L'approfondimento

Cybersecurity della PA, il ruolo di Consip: ecco l’impatto del contratto sui servizi di sicurezza da remoto

Il lotto 2 dell’Accordo quadro “Servizi di sicurezza da remoto” di Consip ha la finalità di garantire un’offerta di soluzioni di cybersecurity efficiente per la tutela della PA: un ambito la cui importanza è sempre più rilevante e urgente, come dimostrano anche gli attacchi di maggio 2022 a diversi enti pubblici italiani

Pubblicato il 03 Giu 2022

Davide Agnello

Analyst, Hermes Bay

Francesco Giuseppe Grassi

Analyst Hermes Bay S.r.l.

cyberdefense

Considerando i rischi cyber crescenti, anche alla luce degli attacchi di maggio 2022 condotti dal gruppo Killnet contro alcuni enti pubblici italiani, risulta ancora più urgente una valutazione da parte delle Pubbliche Amministrazioni su quali siano i loro punti deboli sul fronte cybersecurity e quali possano essere le misure più adatte da attuare. Allo stesso tempo, come esigenza contingente, si mira all’innalzamento del livello di preparazione del personale per far fronte ai possibili rischi e alla predisposizione di efficienti reti di comunicazione. In questo scenario, è interessante approfondire quale sia il ruolo di Consip, in particolare analizzando l’accordo quadro sui Servizi di sicurezza da remoto.

Attacchi cyber della Russia, l’Italia si difende ma attenzione a che succede ora

Servizi di sicurezza da remoto, cosa prevede il contratto Consip

Infatti, la finalità di garantire un’offerta di prodotti di cybersecurity efficiente per la PA è stata sviluppata recentemente da Consip, mediante il lotto 2 dell’Accordo quadro “Servizi di sicurezza da remoto”. Questo protocollo, dal valore di 117 milioni di euro, predispone servizi e misure di “compliance e controllo”, finalizzati ad individuare e rafforzare lo stato di preparazione del sistema informativo di fronte a possibili minacce, la definizione della strategia di cybersecurity e l’identificazione dei fabbisogni di sicurezza.

Il nuovo contratto si affianca a quello attivo da marzo 2022 per i servizi di sicurezza “on premises” (ovvero quelli “presso il cliente”), finalizzati alla protezione dei dati e delle applicazioni in uso alla Pubblica Amministrazione. Attraverso questi dispositivi, le amministrazioni possono reperire prodotti per il controllo degli eventi di sicurezza e degli accessi, per la protezione dei canali di posta elettronica, web e dati.

Sicurezza da remoto, i servizi inclusi nell’accordo quadro

Riguardo al bando Consip, i servizi disponibili, ricavabili dall’Accordo quadro “Servizi di sicurezza da remoto”, si sviluppano in sei capisaldi:

  • la Security Strategy, ovvero la definizione e la predisposizione delle scelte strategiche relative al governo della sicurezza informativa, della direzione organizzativa, tecnologica e dei requisiti necessari ad assicurare i fabbisogni in materia di sicurezza IT;
  • il Vulnerability Assesment, metodologia che mirerebbe alla definizione di un processo ideato per identificare, classificare ed affrontare rischi e vulnerabilità della gestione del sistema informativo, secondo termini di sicurezza;
  • il Testing del codice, consistente nell’identificazione delle vulnerabilità dei software, nella fase iniziale di utilizzazione, in modo da permetterne l’eliminazione in maniera rapida ed efficiente, antecedentemente alla distribuzione;
  • il Supporto all’analisi e gestione degli incidenti, ossia l’analisi degli incidenti e la conseguente divulgazione delle informazioni nei casi di emergenza;
  • il Penetration Testing, finalizzato a sfruttare le vulnerabilità riscontrate in modo da qualificare il livello di sicurezza del sistema informativo;
  • la Compliance, che consiste in un’analisi di conformità e aderenza del sistema informativo a norme, regole, standard o policy.

L’accordo quadro “multifornitore” è stato assegnato per la sicurezza delle Amministrazioni locali al gruppo di imprese composto da RTI Deloitte Risk Advisory S.r.l., EY Advisory S.p.A. e Tele-co S.r.l. Invece, per quanto riguarda le Amministrazioni centrali, è stato aggiudicato dal gruppo di imprese composto da RTI Intellera Consulting S.r.l., Capgemini Italia S.p.A., HSPI S.p.A. e TELECONSYS S.p.A.

I fondi a disposizione per innovare la PA

Ricordiamo che il PNRR assegna una cifra pari a 11,75 miliardi di euro alla Missione 1, ossia la parte relativa all’innovazione tecnologica e alla sicurezza informatica del Sistema-Paese. Avendo come riferimento gli obiettivi dell’EU Digital Compass 2030, le sue principali iniziative riguardano:

  • la banda ultra-larga;
  • il Cloud PA;
  • l’identità e il domicilio digitale;
  • l’interoperabilità dei dati per i servizi on line ai cittadini;
  • le piattaforme di notifica digitali e la cybersecurity.

Se da una parte questi progetti possono aprire nuove opportunità per rendere i servizi offerti dalla PA più accessibili ai cittadini, dall’altra viene posta in maniera ancora più incisiva la necessità di predisporre robusti sistemi di sicurezza per proteggere le infrastrutture digitali da attacchi hacker.

Il PNRR conferisce ulteriore impulso all’implementazione di strategie di cybersecurity delle PA prevedendo per questo specifico settore 620 milioni di euro.

I rischi cyber per la PA

Le minacce informatiche del resto sono infatti in continua crescita e, sotto profili sia quantitativi che qualitativi, rischiano di minare la stessa struttura di sicurezza dello Stato, causando potenziali implicazioni negative per le infrastrutture critiche e per i processi digitali.

Le maggiori criticità concernono il fattore umano, ovvero quelle relative agli errori dei singoli operatori. In particolare, durante l’emergenza sanitaria, sono cresciuti gli attacchi phishing e ransomware veicolati tramite posta elettronica. Un ulteriore elemento da tenere sotto controllo è il passaggio ai servizi cloud, i quali, se da un lato apportano benefici per la loro natura operativa, dall’altro necessitano adeguate operazioni di progettazione, messa in opera e controllo.

Il ruolo di Agid

Fondamentale in questo ambito è il ruolo dell’Agenzia per l’Italia Digitale (AGID). Uno dei suoi compiti principali è quello di agevolare la formazione di un sistema di prevenzione e di risposta efficiente delle singole amministrazioni. Una prima mossa in tale direzione è stata la pubblicazione nel 2017 delle Misure minime di sicurezza ICT per le Pubbliche Amministrazioni. Questo progetto ha l’obiettivo di:

  • definire un processo di analisi del rischio per poter ottenere, nel medio termine, una stima del livello di rischio cyber cui è esposta ciascuna PA;
  • rendere autonoma ogni PA nella pianificazione di interventi per il trattamento del rischio al fine di ridurlo ad un livello ritenuto accettabile (risk appetite);
  • ricondurre tali interventi a convenzioni già attive nell’ambito dei contratti quadro;
  • consentire il monitoraggio dell’implementazione di tali interventi alle PA che hanno affrontato l’analisi del rischio;
  • creare uno strumento di monitoraggio esteso su tutti gli enti pubblici;
  • diffondere tra tutti gli attori coinvolti la cultura della gestione del rischio cyber. Per quanto riguarda quest’ultimo punto, elementi fondamentali sono lo sviluppo sicuro dei servizi in ottemperanza alle linee guida AGID, la familiarità con i principi dell’analisi dinamica (DAST) e statica (SAST) del software, nonché l’introduzione all’approccio del privacy/security by design.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

BIM, le novità in cantiere per le PA: obblighi e regole da gennaio 2025