Sicurezza informatica nella Pubblica Amministrazione (PA)

Sicurezza informatica nella Pubblica Amministrazione (PA)

Le pubbliche amministrazioni, dal punto di vista della sicurezza informatica, possono essere considerate come organizzazioni fortemente regolate, in considerazione del fatto che la loro attività si svolge nell’ambito e nei limiti di norme che hanno valore di legge. Il problema è che fino ad oggi sono state poche le norme giuridiche che si sono occupate di sicurezza informatica relative alla pubblica amministrazione (cyber security nella PA).

Sicurezza informatica nella Pubblica Amministrazione (PA)

Alcuni articoli rilevanti del Codice dell’Amministrazione Digitale (CAD)

In effetti le norme di maggiore rilevanza sono quelle contenute nel Codice dell’Amministrazione Digitale (CAD – D.Lgs. 7 marzo 2005 s.m.i.), che all’art. 17 al fine di garantire  l’attuazione delle linee strategiche per la riorganizzazione e digitalizzazione dell’amministrazione definite dal Governo, prevede che  le pubbliche amministrazioni individuino mediante propri atti organizzativi, un unico ufficio dirigenziale generale responsabile del coordinamento funzionale. Questo Ufficio sostituisce il Centro di competenza previsto dalla normativa previgente e il responsabile dei sistemi informativi automatizzati di cui all’articolo 10 del decreto legislativo 12 febbraio 1993, n. 39. Inoltre alla luce della recente riforma del CAD (d.lgs. n. 179/2016) lo stesso ufficio deve assicurare la transizione alla modalità  operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una  maggiore  efficienza  ed  economicità.

L’Ufficio oltre alle attività già svolte dal centro di competenza previsto dalla normativa previgente coordina funzionalmente anche le attività di telecomunicazione, fonia e quanto relativo ai dati, ai sistemi e alle infrastrutture, anche in relazione al Sistema Pubblico di Connettività (SPC). L’Ufficio individuato è unico; resta salva la facoltà delle Agenzie e delle Forze armate, compresa l’Arma dei carabinieri, di individuare un proprio Ufficio. Con le modifiche previste l’amministrazione avrà un solo, autorevole, punto di riferimento per tutta l’attività ICT.

Naturalmente l’Agenzia per l’Italia Digitale (AgID) deve assicurare il coordinamento delle iniziative nell’ambito delle attività di indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica, anche in relazione al Sistema Pubblico di Connettività.

Riforma del Codice dell’Amministrazione Digitale (CAD)

La recente riforma del CAD prevede, inoltre, che le  pubbliche  amministrazioni,  fermo  restando il numero complessivo degli uffici, debbano individuare, di norma tra i dirigenti di ruolo in servizio, un difensore civico per il digitale in possesso di adeguati  requisiti di terzietà, autonomia e imparzialità. Al difensore civico per il digitale  chiunque può inviare segnalazioni e reclami relativi ad ogni presunta violazione del  CAD e di ogni altra norma in materia di digitalizzazione ed innovazione della pubblica  amministrazione. Se tali segnalazioni sono fondate, il difensore civico per il digitale invita l’ufficio responsabile della presunta violazione a porvi rimedio tempestivamente e comunque nel termine di trenta  giorni. Il difensore segnala le inadempienze  all’ufficio competente per i procedimenti disciplinari.

Nei successivi articoli 50 e 51 del CAD si parla rispettivamente di disponibilità ed accessibilità dei dati al di fuori dei limiti di carattere normativo come nel caso della protezione dei dati personali, di sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni, oggi regolamentati dalle misure minime di sicurezza previste dalla normativa sulla protezione dei dati personali.

In materia, difatti, occorrono ulteriori regole tecniche che in coerenza con la disciplina in materia di tutela della privacy introducano elementi utili per riconoscere l’esattezza, la disponibilità, l’integrità e per verificare l’accessibilità  e la riservatezza dei dati.

Viene, invece, abrogato dalla recente riforma del CAD l’art. 50-bis che disciplinava la continuità operativa ed il disaster recovery (abrogazione peraltro incomprensibile vista l’importanza di tali adempimenti per la stessa sicurezza degli enti).

Si prevede altresì, che l’AgID coordini con una apposita struttura (oggi denominata CertSPC), le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici promuovendo anche intese con le analoghe strutture internazionali.

Al fine di garantire un’adeguata attuazione delle disposizioni previste dalle regole tecniche in materia di sicurezza, all’AgID  è attribuito il compito di segnalare al Ministro per la pubblica amministrazione e l’innovazione il mancato rispetto delle stesse.

L’AgID in questo modo assume un ruolo di primo piano nell’emanazione delle regole tecniche nel campo della sicurezza informatica, nonché nella prevenzione e gestione degli incidenti di sicurezza informatici.

Tale ruolo è rafforzato dal Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico, che tra i compiti dell’Agenzia cita esplicitamente:

  • detta indirizzi, regole tecniche e linee guida in materia di sicurezza informatica;
  • assicura la qualità tecnica e la sicurezza dei sistemi informativi pubblici e della loro rete di interconnessione per salvaguardare il patrimonio informativo della PA e garantire integrità, disponibilità e riservatezza dei servizi erogati ai cittadini;
  • opera il CERT-PA, CERT della Pubblica Amministrazione, che garantisce la sicurezza cibernetica dei sistemi informativi della PA, oltre che della loro rete di interconnessione, provvedendo al coordinamento delle strutture di gestione della sicurezza ICT – ULS, SOC e CERT, operanti negli ambiti di competenza.

Lo stesso art. 51 del CAD specifica che l’AgID attui, per quanto di competenza e in raccordo con le altre autorità competenti in materia, il Quadro strategico nazionale per la sicurezza dello spazio cibernetico e il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica. AgID, in tale ambito:

a) coordina, tramite il Computer Emergency Response Team Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici;
b)  promuove intese con le analoghe strutture internazionali;
c)  segnala al Ministro per la pubblica amministrazione e l’innovazione il mancato rispetto delle regole tecniche da parte delle pubbliche amministrazioni.

È perciò compito dell’Agenzia organizzare dal punto di vista sicurezza le PP.AA. italiane, tenendo presente che queste hanno caratteristiche, struttura e obiettivi sostanzialmente diversi da quelli di un’azienda, nella quale il danno, e di conseguenza il rischio, può essere più facilmente quantificato. Spesso il loro status e la natura dei servizi offerti ai cittadini le accomuna alle Infrastrutture Critiche, se non altro, per la dipendenza dei servizi offerti dai privati da quelli autoritativi pubblici.

In particolare l’AgID è chiamata a dettare raccomandazioni, strategie, norme tecniche in tema di: sensibilizzazione e alfabetizzazione del personale in materia di sicurezza informatica e di relative emergenze, metodologia di rilevazione ed analisi dei rischi connessi all’impiego di tecnologie evolute, valutazione dell’impatto – nel quadro della riservatezza e della sicurezza – dell’avvio di iniziative di automazione, esame e stima delle misure di protezione e delle eventuali attività di misurazione delle prestazioni.

Nel modello organizzativo previsto per la tutela della sicurezza nazionale in ambito sicurezza cibernetica, un ruolo di particolare rilevanza per la prevenzione e la gestione degli incidenti di sicurezza informatica nella pubblica amministrazione viene ricoperto proprio dall’AgID e dal CERT-PA.

Sono previsti tre distinti livelli di intervento dell’AgID:

  • indirizzo politico e coordinamento strategico, cui affidare l’individuazione degli obiettivi funzionali a garantire la protezione cibernetica e la sicurezza informatica nazionali;
  • di supporto, a carattere permanente, con funzioni di raccordo nei confronti di tutte le Amministrazioni ed enti competenti;
  • di gestione delle crisi, con il compito di curare e coordinare le attività di risposta e di ripristino della funzionalità dei sistemi, avvalendosi di tutte le componenti interessate.

Modello organizzativo‐funzionale nella pubblica amministrazione

Il modello organizzativo‐funzionale delineato con il decreto persegue la piena integrazione con le attività di competenza del Ministero dello sviluppo economico e dell’Agenzia per l’Italia digitale, nonché con quelle espletate dalle strutture del Ministero della difesa dedicate alla protezione delle proprie reti e sistemi nonché alla condotta di operazioni militari nello spazio cibernetico, dalle strutture del Ministero dell’interno, dedicate alla prevenzione e al contrasto del crimine informatico e alla difesa civile, e quelle della protezione civile.

Non dimentichiamo che i rischi connessi alla sicurezza informatica della P.A. possono riguardare:

  • Informazioni: possono essere sottratte, alterate e distrutte
  • Servizi: possono essere degradati, alterati e bloccati
  • Fonti: possono essere confuse, alterate
  • I livelli autoritativi: possono essere alterati
  • Le autorizzazioni: possono essere alterate
  • I sistemi di controllo e monitoraggio: possono essere manomessi o distrutti

Tali rischi si possono concretizzare attraverso:

  • Contagio da malware (virus, phishing, botnet)
  • Attacchi cyber (activisms, cybercrime, cyberwar)
  • Furto di credenziali/identità (impersonificazione di un soggetto/organizzazione o di un servizio disponibile su Internet).
  • Degrado/interruzione e distruzione di servizio (denial of services, oscuramento siti).

Politiche generali per sicurezza informatica

Lo scenario ormai è divenuto preoccupante, difatti sfruttando le potenzialità di Internet la criminalità informatica ha costruito, nel corso degli ultimi anni, una efficiente rete finalizzata allo scambio di informazioni e alla commercializzazione di “prodotti/servizi” funzionali al compimento di atti criminosi.

La possibilità di ricorrere ad un mercato globale in grado di gestire una crescente offerta di “armi informatiche” e di “mercenari informatici”, estende lo scenario del cyber‐crime a qualsiasi tipologia di organizzazione criminale o terroristica che intenda avvalersi delle tecniche informatiche per il compimento dei propri scopi.

Gli URL “malicious” crescono del 600% all’anno e tra  i paesi che “ospitano” malware vi sono anche quelli occidentali (i primi 5 sono USA, Russia, Germania, Cina, Moldavia). Lo stesso phishing diventa sempre più sofisticato e mirato.

Di conseguenza a livello di politica generale di sicurezza diventa necessario:

  • Definire scenari di valutazione del rischio, coinvolgendo le strutture adeguate
  • Definire piani di difesa
  • Attivare strumenti tecnici ed organizzativi su tutta la filiera
  • Coordinare le azioni con “alleati” esterni
  • Monitorare e aggiornare costantemente procedure, prassi e strumenti
  • Sensibilizzare sulla necessità di skill e strumenti multidisciplinari
  • Attivare piani di informazione e formazione.
Precedente Sicurezza dei dati informatici: stato dell'arte nelle piccole e medie aziende Successivo La sicurezza informatica: la sicurezza attiva dal punto di vista interno

Lascia un commento

*