Il caso di studio

Preparare la PA agli attacchi cyber: la lezione di Lepida (Regione Emilia Romagna)

Come rendere la PA, soggetto lento e formale, pronto contro attacchi veloci e informali? Per migliorare la sua velocità di reazione bisogna lavorare su due punti: governance e automazione. Questa è l’esperienza nell’in-house Lepida, portata al Forum Italia-Canada della Camera italiana in Canada (23-24 novembre)

Pubblicato il 22 Nov 2022

Gianluca Mazzini

Ceo, Lepida ScpA

Se un soggetto lento e formale, la PA, si scontra contro un soggetto veloce e informale, l’hacker, come può avere la PA una speranza? Sicuramente la velocità diventa la parola chiave per una soluzione.

Velocità nell’adattarsi. Velocità nel reagire. Velocità nel prevenire. Velocità nel curare.

Sempre e comunque la catena di comando e decisione deve essere messa a punto prima, per essere veloce e rapida dopo. L’organizzazione (la governance) e la automazione diventano i temi fondamentali.

Questa è la nostra esperienza nell’in-house Lepida, che porterò al Forum Italia-Canada della Camera italiana in Canada (23-24 novembre) su intelligenza artificiale e cybersecurity.

AI & Cybersecurity: Partnering with Fintech | Canada Fintech Forum 2022

AI & Cybersecurity: Partnering with Fintech | Canada Fintech Forum 2022

Guarda questo video su YouTube

La cyber nel pubblico: analisi della governance e della velocità di reazione

La prima questione è relativa all’impatto della cyber sicurezza nel pubblico, facendo un’analisi della governance e della velocità di azione.

In particolare l’attenzione su questo tema parte dalle strategie per riuscire a supportare l’azione e gli obiettivi della PA.

E arriva alla necessità crescente di avere policy di sicurezza condivise, standard unici e processi sempre più analoghi tra i vari soggetti, ponendo appunto policy standard e processi quali tre aspetti critici.

La soluzione è incrementare la protezione e la resilienza con alcune azioni che abbiamo messo a punto in modo incrementale:

  • il monitoraggio continuo,
  • la protezione del perimetro,
  • la analisi di consistenza dei backup,
  • la disponibilità dei backup,
  • il patching continuo,
  • l’upgrading continuo,
  • il logging continuo.

A questo si sommano piani scritti ed implementati di business continuity e disaster recovery oltre a processi di gestione strutturati rispetto alle loro possibili vulnerabilità, in particolare con meccanismi di identificazione, di analisi e di prioritizzazione.

L’utente per noi diventa la base di tutto, con training e consapevolezza, non sempre storicamente presente. Abbiamo avviato una strada per cambiare la consapevolezza dell’utente.

Quando avviene un attacco, quando la situazione rilevata diventa critica bisogna agire velocemente e adeguatamente, e questo è difficile per una PA.

Per ridurre gli effetti di un incidente abbiamo messo a punto dei piani di simulazione, di emulazione, di recovery con test delle varie soluzioni. E soprattutto un tema per lavorare assieme per apprendere le lezioni che devono risultare dagli attacchi.

Mitigazione con AI e sistemi aperti

Un secondo punto chiave per la cyber nella PA è relativo alla mitigazione con sistemi di intelligenza artificiale e comunque sistemi esperti, nell’ottica di capire quale sia il giusto perimetro e quale sia la autonomia da gestire e mantenere.

E’ importante definire che l’intelligenza artificiale può essere uno strumento per aumentare le prestazioni di sicurezza, ma non fa tutto e soprattutto non fa tutto da sola.

L’elemento chiave è che si tratta di sistemi fondamentali per analizzare integralmente tutto quanto sta avvenendo e non lasciare ad una campionatura la consistenza. Con una buona potenza di calcolo, che stiamo avendo a disposizione nella regione della data valley, è possibile analizzare milioni di dataset e fare il tracking di molte situazioni di potenziale attacco in parallelo.

Questo significa aumentare la possibilità di analisi, avere riscontri più accurati ed affidabili, accelerare il processo di identificazione e automatizzare alcune risposte ed alcuni meccanismi di protezione. Chiaramente è un mondo nuovo, con costi nuovi, con soggetti nuovi.

Regione Emilia-Romagna si è mossa con l’istituzione di un CSIRT regionale a favore proprio come Ente ma anche di tutto il territorio. Ma una attenzione in questa direzione significa nuove risorse  nuovi costi ricorrenti, significa un modo differente di affrontare l’informatica. Recenti risorse del PNRR sono state dirette, mediante un bando, proprio in questa direzione.

E più aumenta lo scenario di sicurezza, più sono i dati da trattare, più è necessario trovare e prevedere risorse, in modo da essere scalabili e funzionali. Questo è il percorso che avevamo già avviato da anni, ma che nell’utimo periodo, anche con la Guerra in Ukraina, ha avuto un forte impulso.

Approccio multidisciplinare

Il terzo pilastro è la miscela di tra ingegneri, avvocati e altre figure, nella certezza che lo scenario è cambiato e necessita di molte più competenze da integrare. Un tema che stiamo trattando sono le caratteristiche in termini manageriali e organizzativi da coinvolgere.

Ci vogliono esperti di dominio in domini che prima non erano considerati. Poi ci vuole una reale cross fertilizzazione tra architetti di sicurezza, analisti di sicurezza dei dati, gestori degli incidenti, analisti di sicurezza, analisti delle minacce.

Stiamo costruendo queste competenze, le università ci aiutano ma la formazione è importante venga ampliata perché stiamo misurando una richiesta, nella PA, maggiore rispetto alla offerta.

La Pa scopre (davvero) la cyber: una questione di Governance

Insomma: la PA sta vivendo un momento di reale scoperta della sicurezza informatica.

La questione non sono le norme, già esistenti, non è il tema, già noto, bensì è la necessità di formare una nuova consapevolezza.

Si veda quanto accaduto alla Regione Lazio. Un attacco che arriva a bloccare completamente i sistemi della Regione. Con la richiesta di un riscatto. Ma soprattutto con la consapevolezza di non poter più offrire il servizio. E non per un’ora. Non per un giorno. Per un tempo incognito. Durante la pandemia da Coronavirus.

Sono ore in cui tutte le PA si interrogano alla propria situazione cyber. Alle proprie precauzioni. Ai rapporti con chi può accedere e gestire i propri sistemi. Sono ore in cui si rivedono le liste di accesso di tutti. Ore in cui si decidono strategie che dovevano essere già implementate ma che sino a quel momento erano un’idea, spesso rimandata, di cose da fare, un giorno.

Quel giorno diventa ora.

E le Regioni in questo quadro si muovono. In Emilia-Romagna nasce un gruppo, formalizzato, per analizzare la sicurezza, le misure intraprese e le soluzioni. E ci si rende sempre più conto che un sistema di Enti non può vedere la sicurezza di un singolo soggetto. Perché l’attacco se viene dall’interno è ancora più complesso da risolvere. Il perimetro è quello di tutti gli Enti locali che collaborano tra di loro, che condividono risorse, sistemi, dati e funzioni.

Basti pensare agli endoprocedimenti che vedono passaggi tra più soggetti pubblici per arrivare ad un unico procedimento finale, con un unico responsabile ed un unico punto di contatto per l’utente, che non deve essere oberato di trovare chi è il responsabile di ogni singola parte. La governance del processo allora diventa la governance della sicurezza.

Due fronti che si miscelano ma che necessitano di una visione omogena. Non esiste sicurezza senza governance, non esiste governance senza sicurezza. E sino a ieri avevamo trascurato questa filiera.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • diritti fondamentali

    L'impatto delle PETs sulla sovranità dei dati: le sfide normative

    01 Feb 2024

    di Francesca Niola

    Condividi

  • la lettura

    Essere leader nell'epoca dell'AI: modelli e strategie per innovarsi

    22 Dic 2023

    di Filippo Poletti

    Condividi

Prossimo

L'impatto delle PETs sulla sovranità dei dati: le sfide normative

Articolo 1 di 3