La Misura 1.4.1 del PNRR sta modificando profondamente il rapporto tra cittadino e servizi pubblici tramite l’implementazione del sito comunale e dei relativi servizi pubblici digitali sulla base di modelli standard, collaudati e riutilizzabili secondo quanto stabilito dal modello standard di sito comunale definito dal team di Designers Italia.
Il sito web comunale si sta dunque evolvendo da un semplice contenitore di informazioni ad uno strumento che consente ai cittadini di interagire con gli uffici del comune compilando istanze e prenotando servizi digitali.
In questo processo di trasformazione ha un ruolo fondamentale il Piano triennale per l’informatica nella PA 2022-2024 che recepisce in maniera sempre più estesa i contenuti del PNRR e rappresenta una straordinaria opportunità di accelerazione della fase di execution della trasformazione digitale della PA.
Gli Enti Pubblici sono ora chiamati a scegliere servizi e soluzioni applicative che consentano di centrare quanti più obiettivi possibili tra quelli previsti dal Piano Triennale per rendere più efficiente la Pubblica Amministrazione, semplificando la burocrazia adottando standard qualità, volti a migliorare il rapporto diretto con la cittadinanza.
Il nuovo flusso di dati
I siti web dei comuni, aggiornati secondo i criteri della Misura 1.4.1, stanno dunque affrontando un radicale cambiamento diventando uno dei principali strumenti di lavoro per le amministrazioni.
Questo nuovo livello di digitalizzazione comporta però il transito di un flusso importante di informazioni sensibili degli utenti, cosa che di rado è accaduta in passato. Considerando anche il processo di interoperabilità verso le infrastrutture e le banche dati nazionali, come previsto dalla Misura 1.3.1 del PNRR. Di conseguenza è necessario adottare sistemi di sicurezza del dato molto evoluti sia dal punto di vista della protezione informatica del dato che da quello della compliance GDPR.
A fronte della necessità di ridurre i rischi di attacchi informatici nei confronti della PA e di garantire un maggiore livello di sicurezza dei servizi cloud per le amministrazioni, lo scorso 19 gennaio c’è stato il passaggio delle competenze sulla qualificazione cloud per la Pubblica amministrazione da Agid all’Agenzia per la Cybersicurezza Nazionale. Un’azione mirata a garantire un livello maggiore di sicurezza per i servizi e i dati della PA garantendo un elevato standard di qualità e affidabilità dei servizi certificati.
I rischi di sicurezza informatica nella Pubblica Amministrazione
Oggi il tema della Cyber Security non interessa più solo grandi aziende. Infatti, possono essere soggette ad attacchi informatici anche le PMI e le PA. Queste ultime, a seguito del Covid-19, hanno visto un’accelerazione nel campo della trasformazione digitale.
I siti web delle PA che in passato erano siti di informazione, negli ultimi anni hanno iniziato a offrire maggiore possibilità di interazione all’utente. Ciò ha provocato un vero e proprio cambiamento anche nell’infrastruttura utilizzata che deve essere predisposta alla protezione dei dati sensibili.
Quando si parla di website di una grande azienda o di siti di e-commerce, l’obiettivo di un utente malevolo appare chiaro: rubare credenziali bancarie o ottenere informazioni sulle transazioni economiche. Ma per le PA la situazione è differente. In questo caso, l’obiettivo di un attacker potrebbe essere quello di estrapolare dati personali dei cittadini.
I rischi per la sicurezza informatica della PA italiana sono diversi. Tra le azioni che un utente malevolo può compiere ci sono per esempio:
- identificare Form di accesso non protetti da un Rate Limit per indovinare delle credenziali di accesso valide con tecniche di Brute Force;
- controllare il codice delle pagine web in cerca di Bucket S3 su cui non sono stati impostati correttamente permessi di lettura o scrittura;
- verificare se ci sono contenuti prelevati da siti esterni e attaccabili al fine di iniettare nelle pagine web delle PA del codice malevolo;
- accertare che il sito (e anche il server) non utilizzi software o componenti non aggiornati e vulnerabili.
Oggi che le PA dispongono di siti web sempre più aperti al cittadino (con form di registrazione, login, etc.) devono difendere con ancora più accuratezza i propri dati dalle potenziali minacce informatiche.
Come migliorare la sicurezza dei dati delle PA
Ognuno dei potenziali attacchi appena descritti può avere un impatto sulla sicurezza delle informazioni delle PA. Queste vulnerabilità, attribuibili per la maggior parte a errori umani, possono essere però sia prevenute che mitigate tramite alcuni servizi. Tra questi vi sono la Crittografia del dato sul database, il WAF e il Server Antivirus.
Crittografia del dato sul database per i dati potenzialmente confidenziali o riservati, non destinati alla pubblicazione, al fine di massimizzare il livello di protezione e ridurre drasticamente il rischio di perdita di confidenzialità.
Il WAF, o Web Application Firewall, permette di fruire di un firewall applicativo in grado di proteggere le web application da attacchi dannosi e traffico Internet indesiderato.
Il Server Antivirus è basato su un software in grado di rilevare la presenza di virus e bloccare tempestivamente hacker e ransomware.
Importante anche il ruolo del partner tecnologico fornitore dell’infrastruttura di erogazione dei servizi.
Rispetto del quadro normativo
La Misura PNRR 1.4.1 consente ai comuni l’ottenimento di fondi utili a migliorare il rapporto con l’utenza, tramite l’implementazione del sito comunale e dei servizi pubblici digitali sulla base di modelli standard, collaudati e riutilizzabili.
Oltre al miglioramento della User Experience, appare opportuno per le imprese investire nelle infrastrutture attraverso i giusti partner, al fine di ottenere soluzioni performanti e sicure.
