Post di Alessandro Cencioni, managing director di Protiviti Government Services. Terzo e ultimo di una serie di tre sulla gestione, in Italia, del piano per la ripresa dell’Europa, NextGeneration EU –

Crescita e sostenibilità sono concetti sempre più pervasivi nelle politiche e nelle strategie dei paesi europei. La digitalizzazione e la cybersecurity sono due dei loro fattori abilitanti fondamentali e proprio per tale motivo ricoprono un ruolo primario nel Next Generation EU (NGEU), il più ampio fondo europeo stanziato dall’UE fino ad oggi, con l’obiettivo di favorire la ripresa ed il rilancio dell’Unione, attraverso importanti stimoli economici a beneficio di tutti gli Stati membri.

“Dipendiamo sempre di più da infrastrutture e applicazioni digitali, la cui sicurezza è imprescindibile per la società e l’economia di tutta l’Europa. Per creare un ambiente online sicuro, in cui i cittadini possano esercitare i propri diritti e le proprie libertà fondamentali e in cui le imprese possano prosperare, dobbiamo poter disporre di tutti gli strumenti necessari e fare in modo che il settore della cybersecurity sia solido”, ha dichiarato Margrethe Vestager, Executive Vice-President per un’Europa pronta per l’era digitale.

In questo contesto, il PNRR (Piano Nazionale di Ripresa e Resilienza), come richiesto dal Next Generation EU, deve essere definito da ciascuno Stato membro entro il 30 Aprile 2021 e contenere progetti, misure e riforme riconducibili alla trasformazione digitale (ivi compresa la cyber security), alle quali dovranno essere destinate almeno il 20% delle risorse previste.

E in effetti, così come approvato il 12 gennaio 2021 dal Consiglio dei Ministri, il PNRR prevede iniziative di trasformazione digitale che comprendono l’ammodernamento e l’estensione delle infrastrutture digitali su tutto il territorio nazionale, l’impiego esteso del cloud computing, l’interoperabilità dei dati e l’ammodernamento della cyber security nazionale, al fine di garantire la protezione delle infrastrutture e delle persone, tutelando il loro diritto alla privacy, alla luce del sempre maggiore numero di informazioni custodite in rete.

In particolare, gli investimenti in cybersecurity previsti dal PNRR intendono perseguire un approccio integrato ed univoco dello Stato alla minaccia cibernetica, aumentando le cyber difese e la resilienza del Paese.

Tale obiettivo è previsto congiuntamente all’attuazione delle prescrizioni definite dalla normativa nazionale ed europea, che risulta dunque integrata e rafforzata. In ambito europeo, il PNRR richiama la Direttiva NIS (recepita in Italia dal DLGS 65/2018 – DL NIS), che mira a raggiungere un livello comune in materia di sicurezza delle reti e dei sistemi informativi in tutta l’UE, e le iniziative previste dalla strategia europea di Cybersecurity, inclusa l’applicazione del Cybersecurity Act (Regulation EU 2019/881).

In ambito nazionale e con riferimento al miglioramento del livello di sicurezza informatica delle amministrazioni e al contrasto delle minacce informatiche più frequenti, il PNRR è strettamente collegato alle Misure minime di sicurezza ICT per le Pubbliche Amministrazioni, emanate dall’Agenzia per l’Italia Digitale (AgID) e alla normativa del Perimetro di Sicurezza Nazionale Cibernetica (PSNC – DL 105/2019), volta ad assicurare la sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, che esercitano le cosiddette funzioni o servizi essenziali dello Stato.

Il potenziamento ed il rafforzamento delle infrastrutture tecnologiche, associato all’implementazione di presidi di cyber security, risultano sempre più necessari per supportare adeguatamente il processo di digitalizzazione dei settori pubblico e privato, anche alla luce del crescente aumento degli attacchi informatici. Per dare un’idea di quanto il fenomeno sia in crescita basti pensare che in Italia, durante il 2020, sono stati registrati quasi il doppio di attacchi cyber rilevanti rispetto al totale dei 5 anni precedenti e, in concomitanza alla fase acuta della pandemia Covid19, si è assistito ad un significativo incremento della quantità e qualità degli attacchi cyber a siti della Pubblica Amministrazione e alle infrastrutture critiche delle aziende private.

Gli investimenti previsti dal PNRR in Cybersecurity e cloud: nuove opportunità per PA e Aziende

Il PNRR indirizza gli obiettivi di digitalizzazione, innovazione e cyber security nelle seguenti “Missioni”:

1. Digitalizzazione, innovazione e sicurezza nella PA;

2. Digitalizzazione, innovazione e competitività del sistema produttivo.

Nell’ambito della prima Missione, con riferimento alla PA, il PNRR identifica una specifica area di investimento denominata “Infrastrutture digitali e cyber security” dove si prevede il coinvolgimento di oltre 5.000 amministrazioni pubbliche nel programma di modernizzazione della PA, in particolare mediante l’attivazione del cloud computing, a livello centrale e locale, grazie alle ultime tecnologie disponibili (multi-edge, multi-cloud o edge-to-cloud).

In questo modo si mira ad assicurare la creazione di un’infrastruttura ad alta affidabilità, di eccellenza e localizzata sul territorio nazionale, in grado di razionalizzare e garantire un livello di sicurezza uniforme per numerosi data center attualmente presenti in diverse aree geografiche e carenti della garanzia di standard di sicurezza adeguati.

L’iniziativa rappresenta una delle sfide più importanti per la digitalizzazione del Paese, in quanto costituisce il substrato tecnologico abilitante per lo sviluppo e l’utilizzo di nuove tecnologie, dotando la PA di una nuova logica di utilizzo e conservazione dei dati, che deve essere realizzata e utilizzata nel rispetto degli obiettivi di sicurezza.

Questi investimenti dovranno consentire la creazione e il rafforzamento delle infrastrutture legate alla protezione cibernetica e migliorare la resilienza dell’infrastruttura IT del Paese, irrobustendo gli strumenti digitali e le competenze specialistiche necessari a garantire la continuità operativa, partendo dalle funzioni e servizi essenziali dello Stato il cui malfunzionamento potrebbe creare un pregiudizio alla sicurezza nazionale ed europea.

In tale contesto il PNRR si pone inoltre come obiettivo il rafforzamento del perimetro di sicurezza nazionale cibernetica (PSNC) attraverso interventi in materia di tecnologia, processi, governance e sensibilizzazione, attuati con lo sforzo congiunto del Dipartimento delle informazioni per la sicurezza (DIS), del Dipartimento per la Trasformazione Digitale del Ministro per l’innovazione tecnologica e la transizione digitale (MITD), del Ministero dell’Università e della Ricerca (MUR) e del Ministero dello sviluppo economico (MiSE), in collaborazione con l’Agenzia per l’Italia Digitale (AgID).

Nell’ambito della Missione Digitalizzazione, innovazione e competitività del sistema produttivo, il PNRR intende stimolare gli investimenti legati a cyber security, tecnologie 4.0 e ricerca e sviluppo, ponendo particolare attenzione alle PMI ed alle filiere produttive.

Il PNRR identifica nell’ammodernamento delle reti, attuato attraverso la realizzazione di reti ultraveloci in fibra ottica, 5G e satellitari, una misura cardine volta a rendere competitive le imprese italiane e garantire la connettività di realtà pubbliche prioritarie e strategiche. Questo avverrà integrando le migliori tecnologie disponibili per offrire servizi avanzati per il comparto produttivo e per garantirne la sicurezza, includendo soluzioni per la gestione in sicurezza dei dati in cloud, la ridondanza delle reti strategiche e la realizzazione di reti dedicate.

L’ammodernamento delle reti, infatti, è prerequisito abilitante per usufruire di diverse tecnologie 4.0, quali ad esempio la sensoristica avanzata, l’Internet of Things (IoT), e le stampanti tridimensionali, che richiedono connessioni veloci e con bassi tempi di latenza ed il cui funzionamento deve essere affidabile e sicuro.

La cybersecurity nel processo di digitalizzazione

Gli investimenti in cyber security, anche in considerazione degli obiettivi di digitalizzazione associati all’adozione di infrastrutture cloud all’avanguardia, devono considerare iniziative che indirizzino aspetti organizzativi, di processo e tecnologici, tramite un approccio strutturato alla gestione dei rischi associati.

Le Pubbliche Amministrazioni e le imprese italiane, nel proteggere da minacce interne ed esterne informazioni, sistemi, reti e programmi, devono partire dalla definizione di un programma di cyber security integrato, basato su metodologie e standard consolidati, come ad esempio lo standard ISO 27001 (e gli altri della famiglia ISO 27000), ormai universalmente riconosciuto, o il Framework Nazionale per la Cybersecurity, sviluppato in Italia e ispirato all’omologo del NIST.

Il crescente ricorso al cloud, data la specificità dei rischi cyber associati, ha fatto sì che agli standard sopra citati se ne siano affiancati altri più specifici, come lo standard ISO 17789, Information technology – Cloud computing – Reference architecture, e le linee guida pubblicate dal NIST, tra le quali “Cloud Computing Synopsis and Recommendations” and “NIST Cloud Computing Reference Architecture”.

Un approccio strutturato deve quindi considerare molteplici aspetti, tra i quali i più rilevanti sono:

1. Governance. La gestione della cybersecurity non può prescindere dalla definizione di ruoli e responsabilità specifici, tenendo conto dell’esigenza di distinguere tra i ruoli di governo, con la responsabilità di definire policy, processi e standard interni di riferimento, e ruoli di implementazione, con la responsabilità di realizzare i sistemi e le configurazioni di sicurezza ed assicurarne il corretto funzionamento. Data la crescente complessità del contesto da proteggere, è sempre più rilevante adottare modelli di gestione risk based, al fine di concentrare gli investimenti sugli ambiti più critici e ottimizzare le risorse a disposizione, misurando l’efficacia delle misure adottate, ad esempio tramite specifici KPI, così da indirizzare le iniziative di miglioramento.

2. Misure Tecnologiche. L’adozione di un modello di cybersecurity governance deve essere affiancata da un enforcement tecnologico dei presìdi definiti nell’ambito delle policy/procedure di sicurezza. Il piano di implementazione delle misure di sicurezza deve svilupparsi coerentemente al processo di digitalizzazione, beneficiando delle iniziative di aggiornamento e consolidamento di infrastrutture ed applicazioni e consentendo di progettare nuove architetture applicando i principi del security by design. Le misure tecnologiche di sicurezza devono essere volte sia ai sistemi informatici tradizionali – come ad esempio applicazioni web, applicazioni mobile, soluzioni ERP – sia a quelli industriali – come, ad esempio, i sistemi di controllo delle linee di produzione o degli impianti di generazione e distribuzione di energia elettrica.

3. Risorse Umane. Affinché il processo di evoluzione della cybersecurity sia efficace è necessario sviluppare anche skill e competenze adeguate in tutto il personale aziendale. E in effetti anche il PNRR pone l’accento sull’esigenza di intensificare lo sviluppo delle competenze digitali del settore pubblico e della filiera industriale della manifattura italiana che, per quanto riguarda la cybersecurity, risentono della carenza di personale qualificato. In tal senso, il PNRR si concentra sulla formazione e sull’identificazione di risorse con competenze idonee per l’implementazione e realizzazione delle soluzioni previste da un punto di vista della digitalizzazione e della relativa sicurezza. L’obiettivo ultimo da perseguire deve essere quello di far sì che la cybersecurity, e più in generale le competenze digitali, divengano un elemento portante della cultura aziendale, sviluppandola sensibilità di tutta la popolazione sui rischi esistenti e i comportamenti corretti da adottare nelle attività quotidiane.

4. Monitoraggio delle situazioni anomale e gestione degli incidenti. Una gestione efficace della cybersecurity necessita dell’adozione di strutture organizzative dedicate e strumenti di monitoraggio avanzati, che consentano di identificare tempestivamente potenziali attacchi e contrastarli direttamente sul nascere, orientati sempre di più ad una gestione real time degli eventi. In tal senso, il PNRR prevede l’adozione di sistemi di monitoraggio volti all’individuazione precoce degli attacchi cyber, anche basati su modelli complessi, oppure l’adozione di strumenti di simulazione basati su intelligenza artificiale/machine learning per prevedere e valutare gli effetti di una crisi informatica su larga scala.

5. Gestione delle terze parti. Le tecnologie e le architetture, anche con la diffusione del cloud computing, presentano complessità sempre maggiori dal punto di vista di implementazione e di gestione. Sono sempre di più le organizzazioni che si affidano a terze parti, esternalizzando in parte o del tutto la gestione di infrastrutture e applicazioni o richiedendo l’esecuzione di specifici servizi, quali ad esempio il monitoraggio o la manutenzione. E purtroppo molto spesso le terze parti sono utilizzate come veicolo di attacco da parte degli hacker, che ne sfruttano le debolezze nelle misure di sicurezza. È pertanto necessario definire regole di gestione delle terze parti, formalizzate in accordi contrattuali adeguati alla tipologia di fornitore, che prevedano, tra i diversi aspetti, la definizione di specifiche misure di sicurezza tecniche e organizzative, la gestione della continuità operativa, la chiara definizione della collocazione geografica dei data center e l’identificazione di specifiche exit strategy. La definizione di tali misure dovrebbe avvenire attraverso una specifica analisi dei rischi, che, di concerto con il fornitore, consenta di identificare le misure più adeguate. Ciò deve essere poi valutato mediante ispezioni periodiche, che verifichino l’implementazione da parte del fornitore di quanto stabilito a livello contrattuale.

Tra le iniziative di rafforzamento e miglioramento della resilienza delle infrastrutture IT del Paese, l’adozione di soluzioni cloud centralizzate e interconnesse risulta essere uno degli elementi di maggior rilievo, comportando una centralizzazione di grandi quantità di servizi e dati relativi a imprese e cittadini italiani. Attraverso l’adozione di tali soluzioni volte a razionalizzare e consolidare le infrastrutture esistenti, potrà essere quindi ottenuta un’importante efficienza nella gestione delle infrastrutture informatiche e nella realizzazione delle misure di cybersecurity.

In tutto ciò va però anche considerato che la concentrazione di grandi quantità di informazioni rilevanti per il Paese aumenta la loro appetibilità per gli hacker e di conseguenza l’esposizione al rischio cyber dei sistemi che li ospitano. È pertanto fondamentale approcciare il tema della cybersecurity in maniera strutturata e sistematica, affinché le informazioni di cittadini e aziende – e i servizi essenziali ad essi rivolti – siano opportunamente protetti.

Leggi anche i primi due post della serie:

Risk management anche nelle amministrazioni pubbliche: perché no?

Recovery, la partita si gioca su gestione, controllo e tempestività