PNRR e Cybersecurity

A livello globale gli attacchi informatici sono in continuo aumento, a dimostrazione di quanto le competenze e le risorse di coloro che hanno un interesse a violare i sistemi di sicurezza siano consistenti e pervasive. Infatti, sia le PMI sia le grandi organizzazioni più preparate e con più risorse, siano esse pubbliche o private, subiscono attacchi informatici, spesso di successo, i quali causano ingenti danni finanziari, ma anche e soprattutto all’immagine e alla reputazione.

Un attacco informatico recentemente al centro del dibattito pubblico è quello che lo scorso luglio ha colpito i sistemi informatici di una pubblica amministrazione regionale italiana. L’attacco ha messo in luce diverse aree di miglioramento nel sistema di difesa. Tale attacco ha causato l’interruzione di un’intera macchina regionale, in quanto la diretta conseguenza dal punto di vista pratico è stata il congelamento dell’intera rete dei servizi regionali, incluso quello relativo alla gestione dei vaccini, con tempi di ripristino non trascurabili che, anche nelle strutture più attrezzate, possono variare da giorni a settimane.

Secondo alcuni studi in Italia il costo complessivo per aziende e cittadini relativo ad attacchi informatici nel 2021 sarà di circa 6.000 miliardi di dollari[1].

Inoltre, come lo stesso Ministro Colao ha precisato, quasi il 95% dei server delle pubbliche amministrazioni sarebbe a rischio di attacchi informatici. Eppure la cybersecurity è spesso considerata dalle organizzazioni come un costo di cui è possibile fare a meno, piuttosto che come un investimento. Al contrario, è chiaro che la messa in sicurezza dei sistemi informatici conduca ad un costo inferiore rispetto al valore del rischio di un attacco informatico, con perdita dei dati o interruzione delle normali operazioni.

L’innovazione tecnologica e la transizione digitale degli ultimi anni sono in continua e veloce espansione, contribuendo ad incentrare sempre più il concetto della competitività dei business sulla capacità di adottare adeguate soluzioni tecnologiche all’avanguardia e di sviluppare nuove applicazioni in grado di facilitare e velocizzare le operazioni, di aumentare l’efficienza e di ridurre i costi.

Conseguentemente, per raggiungere tali obiettivi è necessario pianificare una solida strategia di cybersecurity, intesa come la prassi di protezione dei sistemi, delle reti e dei programmi dagli attacchi digitali, i quali sono solitamente finalizzati all’accesso, alla modifica e alla diffusione non autorizzati di dati sensibili o all’interruzione delle operazioni aziendali[2].

La cybersecurity opera trasversalmente su diversi livelli di protezione e si basa sull’integrazione di persone, processi e tecnologie per costruire una difesa robusta e garantire la riservatezza, l’integrità e la disponibilità delle informazioni (c.d. “CIA Paradigm”, da Confidentiality, Integrity e Availablity).

La struttura normativa della cyber sicurezza italiana è costituita da una pluralità di interventi volti a delineare un’architettura ancora in fase di costruzione. Il 16 dicembre 2020 la Commissione ha pubblicato l’“EU Cybersecurity Package”, un insieme di regolamenti, direttive e linee guida di policy sulla sicurezza informatica, al cui interno in particolare troviamo la Direttiva EU 2016/1140 (NIS Directive), e il Regolamento EU 2019/881 sull’ENISA (EU Cybersecurity Act).

La Direttiva NIS è il primo vero e proprio documento legislativo sulla cybersecurity e costituisce un intervento centralizzato finalizzato al raggiungimento di un livello minimo di sicurezza dei networks e dei sistemi informativi comune in Europa, e in Italia è stata recepita con il Decreto Legislativo n.65/2018. 

Le principali richieste, in linea con le esigenze di centralizzazione e coordinamento delle informazioni sugli incidenti e sulle vulnerabilità cyber, sono l’identificazione di un punto unico di contatto a livello nazionale ed europeo nella cooperazione con le Autorità NIS e con la Commissione Europea, e la creazione di un unico centro di risposta agli incidenti attraverso l’istituzione di un Computer Security Incident Response Team (CSIRT).

L’ENISA, “Agenzia dell’Unione Europea per la Cibersicurezza”, ha lo scopo di garantire un elevato ed effettivo livello di sicurezza del network e delle informazioni e di incentivare l’affermarsi di una cultura su tale sicurezza per il beneficio dei cittadini, consumatori, aziende e organizzazioni del settore pubblico nel perimetro europeo per assicurare il funzionamento del mercato interno.

I principali compiti svolti dall’ENISA sono i) la raccolta di informazioni appropriate per l’analisi dei rischi correnti ed emergenti relativi al mondo digitale per le Istituzioni europee e le Autorità degli Stati Membri; ii) la facilitazione della cooperazione tra la Commissione e gli Stati Membri nello sviluppo di metodologie comuni per prevenire, individuare e risolvere problemi di sicurezza dei networks e delle informazioni; iii) il tracciamento dello sviluppo di standard per prodotti e servizi sulla sicurezza dei networks e delle informazioni.

In generale, il quadro della governance nazionale in materia di cybersecurity è rimesso agli organi della sicurezza nazionale, i quali sono chiamati non soltanto a svolgere l’attività informativa attraverso i sistemi digitali, ma anche ad intervenire in ottica di prevenzione, risposta e resilienza.

In Italia il tema della cybersecurity deve ancora essere affrontato in modo strutturato, ma è all’attenzione del decisore politico anche nella fase di attuazione del Piano Nazionale di Ripresa e Resilienza, il quale si articola in sedici componenti raggruppate in sei macro missioni tra cui si inserisce la trasformazione digitale. Con riferimento a tale ambito, il PNRR individua tre obiettivi complessivi: la digitalizzazione della PA, l’innovazione della PA e l’innovazione organizzativa del sistema giudiziario.

Il raggiungimento di obiettivi di crescita digitale e di modernizzazione della PA costituisce una priorità per la ripresa e il rilancio del paese. Inoltre, la digitalizzazione dei sistemi e dei servizi della PA è ormai un tema non più rimandabile per far sì che la PA sia percepita dai cittadini e dalle imprese come un vero e proprio ‘alleato’, richiamando il termine utilizzato nel PNRR, in grado di ridurre radicalmente le distanze, e dunque le tempistiche burocratiche, tra enti e individui.

Questo è ancora più vero alla luce della transizione ‘forzata’ allo smart working resa necessaria dalla pandemia da Covid-19 che ha colpito l’economia italiana più di altri Paesi europei e che ha evidenziato i ritardi accumulati dalla PA.

Il percorso di digitalizzazione della PA si basa in primis sullo stanziamento di 620 milioni di euro e si articola in sette aree d’investimento, tra cui si inserisce la cybersecurity.

Il primo ambito di intervento riguarda le infrastrutture digitali con l’adozione di un approccio ‘cloud first’ in base al quale le amministrazioni devono progressivamente abbandonare le infrastrutture IT proprietarie per convertirsi alla tecnologia cloud. Tale misura si è resa necessaria in quanto i centri di raccolta dati delle pubbliche amministrazioni italiane non assicurano un adeguato livello di sicurezza informatica.

L’Agenzia per l’Italia Digitale (AGID), preposta al coordinamento della digitalizzazione della PA, ha strutturato la strategia del ‘cloud first’ su tre direttrici che le PA possono scegliere di seguire con riferimento alle infrastrutture verso le quali migrare: 1) infrastrutture offerte dai Cloud Service Providers (CSPs) privati autorizzati e indicati in appositi registri dalla stessa AGID; 2) infrastrutture di Community Cloud contrattualizzate tramite CONSIP; 3) infrastrutture messe a disposizione dal Polo Strategico Nazionale (PSN).

Il secondo ambito di intervento prevede un programma di supporto e incentivo per la migrazione al cloud nella fase di analisi tecnica e di definizione delle priorità rivolto in particolare alle amministrazioni locali.

La terza misura di investimento riguarda i dati e l’interoperabilità e cerca di soddisfare l’obiettivo della trasformazione digitale delle PA cambiando il design e le modalità di interconnessione tra le banche dati affinché vi sia un accesso trasversale e universale ai dati secondo il principio del “once only” il quale stabilisce che le informazioni devono essere richieste ai cittadini una sola volta, con conseguente riduzione dei tempi e dei costi legati alla registrazione delle stesse.

A tale scopo, il PNRR stabilisce la necessità di creare una Piattaforma Nazionale di Dati (PND) ad hoc accessibile tramite un servizio apposito e conforme ai requisiti privacy del GDPR, evitando al cittadino di fornire le stesse informazioni a più amministrazioni.

Il quarto investimento è diretto al rafforzamento e al miglioramento dell’efficienza dei servizi digitali e della cittadinanza digitale attraverso una più massiccia diffusione di PagoPA[3] e dell’app IO[4], l’introduzione di nuovi servizi digitali anche nel settore mobilità, e un intervento organico per migliorare la user experience dei servizi digitali.

L’ampliamento del perimetro digitale rende conseguentemente le organizzazioni ancora più vulnerabili ad attacchi informatici, in quanto i dati raccolti e processati costituiscono il target più profittevole agli occhi degli “intruders” per il solo fatto di contenere informazioni personali e sensibili.

A titolo esemplificativo, secondo alcune stime[5] il valore medio di una cartella clinica venduta sul Dark Web si aggira sui 1.000 dollari. A tal proposito, il legislatore ha ritenuto opportuno dedicare il quinto ambito di intervento esclusivamente alla sicurezza informatica, partendo dall’attuazione della disciplina in materia di “Perimetro di Sicurezza Nazionale Cibernetica”. In particolare, gli investimenti riservati alla cybersecurity si suddividono in quattro aree di intervento:

rafforzamento dei presidi di front-line per la gestione degli alert e degli eventi a rischio intercettati verso la PA e le imprese di interesse nazionale;

costruzione e/o consolidamento delle capacità tecniche di valutazione e audit continuo della sicurezza degli apparati elettronici e delle applicazioni utilizzate per l’erogazione di servizi critici da parte di soggetti che esercitano una funzione essenziale;

immissione di nuovo personale sia nelle aree di pubblica sicurezza e polizia giudiziaria dedicate alla prevenzione e investigazione del crimine informatico diretto contro singoli cittadini, sia in quelle dei comparti preposti a difendere il paese da minacce cibernetiche;

consolidamento degli asset e delle unità cyber incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber.

La sesta area di investimento si concentra sulla digitalizzazione delle grandi amministrazioni centrali e copre vari ambiti della PA, quali ad esempio la Giustizia, il Lavoro, la Difesa, gli Interni e la Guardia di Finanza.

L’ultima misura di intervento riguarda il rafforzamento delle competenze digitali di base dei cittadini, con il fine di garantire un supporto nel percorso di alfabetizzazione digitale.       

Inoltre, ai fini di questo articolo, si riporta l’intento del legislatore a digitalizzare, innovare e mantenere la competitività nel sistema produttivo attraverso gli investimenti per le connessioni ultraveloci in fibra ottica 5G. Queste costituiscono un requisito primario per la realizzazione della gigabit society e per consentire alle imprese di usufruire di diverse tecnologie 4.0 (quali sensori, Internet of Things – IoT –, stampanti tridimensionali[6]).

La connessione alla rete e le molteplici interconnessioni tra dispositivi portano da un lato diversi benefici in termini di interazioni con i dati in tempo reale, ma dall’altro aumentano inevitabilmente il perimetro d’attacco.

Se da una parte gli esperti lavorano sulla prevenzione e la gestione dei rischi informatici in contesti dinamici, d’altra parte vi è un elemento che rimane al di fuori del loro controllo: il fattore umano, ossia il comportamento degli utenti nell’utilizzo dei dispositivi. Il primo vero e proprio scudo di protezione è rappresentato dal rispetto delle best practices rivolte agli users, le quali possono variare da una corretta gestione delle passwords e delle credenziali d’accesso, a un’attenta gestione delle e.mail sospette, o dalla connessione a una rete sicura, alla sicurezza fisica dei dispositivi.

Infine, il PNRR nella missione Digitalizzazione assegna incentivi e crediti d’imposta alle imprese per prodotti informatici e per programmazione informatica, consulenze e servizi connessi.

Questa spinta porterà anche le aziende del settore privato ad intraprendere un rapido percorso verso la digitalizzazione. I trend registrati ad oggi, infatti, vedono anche nel settore privato l’adozione del cloud computing, l’introduzione degli algoritmi di intelligenza artificiale, la connessione informatica di oggetti e device (c.d. Internet of Things o IoT), l’evoluzione della robotica nei sistemi di produzione e della robotica dei processi (Robotic Process Automation o RPA), quale driver per l’esecuzione di attività routinarie o di basso valore aggiunto con la conseguente possibilità di riqualificare il proprio personale verso attività a maggior valore aggiunto.

In questo contesto la cybersecurity ricopre un ruolo fondamentale per difendere il patrimonio informatico e per sostenere lo sviluppo futuro, sia nelle Pubbliche Amministrazioni, sia nel settore privato.

Ad oggi si riscontra che in molti casi Enti pubblici ed aziende del settore privato devono ancora identificare i ruoli e le responsabilità per la gestione della sicurezza informatica e devono ancora strutturare uno specifico processo di gestione. In particolare, è necessario definire un processo di analisi dei rischi che consenta di allineare gli investimenti in ambito della sicurezza informatica con gli obiettivi strategici, coinvolgendo opportunamente tutta la catena di comando.

È quindi indispensabile andare a normare tutti i processi cardine della sicurezza: la gestione degli accessi ai sistemi informatici in modo tale che solo le persone autorizzate possano accedere alle informazioni, avendo cura di restringere anche a loro l’ambito alle solo informazioni necessarie; la gestione degli accessi fisici alle sedi e ai locali tecnici; la gestione delle dotazioni personali assegnate; la classificazione delle informazioni e la relativa protezione; la definizione delle corrette procedure di backup e di ripristino, nonché le procedure di continuità operativa, eccetera.

Devono inoltre essere individuati gli opportuni apparati di sicurezza (a mero titolo esemplificativo: firewall, SIEM, antivirus / end point protection, eccetera) a protezione della propria infrastruttura ed essere individuati i progetti di miglioramento della sicurezza attraverso una rivalutazione continua. Infine, un buon processo di gestione della sicurezza deve essere dotato di indicatori di rischio e di performance con processi di monitoraggio, anche in tempo reale, degli allarmi e dei rischi al fine di poter avviare tempestivamente una risposta all’insorgere delle minacce.

[1] ‘Cyber Security, approccio sistemico e sostegno alle PMI, Il Sole 24 Ore, 18 agosto 2021 di E. Ferretti.

[2] CISCO.

[3] Piattaforma di pagamenti tra la PA e cittadini e imprese, PNRR.

[4] Front-end/ canale versatile che mira a diventare il punto di accesso unico per i servizi digitali della PA.

[5] “Attacchi hacker, dati sanitari in pericolo: la lista segreta dei 35 ospedali colpiti”, Corriere della Sera, di M. Gabanelli e S. Ravizza, 28 settembre 2021.

[6] Classificazione ripresa dal PNRR.