In che modo gli enti pubblici possono mettere in atto le disposizioni in materia di cybersecurity contenute nel DL 21 marzo 2022, n. 21 (“Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina”) in modo da andare oltre l’obbligo di legge e ricavare un vantaggio da questo passaggio?
Cybersecurity, come eliminare le aziende russe dalle PA italiane: le indicazioni dell’Agenzia cyber
Il decreto impone alle PA, per alcune categorie di prodotti e servizi, di diversificare l’uso di soluzioni riconducibili ad aziende o tecnologie russe, con l’obiettivo di contrastare l’incremento di rischi per la sicurezza digitale determinato dall’attuale contesto di crisi internazionale.
Più di recente, con una Circolare attuativa entrata in vigore lo scorso 26 aprile, l’Agenzia per la Cybersicurezza Nazionale ha quindi circostanziato in modo preciso le soluzioni che devono essere oggetto di diversificazione e ha fissato, inoltre, una serie di raccomandazioni a cui le PA devono attenersi per procedere tempestivamente alla migrazione e adottare tutte le opportune misure e prassi di gestione dei servizi informatici e del rischio cyber.
Il DL e la Circolare, peraltro, si collocano nel più ampio scenario d’intervento che, proprio ieri, ha visto la presentazione della Strategia nazionale di Cybersicurezza 2022-26, che conferma i grandi passi avanti compiuti dal nostro Paese nella concezione e nella visione di un’architettura nazionale di sicurezza informatica e della sua centralità strategica quale fattore abilitante per lo sviluppo dell’economia e dell’industria.
La definizione di una vera e propria strategia preventiva di sicurezza digitale
Proviamo allora a capire in che modo come gli enti pubblici possono passare rapidamente ed efficacemente dalla teoria alla pratica.
La Circolare dell’ACN, infatti, li proietta su un terreno operativo dove nulla può essere lasciato al caso e dove non bisogna in alcun modo cadere nell’errore di una visione semplicistica degli interventi da compiere: oggi la spinta verso la digital transformation ha portato il settore pubblico – come quello privato – a un incredibile incremento del volume delle transazioni digitali e il numero di interazioni da remoto con utenti, dipendenti e fornitori aumenta esponenzialmente, determinando una maggiore esposizione al rischio cyber e un ampliamento del perimetro digitale da proteggere.
È evidente che in uno scenario del genere – peraltro caratterizzato dal crescente livello di sensibilità dei contenuti scambiati e gestiti digitalmente – l’errore più grande sarebbe ipotizzare la mera sostituzione di un prodotto con un altro. Viceversa, la scelta giusta è la definizione di una vera e propria strategia preventiva di sicurezza digitale.
I passaggi fondamentali
Il primo passo da compiere per un ente pubblico è la valutazione preliminare delle proprie vulnerabilità attraverso strumenti innovativi di analisi del rischio, in modo da identificare e proteggere le aree critiche. Ma non bisogna concentrarsi su un’analisi esclusivamente “introspettiva”, cioè limitata all’interno dell’organizzazione: è necessario avvalersi di strumenti e tecniche di indagine che valutino anche il livello di rischio determinato dalle interazioni digitali con terze parti. Sempre più spesso, infatti, gli attacchi cyber riescono a penetrare nel perimetro di un’organizzazione sfruttando le vulnerabilità di soggetti ad essa esterni. Per questo è necessario valutare periodicamente l’esposizione cyber dell’intera supply chain, attraverso strumenti automatici e non intrusivi, avvalendosi delle informazioni disponibili all’esterno del perimetro dei sistemi IT di clienti, fornitori e partner.
A seguire, occorre individuare gli asset IT business critical– quali, ad esempio, i sistemi di Identità e controllo di accesso, i sistemi di data storage, le basi di dati online – e definire il livello di rischio “accettabile” per ognuno di essi, operazione funzionale alla successiva corretta “allocazione” delle misure e degli investimenti per la difesa. Chi attacca, infatti, lo fa concentrando in modo mirato azioni e risorse nel punto di maggiore vulnerabilità; chi si difende, invece, è costretto a farlo lungo tutto il perimetro dei propri sistemi. A causa di questa asimmetria, è vitale stabilire con precisione dove investire in sicurezza ed evitare di procedere in modo indifferenziato.
Solo a valle di questi processi di assessment è possibile definire la più idonea combinazione di soluzioni, servizi e policy con cui costruire la propria Strategia di Difesa Digitale. Nel processo decisionale entrano indubbiamente in gioco fattori quali la peculiarità dello specifico contesto amministrativo, l’integrabilità con gli altri sistemi in uso nell’organizzazione e, naturalmente, le risultanze delle predette analisi.
L’identificazione delle scelte più valide
In termini generali, inoltre, un’indicazione chiara alle P.A. per l’identificazione delle scelte più valide è data dallo stesso DL 21/22, che con le sue disposizioni ha nettamente delineato il principio del conseguimento dell’indispensabile sovranità tecnologica. L’attenzione, pertanto, deve inevitabilmente concentrarsi su soluzioni e servizi conformi alle norme europee su data residency, data protection e GDPR e standard tecnologici internazionali. Ancor meglio, se ideati, basati e gestiti in Italia, condizione essenziale per mitigare i rischi per il Sistema Paese in ambiti critici quali sanità, trasporti, segretezza industriale e commerciale, sistemi di Difesa e di ordine pubblico.
Non solo. Una strategia efficace di cybersecurity deve anche valutare il rapporto costo/benefici di avvalersi di strutture organizzative e competenze specialistiche interne, oppure di percorrere la strada del corretto bilanciamento tra internalizzazione ed esternalizzazione. È un passaggio fondamentale, in quanto valutazioni errate possono inficiare l’efficacia degli investimenti sostenuti. Per un’organizzazione pubblica, può essere preferibile, ad esempio, demandare servizi di monitoraggio e di gestione a strutture esterne dedicate, tipicamente Security Operation Center, che per volumi ed economie di scala risultano molto efficienti e, inoltre, garantiscono una continua evoluzione di metodi, competenze e strumenti.
Aggiungiamo inoltre che la tempestiva condivisione delle informazioni relative ai rischi cyber e agli attacchi è fondamentale per rispondere in modo efficace. Chi attacca (threat actors) lo fa collaborando operativamente e scambiando informazioni tra i diversi team con un approccio di community. Una strategia di difesa non può essere efficace se rimane una strategia uno contro tanti. Per questo è importante lavorare a strumenti evoluti per la creazione di community dove si condividano tempestivamente informazioni strategiche per creare una risposta efficace e collaborativa alla gestione del rischio cyber.
Infine, ma non per importanza, la P.A. non deve perdere mai di vista il valore della formazione, sia per rafforzare consapevolezza e postura digitale del personale, che per garantire alle figure preposte e specializzate il costante aggiornamento essenziale per la propria professionalità.
Conclusioni
Appare chiaro, in conclusione, che la cybersecurity non può essere considerata semplicemente elemento aggiuntivo da integrare in risposta a un rischio emergente, ma implica, per le P.A., la gestione di un processo complesso e delicato. Affrontarlo con consapevolezza e senza pericolose frenesie, tuttavia, può trasformare una necessità indotta in un’opportunità che va ben oltre la difesa dalle minacce. Oggi la cybersecurity è anche e soprattutto uno strumento abilitatore di efficienza e produttività, nonché il presupposto per costruire nuovi servizi e processi digitali a beneficio di cittadini, imprese e dell’intero Sistema Paese.
