa collocazione amministrativa, oltre che di una propria struttura organizzativa.
Il DPCM che, ai sensi del citato D.Lgs 65, avrebbe dovuto normare tale operazione era atteso lo scorso novembre ma non è ancora uscito: ora tuttavia che il nuovo Piano triennale è stato emesso ed è operativo, tale futuro DPCM dovrà verosimilmente tenere conto di quanto il Piano stesso pone a carico del CERT-PA, contemperando cioè le esigenze dello CSIRT con i compiti strategici e di sviluppo assegnati al CERT-PA; o, in alternativa, sarà il Piano triennale a dover essere eventualmente rivisto nel caso in cui il DPCM provveda altrimenti per quanto riguarda i preesistenti compiti del CERT-PA.
In ogni caso è importante mantenere alta l’attenzione e la readiness sui temi della cybersecurity perché il livello della minaccia cresce continuamente: e più la Pubblica Amministrazione diventa digitale, più offre il fianco a rischi che fino a poco tempo fa non conosceva.
