Cyber security: la Pubblica Amministrazione realizza un nuovo piano

218
cyber security pubblica amministrazione

Di recente è emersa a galla una forte criticità riguardante le aziende che utilizzano il servizio di cloud computing; sotto la lente d’ingrandimento è stata posta la mancanza, tra la maggioranza delle imprese di tutto il mondo, di un piano di sicurezza che potesse neutralizzare eventuali incidenti, all’interno dell’organizzazione, sui dati trattati (perdita o furto).

Ad essere maggiormente esposta, riguardo a quest’argomento, è la Pubblica Amministrazione che sta provvedendo a stilare un piano di sicurezza, a livello nazionale, per il servizio cloud. Nonostante il problema sia a livello mondiale, si andrà ad analizzare la situazione soltanto in ottica “Italia”, che riguarda decisamente e più da vicino le aziende nostrane.

Questo piano di sicurezza si inserirà in un percorso che, nell’arco dei prossimi cinque anni, interesserà tutti gli enti della Pubblica Amministrazione, senza eccezione alcuna, partendo dai livelli più alti (tutti i ministeri) a quelli più bassi (le città) passando per quelli intermedi (come le regioni italiane). Il piano è estremamente importante perché, già nell’aprile del 2017, l’AgID (Agenzia per l’Italia digitale) ha imposto agli enti della PA l’adozione delle misure minime sulla sicurezza informatica entro, e non oltre, il 31 dicembre 2017.

Quest’anno, di conseguenza, sarà il punto di partenza per la creazione di questo piano sulla “cyber security”. Per la realizzazione si è partiti da un bando di gara, gestito dalla Consip (S.p.A. del Ministero dell’Economia e delle Finanze, che opera esclusivamente per la PA), per il Lotto 2 SPC Cloud dal valore totale di seicento milioni di euro; a spuntarla, tra tutte le candidate, sono state tre imprese: Fastweb (azienda di telecomunicazioni), IBM (produttrice di hardware e software) e Leonardo (specializzata nella sicurezza e difesa dell’aerospazio).

INTERVISTA A MARCO PENNAROLA SU VANTAGGI, CRITICITÀ E PROGETTI PER IL CLOUD COMPUTING

Per capire meglio come sarà realizzato il piano sulla cyber security per la Pubblica Amministrazione, è stata realizzata un’intervista con il responsabile Marketing Enterprise di Fastweb Marco Pennarola, al quale sono state poste varie domande circa il piano, i rischi, le contromisure che saranno adottate, i vantaggi ne deriveranno e molto altro ancora.

L’intervista parte dall’analisi delle criticità rilevate negli ultimi mesi, approfondendo quali siano state le minacce, degli ultimi anni, per la sicurezza informatica (il 2016 è stato considerato un anno nero per la cyber security). Pennarola ha affermato, infatti, che è il Cybercrime (crimine informatico) la fonte principale di minacce, quella che ha permesso il diffondersi di malware in una percentuale spaventosa (pari al 72%).

Tra i malware, ha poi proseguito Pennarola, c’è stato il ransomware le cui infezioni sono raddoppiate in un solo anno e stanno colpendo vari settori; il più colpito è quello sanitario che fa registrare un aumento dei cyber attacchi pari al 102% in più rispetto a due anni fa (2016). In sostanza, sottolinea il responsabile Marketing di Fastweb, la Pubblica Amministrazione è fortemente sotto attacco e le minacce sono davvero tante e di differente pericolosità.

Se ci sono delle minacce è opportuno capire da dove queste riescono ad infiltrarsi per attaccare i sistemi informatici e come bisogna fare per neutralizzarle; Marco Pennarola ritiene che le mail siano il “veicolo” preferito dai malware tanto che circa l’1,5% dei messaggi di posta elettronica ricevuti sono degli spam (dalla provenienza incerta e pericolosa) e, ad oggi, ancora non è stato trovato un metodo che possa identificarli e proteggere l’utente che li riceve.

Di sicuro l’imposizione dell’AgID, dello scorso anno, ha permesso di implementare le misure minime di sicurezza informatica e questo ha messo nelle mani della PA tutti gli elementi necessari per combattere eventuali minacce da parte di cyber criminali; questo è fondamentale perché in ballo c’è la sicurezza dei cittadini e dei loro dati personali e oggi, fortunatamente, c’è maggiore attenzione rispetto al passato (con incidenti che coglievano alla sprovvista gli enti e le aziende).

Marco Pennarola, ha aggiunto, che molto importante sarà avere un bagaglio di conoscenze e un’adeguata formazione sulla cyber security da parte di tutti gli enti della PA; la necessità di tali condizioni è conseguenza degli incidenti che si sono verificati in passato e che hanno dimostrato immobilità da parte di enti e imprese. Risulta, quindi, obbligatoria una conoscenza di quelli che sono i potenziali rischi e dei ruoli, nell’organico aziendale, che spettano ai vari dipendenti (dai manager in giù).

Nei vari passaggi dell’intervista ci si è soffermati anche sui vantaggi del servizio cloud, per la PA, e gli ostacoli che si sono presentati e che potranno verificarsi ancora. Per quanto riguarda il primo aspetto Pennarola ha elencato diversi, tra i quali: gli aggiornamenti (per la scalabilità), la sicurezza (se è presente un adeguato piano), la flessibilità, costi non elevati (ottimi nella prima fase dell’organizzazione) e velocità del servizio.

Per gli ostacoli, invece, il responsabile Marketing di Fastweb ha confermato l’inadeguatezza dei sistemi di sicurezza informatica, che hanno causato forti disagi, ma anche l’atteggiamento delle aziende (e della PA) che si sono dimostrare restie verso il cloud computing.

Tornando al futuro piano di cyber security, è stato chiesto a Pennarola cosa porterà il progetto alla Pubblica Amministrazione e a che punto è la situazione; il piano di cyber security, come confermato dall’intervistato, è a buon punto perché si sta diffondendo la conoscenza sull’argomento, c’è maggiore coinvolgimento da parte degli enti e si stanno organizzando anche eventi, in tutte le regioni italiane, per informare su quelle che sono le misure minime necessarie per la sicurezza informatica.

Tra i benefici che arriveranno dal progetto in mano a Fastweb, Leonardo e IBM ci saranno: il controllo, costante, della sicurezza; la gestione della vulnerabilità dei sistemi; adeguata formazione; gestione sulla protezione degli accessi, della PA, a quelli che possono essere considerati siti a rischio; protezione di tutti i database; sicurezza perimetrale (per salvaguardare la navigazione sul web) e controllo validità digitale di firme e timbri.

L’intervista, quindi, ha permesso di inquadrare bene la situazione, di capire cosa non ha funzionato in passato e come ci si sta muovendo per correggere gli errori; il 2018, quindi, sarà un anno molto importante per la cyber security italiana e sembra, per fortuna, che le cose stiano andando per il verso giusto.