La modernizzazione del nostro paese dal punto di vista della trasformazione digitale passa per alcune componenti strategiche che rivoluzioneranno il modo in cui la Pubblica Amministrazione italiana renderà disponibili i propri servizi.
Tre di queste rivestono un ruolo di particolare importanza e sono: il polo strategico nazionale (PSN), il perimetro di sicurezza nazionale cibernetico (PSNC) e il cloud.
Quest’ultimo rientra tra gli obiettivi del Piano Nazionale di Ripresa e Resilienza (PNRR) che tra le altre cose prevede di favorire e supportare le amministrazioni nella migrazione verso soluzioni cloud secondo il principio del cloud first.
Cloud: roadmap e prospettive alla luce della nuova strategia nazionale
Ognuna di queste componenti nasce da un’esigenza specifica e si è sviluppata seguendo criteri propri, ma tutte condividono, come è necessario che sia, la stessa attenzione al tema della sicurezza delle informazioni e della protezione dei dati.
La sicurezza come asset
La sicurezza va intesa come asset, ovvero come elemento fondamentale per raggiungere un determinato obiettivo. Così come la protezione dei dati personali, non deve essere vista come qualcosa che si aggiunge, un “add-on” a complemento di un servizio o di una nuova architettura, ma deve essere considerato un processo primario. Deve essere forte all’interno di una organizzazione, deve essere diffusa, avere degli obiettivi misurabili, e deve essere omogenea, globale e possibilmente certificata.
La sicurezza deve poi sapersi migliorare e aggiornarsi, adottando anche paradigmi più recenti, come quello della zero trust, ovvero fiducia zero, modello particolarmente indicato quando si devono andare a proteggere dati e sistemi in cloud ibridi. Le best practice, che evidenziano la necessità di adottare una strategia di microsegmentazione, consentono di affrontare anche tutte quelle minacce cosiddette laterali che si muovono attraverso le reti, definendo perimetri granulari, in base agli utenti, ai dati e alla loro localizzazione.
Zero trust e gestione del rischio delle terze parti
Inoltre, i termini “certificazione” e “zero trust” ci indirizzano anche verso il tema della gestione del rischio delle terze parti (TRRM, Third-Party Risk Management). I fornitori spesso gestiscono i dati sensibili e per questo è fondamentale gestirne la sicurezza, come di ricorda anche il nuovo regolamento europeo sulla protezione dei dati – GDPR.
Solo per portare un esempio di uno dei miglioramenti più significativi realizzati nell’ultimo anno in termini di sicurezza in Inail c’è l’adozione della multifactor authentication (MFA) introdotta in modo omogeneo e diffuso sia per i circa 10.000 dipendenti interni, per i nostri fornitori, per l’accesso alla intranet tramite il portale, per l’acceso da remoto tramite la VPN, per gli accessi che avvengono tramite VDI, ma anche per gli accessi ai servizi di posta elettronica, condivisione e collaborazione che abbiamo in cloud. MFA che si aggiunge, anzi direi fa da complemento, all’obbligo di SPID come meccanismo di accesso preferenziale da parte dei nostri utenti ai nostri servizi a discapito delle ormai obsolete credenziali standard, ovvero username e password.
La sicurezza by design e by default
Del resto, la polarizzazione dei data center effetto del PSN, o la definizione di un perimetro di sicurezza cibernetica, determinerà una centralizzazione degli attacchi informatici verso target specifici. Di conseguenza, per poter consentire “alla macchina di restare in moto” nonostante gli attacchi che sicuramente si presenteranno, la sicurezza oltre a rappresentare un asset dovrà anche essere necessariamente un elemento by design e by default, perché in un contesto di attacchi come quello che stiamo vivendo, basti citare i casi recenti della Regione Lazio e dell’Ospedale San Giovanni per rimanere su scala locale, i nuovi servizi devono essere pensati in sicurezza e anche i restanti (quelli meno recenti) devono essere reingegnerizzati e protetti, tutti secondo il paradigma della sicurezza in profondità.
Non è sufficiente che un servizio applicativo sia ospitato all’interno di un datacenter per essere considerato sicuro, poiché è vero che il perimetro di sicurezza è essenziale ma ogni servizio deve avere una propria sicurezza intrinseca. Un servizio poco sicuro può rappresentare un vulnus anche se ospitato in un data center militarizzato.
Infine, i servizi, soprattutto ragionando a “livello paese”, devono essere resilienti, e disporre degli opportuni meccanismi di business continuity e disaster recovery al fine di mitigare gli attacchi mirati alla disponibilità delle infrastrutture.
In quest’ottica l’esperienza che alcune grandi amministrazioni centrali hanno maturato nel tempo, anche ad esempio attraverso il percorso di candidatura a PSN (per come era inteso prima del PNRR) può sicuramente essere messo a fattor comune per accelerare l’accesso al Polo Strategico Nazionale da parte delle PA.
Quello che è importante comprendere e valorizzare è proprio l’impegno che alcune PA centrali hanno dedicato per evolvere lato le infrastrutture dedicate all’erogazione dei propri servizi, sempre più innovativi, fruibili e sicuri e, in alcuni casi, le infrastrutture a supporto di altre pubbliche amministrazioni.
Impegno che quindi non deve rimanere locale, ma deve essere valutato anche in ottica paese, poiché con investimenti di questo tipo si è creato quel terreno comune di innovazione che può essere di aiuto anche per lo sviluppo delle nuove componenti strategiche come il PSN.
Una PA trainante deve sicuramente avere un’infrastruttura adeguata a far fronte alle minacce, ma deve anche disporre di architetture flessibili per cogliere in sicurezza i vantaggi del cloud (sia esso IAAS, PAAS o SAAS, pubblico, privato o ibrido), ma anche dei nuovi paradigmi (come lo sviluppo a microservizi, le architetture a container, ecc).
Il click day Inail per la prima volta in cloud
Sul tema, da pochissimi giorni si è da poco l’appuntamento annuale di INAIL con il click day che può essere simbolico di questa nuova evoluzione dei servizi. Inail ha valutato negli anni che questo servizio era, per caratteristiche intrinseche, “migrabile” al mondo cloud.
Si tratta di un evento isolato e non di un servizio continuativo, con un picco consistente di richieste effettuate in un momento specifico e con possibili esigenze di scalabilità immediata qualora se ne dovesse verificare la necessità, ma anche con un’attenzione elevata da parte di hacker e malintenzionati, come purtroppo abbiamo avuto modo di sperimentare nel corso di tutti questi anni. Ebbene, il click è andato in onda per la prima volta in cloud, beneficiando di soluzioni IAAS e PAAS, ma anche di servizi SAAS per i test preliminari e i risultati sembrano molto confortanti.
Ma il click chiaramente non è l’unico esempio; l’Istituto sta adottando i nuovi paradigmi di sviluppo a microservizi, con le relative architetture di gestione di docker e container anche per altri servizi; l’Inail ha poi evoluto la sua infrastruttura per far fronte all’emergenza Covid consentendo a tutte le utenze (circa 10.000) di lavorare da casa senza interrompere alcuna attività e senza momenti di discontinuità e ha potuto attivare nello stesso periodo sessioni di concorsi pubblici in modalità innovativa, che hanno consentito di rinnovare parzialmente il proprio organico anche durante il periodo di pandemia.
Conclusioni
L’opportunità da cogliere è quella di dare alle PA mature, con la capacità di cogliere l’innovazione, ma anche con un’esperienza significativa in termini di disegno e sviluppo di servizi digitali sicuri, un ruolo da abilitatori e catalizzatori nella sfida che pone le nuove componenti strategiche come il PSN, contribuendo anche a costituire quella filiera di soggetti, nell’ambito del partenariato pubblico-privato, in grado portare circa il 75% delle PA italiane a utilizzare servizi in cloud, come auspicato dal regolatore.
