La sicurezza informatica è un tema che si fa sempre più pressante all’interno della Pubblica Amministrazione, dove la gestione dei dati e delle informazioni richiede un livello di protezione sempre più elevato.
Dal primo impianto della Direttiva NIS, passando per l’instaurazione del Perimetro Nazionale di Sicurezza Cyber, fino alla nuova evoluzione con la Direttiva NIS2, il processo di aggiornamento e innovazione sembra inarrestabile.
Nonostante le difficoltà evidenziate dal caso Westpole, gli investimenti nel settore sono in crescita e la formazione del personale diventa un elemento chiave per garantire una gestione efficace ed efficiente. Il futuro della cybersicurezza nella Pubblica Amministrazione si prospetta ricco di sfide ma anche di opportunità, con lezioni importanti da apprendere dal passato e prospettive future da esplorare.
Attacco a Westpole: la situazione della cybersecurity nella PA
L’attacco recente a Westpole riporta l’attenzione sulle condizioni di resilienza della Pubblica Amministrazione. La vastità del fronte di attacco, poi, coinvolgendo Pa centrali e periferiche, conferma ancora una volta il principio che la compromissione pesante di servizi delicati e strategici incide più sensibilmente laddove l’azione di prevenzione probabilmente è stata meno energica e lungimirante.
Per minimizzare il verificarsi di attacchi simili e soprattutto per cercare di contenere i danni, e di conseguenza i disservizi, è ormai noto che occorra prima di tutto conoscere il profilo di rischio della propria infrastruttura e mettere in campo le azioni più idonee, se del caso anche differenziate, a proteggere adeguatamente le parti più esposte.
Si può trattare di interventi tecnologici oppure di adozione di opportune regole comportamentali, da imporsi a tutti coloro che utilizzino l’infrastruttura.
Cybersicurezza: la situazione della PA prima della Direttiva NIS
La trasformazione digitale in atto investe massicciamente il settore privato ma coinvolge anche il sistema delle pubbliche amministrazioni; queste hanno visto l’informatizzazione di quasi tutti i procedimenti interni, con ricadute positive, almeno teoricamente, sulla qualità della stragrande maggioranza dei servizi erogati.
Inoltre, con la semplificazione di procedure obsolete e la loro contestuale digitalizzazione, si è cercato di arginare la forte diminuzione degli organici, essenzialmente per pensionamenti non rimpiazzati da nuove unità.
In questo quadro, che comunque fino a pochissimo tempo fa ha visto mantenersi davvero alta l’età media del personale in servizio presso le PA, si sono dovute inserire, a causa dell’emergenza pandemica, le numerose applicazioni di smart working, in genere senza avere il tempo, e in qualche caso la capacità, di fornire adeguata preparazione al personale interessato.
Molti attacchi hanno sfruttato proprio le caratteristiche di un’organizzazione che ha permesso in certi casi di assicurare la prosecuzione delle attività, ma spesso in carenza di misure minime di protezione dei collegamenti, ben diversi per esempio anche da quelli fino ad allora utilizzati per il telelavoro.
I bandi per nuove assunzioni devono indurci all’ottimismo; la maggiore abilità informatica di chi sarà assunto è una risorsa fondamentale da gestirsi, da parte della dirigenza pubblica, con investimenti significativi orientati all’accrescimento della cultura di sicurezza informatica come pietra miliare per una resilienza effettiva di ciascuna struttura pubblica.
Uno sguardo al recente passato ci evoca la prima esercitazione di sicurezza informatica per le Pubbliche Amministrazioni, lanciata dalla Commissione Europea per la prima volta nel 2010, a cui l’Italia prese parte.
Fu quella un’occasione per attivare un Tavolo Permanente sul quale rappresentanti della Presidenza del Consiglio dei Ministri e di molti Ministeri si confrontarono condividendo le prime ipotesi, di reazione a scenari ipotetici di problemi informatici in grado di creare disservizi o più gravi conseguenze.
Alla prima esperienza di esercitazione riservata al settore pubblico ne seguirono molte altre, anche coinvolgenti il settore privato, proprio allo scopo di simulare situazione di gravi compromissioni di sistemi e servizi, sempre più probabili.
Si andava così creando una consapevolezza, almeno fra i partecipanti al Tavolo Tecnico delle Esercitazioni, della necessità di proteggere l’infrastruttura pubblica quale caposaldo dell’azione amministrativa che lo Stato doveva e deve assicurare, comprensiva dei servizi che devono essere altrettanto inderogabilmente erogati.
Tuttavia, alla sensibilità e consapevolezza dell’esistenza e della pericolosità del rischio creatosi anche per le pubbliche amministrazioni, non era seguita alcuna emanazione di norme che introducessero obblighi in merito.
Ovviamente i costi previsti per l’adozione di misure di sicurezza informatica erano poco sostenibili, sia nel pubblico che nel privato, a fronte però di una intensificazione molto consistente di attacchi informatici, sempre più numerosi, sofisticati e diffusi su ampie superfici di attacco.
Il periodo di riferimento riguarda gli anni precedenti il 2016, quando a livello europeo, dopo un confronto lunghissimo ed aspro tra gli Stati Membri, fu approvata la Direttiva NIS, recepita poi in Italia con il Decreto legislativo n.65 del 18 maggio 2018.
La circolare Agid su “Misure minime di sicurezza ICT per le PA”
Per le Pubbliche Amministrazioni il primo provvedimento importante è stato quello emesso da AGID nel 2017 con Circolare n.1 del 17 Marzo 2017, “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni. (Direttiva del Presidente del Consiglio dei Ministri del 1° Agosto 2015)”.
All’epoca AGID aveva in gestione il CERT PA e disponeva dei primi dati informativi inerenti lo stato degli Uffici Pubblici, pur con tutte le limitazioni legate all’assenza di budget specificamente dedicati alla gestione e alle implementazione della struttura.
Il provvedimento forniva per la prima volta, a tutte le Amministrazioni, indicazioni specifiche utili a compiere i passi fondamentali in direzione di una conoscenza dei propri asset, della protezione differenziata a seconda del profilo di rischio di ciascuno di questi asset e delle misure che si sarebbero dovute adottare per avere almeno una copertura di base nelle parti più strategiche.
Questo atto rappresentava un rafforzamento di quanto già previsto, seppure ancora in forma acerba, dal primo Quadro Strategico Nazionale (DPCM 24/1/2013) e riconfermato dal successivo DPCM del 17/2/2017.
Dal 2015 al 2017, anche per eventi tragici avvenuti in Europa, come gli attentati di Bruxelles e Parigi, si erano infatti intensificati gli attacchi a strutture pubbliche e private e cominciava a svilupparsi una certa sensibilità anche al di fuori dei circuiti più tecnico-specialistici, tanto da richiamare l’attenzione dei legislatori sulla indispensabilità di interventi di protezione di più elevata complessità.
L’impatto della Circolare sulle misure minime fu naturalmente diversificato nelle varie Amministrazioni Centrali, a seconda del livello di consapevolezza già presente ed anche a seconda delle risorse all’epoca disponibili per l’implementazione del percorso previsto per adottare le misure indicate.
Il recepimento della Direttiva NIS in Italia
Il recepimento della Direttiva NIS in Italia non comportò alcun tipo di obbligo supplementare per le Pubbliche Amministrazioni, mentre rappresentò un cambiamento radicale nel settore privato, o meglio per i cinque settori più strategici relativi a servizi essenziali tra i quali l’Energia, i Trasporti, la Salute, e per i Fornitori dei Servizi Digitali.
Anche per le Telco fu reso applicabile quanto già previsto dalla direttiva specifica, la n.140/2009, con l’emissione del Decreto del 12 dicembre 2018 da parte dell’allora Ministro dello Sviluppo Economico riguardante “Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi” (GU n.17 del 21-1-2019).
In buona sostanza, veniva introdotta l’obbligatorietà di adozione di misure di sicurezza informatica e venivano introdotte sanzioni in caso di inottemperanza per i servizi più strategici del settore privato.
All’art.4 del cosiddetto “decreto Telco”, si specificavano le misure che i fornitori di reti e servizi di comunicazione elettronica erano tenuti ad adottare per garantire la sicurezza e l’integrità delle reti e dei servizi.
L’esposizione chiara nell’articolo dei passi da compiere, benché indirizzati ad imprese, avrebbe potuto ragionevolmente essere presa a modello anche per un organismo pubblico, a partire dalla redazione di una policy di sicurezza approvata dalla Direzione, con attenzione alle componenti strategiche della propria rete ed ai processi di competenza, all’avvio di una vera gestione del rischio, ai rapporti con terze parti, alla formazione e alla gestione del personale, alle procedure per la notifica degli incidenti, alla continuità operativa eventualmente necessaria, al monitoraggio e alle verifiche ripetute per valutarne l’efficacia.
Le azioni delle PA per contenere le minacce informatiche
In assenza, perdurante, di qualsiasi forma di investimento, naturalmente le Pubbliche Amministrazioni hanno fatto riferimento alle Misure minime di AGID, cercando di contenere le minacce che nel periodo 2015 -2018 circa, si facevano ancor più frequenti e insidiose e gli attacchi nefasti.
Molte Amministrazioni pubbliche, tuttavia, in applicazione del Quadro strategico Nazionale, avevano maturato una capacità importante di rimanere in stretto collegamento soprattutto per le attività previste a carico del Nucleo della Sicurezza Cibernetica, in quegli anni operante presso la Presidenza del Consiglio dei Ministri.
Le esercitazioni di sicurezza informatica, a livello nazionale, coinvolgevano molti attori pubblici e privati ma finché non è stata creata l’Agenzia per la Cybersicurezza Nazionale, che ha riunito molte competenze cyber prima incardinate in vari Ministeri, non si sono rilevati assegnazioni importanti di fondi da dedicare ad interventi ben coordinati.
L’introduzione del Perimetro Nazionale di Sicurezza Cyber
Per completezza, conviene citare uno dei passaggi più importanti avvenuti nella costruzione di un’architettura nazionale completa: l’istituzione del perimetro di sicurezza nazionale cibernetica.
Mancava infatti il tassello finale per disporre di tutti gli elementi indispensabili ad operare compiutamente in certi ambiti, quali per esempio quello della certificazione.
Il CVCN necessitava infatti di un quadro meglio definito per sviluppare l’efficacia della sua azione, e le Amministrazioni Pubbliche finalmente, sia per le funzioni di servizio essenziale esercitate per lo Stato, che per le prestazioni altrettanto essenziali assicurate, con l’articolo 1 commi 1 e 2 del decreto-legge 21 settembre 2019, n.105, convertito poi nella legge 18 novembre 2019, n.133, acquisivano la dignità che era loro mancata per troppo tempo.
L’approvazione della Direttiva NIS2, Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, fra l’altro, ratificava l’eliminazione del gap tra pubblico e privato.
Attualmente la direttiva è in corso di recepimento, con ddl. 969, “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2022-2023” approvato dalla Camera dei deputati il 20 dicembre 2023.
L’art.3 riporta la delega per la Direttiva NIS2.
In conclusione la Direttiva NIS non aveva contemplato l’adozione obbligatoria di misure per le Pubbliche Amministrazioni ma il Perimetro Nazionale prima e la NIS2 intervengono integrando con proprie previsioni le lacune esistenti.
L’evoluzione post-Direttiva NIS2: verso una PA più sicura
Alla luce di quanto detto finora, riveste interesse particolare l’avviso lanciato da ACN, scaduto il 15 febbraio, inerente la “Rilevazione dei fabbisogni finanziari necessari per la realizzazione della Strategia Nazionale” rivolto ad Amministrazioni ed Enti pubblici a livello centrale, Regioni, Province autonome.
Lo scopo che, con l’avviso, l’Agenzia si prefigge di conseguire è l’attuazione della misura #55 del PNRR, relativa alla promozione della digitalizzazione e all’innovazione nella PA, ma comprende anche l’obiettivo di rafforzamento della sicurezza nello stesso ambito.
È altrettanto di notevole interesse sottolineare che con legge di Bilancio 2023 sono stati istituiti due strumenti molto importanti: il Fondo per l’attuazione della Strategia Nazionale di cybersicurezza e il Fondo per la gestione della cybersicurezza.
Adesso sarà importante per le Pubbliche Amministrazioni centrali e locali utilizzare al meglio le risorse che cominciano ad essere rese disponibili, compiendo il massimo sforzo di ricercare al proprio interno qualche unità provvista degli skill almeno sufficienti ad attivare correttamente le richieste.
A carico degli organi competenti, invece, rimarrà l’onere tutt’altro che semplice di armonizzare i percorsi di crescita di ogni singola Amministrazione, affinché nessuna resti indietro, compromettendo potenzialmente i buoni risultati di quei centri che invece sapranno valorizzare le risorse al meglio.
Il caso Westpole: una chiamata alla resilienza
Tornando al caso Westpole, qualche considerazione finale: poiché i pagamenti degli stipendi sono stati garantiti, si dovrebbe evitare che tutti i disservizi collaterali comunque verificatisi vengano presto dimenticati oppure relegati nel solito ambito tecnico-specialistico.
In realtà, la connessione tra Westpole e PA Digitale ha rappresentato, se ce ne fosse ancora bisogno, un ulteriore grosso segnale di allarme per chi ha responsabilità di acquisto, gestione, manutenzione di sistemi informativi in una Pubblica Amministrazione, sia essa una struttura Centrale oppure un piccolo Comune sul territorio nazionale.
Evidentemente anche le ripercussioni sulla continuità dei servizi forniti da una PA, se non adeguatamente considerate in sede di valutazione del rischio informatico, possono rendere drammaticamente palese l’inadeguatezza della protezione della infrastruttura su cui si poggia la funzionalità di un ufficio.
Va infine aggiunta una riflessione sulla necessità di accompagnare anche l’adozione delle misure possibili con frequenti monitoraggi e con la realizzazione di piccole esercitazioni sempre in grado di fornire utili lezioni.
La formazione del personale: un elemento chiave
La lezione più importante, tuttavia, che si deve trarre dagli eventi occorsi riguarda la formazione del personale.
La qualità dell’azione amministrativa e dei servizi erogati da una PA dipenderà in maniera evidente dalla competenza dei funzionari operanti nei vari comparti.
Non ci possiamo permettere di perdere l’opportunità, reale adesso grazie a fondi disponibili, di vivere l’esperienza del digitale e le sfide dell’innovazione tecnologica con la maggiore serenità possibile.
