Post di Christoph Bausewein, Assistant General Counsel, Data Protection & Policy di Crowdstrike – 

Il settore della Pubblica Amministrazione è uno di quelli più colpiti dagli attacchi informatici in Italia, insieme al finanziario e all‘assicurativo. Considerato che gli avversari sono in grado di sferrare attacchi sempre più sofisticati e rapidi – come evidenziato dal nuovo Threat Hunting Report 2023 di CrowdStrike – la PA si trova ad affrontare una situazione sconcertante aggravata dal fatto che molti enti pubblici non sono ancora completamente digitalizzati e sono necessari investimenti per rafforzare la sicurezza informatica e la resilienza.

Sicurezza Informatica e protezione dei dati

La protezione dei dati – spesso sensibili – rappresenta una delle sfide principali nel settore pubblico. La sicurezza informatica è fondamentale per la protezione della riservatezza e integrità dei dati e la comparsa di nuove minacce informatiche e di attacchi sempre più sofisticati rende indispensabile l’installazione di sistemi di sicurezza adeguati. Si tratta sia di sicurezza dei dati che di protezione dei dati.

Poiché i due concetti non possono sussistere l’uno senza l’altro, è necessario prestare particolare attenzione a come implementare una protezione olistica dei dati in modo efficace in conformità del regolamento GDPR e ai rischi calcolabili, senza limitare la sicurezza dei dati e utilizzando le tecnologie più all’avanguardia. In questo contesto, i principi di trasparenza, liceità, minimizzazione del volume di dati e limitazione dello spazio di archiviazione sono di particolare importanza. La sicurezza dei dati deve riguardare tutti questi aspetti.

Per quanto riguarda la liceità, il GDPR regola questo principio attraverso l’articolo 49, il quale riconosce il trattamento dei dati a fini della sicurezza delle informazioni e delle reti come un interesse legittimo. Le aziende devono fornire soluzioni che agiscano nel miglior modo possibile per il salvataggio dei dati in ambienti in cui è necessario processare grandi quantità di dati per raggiungere l’obiettivo della sicurezza di questi ultimi. Allo stesso modo, devono essere implementati protocolli di cancellazione e automazione adeguati e configurabili che prevedano che non si conservino dati più a lungo di quanto sia effettivamente necessario per raggiungere l’obiettivo della sicurezza dei dati.

Sicurezza informatica: lo stato dell’arte

Quando si tratta di linee guida sullo stato dell’arte, il regolamento GDPR può risultare altrettanto vago come le altre leggi che regolano questioni suscettibili al progresso tecnologico e ai cambiamenti. Di conseguenza, delineare delle linee guida oggettive da parte di istituzioni indipendenti è fondamentale per comprendere lo stato dell’arte in materia di sicurezza. Esistono solo alcune indicazioni, tra le quali il manuale di TeleTrust e.V. sullo stato dell’arte, particolarmente consigliabile soprattutto in quanto la sua versione inglese è stata diffusa in collaborazione con l’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA). Inoltre, sono disponibili raccomandazioni[1] per le aziende e gli enti pubblici sull’uso di soluzioni per la protezione degli endpoint e il rilevamento di anomalie per difendersi dagli attacchi informatici.

Raccomandazioni per la sicurezza informatica nel settore pubblico

È necessario un supporto tecnologico per identificare ed elaborare le violazioni di sicurezza nell’infrastruttura IT nel momento stesso in cui avvengano. Come terreno di sperimentazione per le nuove tecnologie, procedure e architetture, le esperienze vissute dalle grandi aziende risultano utili esempi, in quanto riguardano realtà più flessibili e che dispongono di budget più consistenti per la sicurezza. L’intero settore pubblico deve diventare più responsivo apprendendo più velocemente dai casi già accaduti. Purtroppo, sempre più frequentemente si verificano attacchi informatici con potenziale impatto sistemico.

(Imagoeconomica)

A nostro avviso, le lezioni chiave da apprendere dalle recenti violazioni di sicurezza sono le seguenti:

– Utilizzare servizi di sicurezza gestiti per affiancare gli operatori di sicurezza interni e fornire una copertura di sicurezza reattiva e completa.

– Adottare sistemi IT in cloud e, ove possibile, piattaforme di sicurezza basate sul cloud per ottenere scalabilità e velocità.

– Implementare un’architettura zero-trust che sia specificatamente sensibile agli attacchi all’identità per la protezione delle infrastrutture IT sempre più distribuite e la riduzione dei movimenti laterali durante i tentativi di infiltrazione, avvicinandosi alla resilienza informatica.

– Creare visibilità attraverso l’eXtended Detection and Response (XDR) per prevenire violazioni di sicurezza di qualsiasi tipo nell’infrastruttura IT. I sistemi XDR collegano i domini chiave dell’infrastruttura di sicurezza con gli analisti di sicurezza e l’automazione in una piattaforma unificata.

Protezione dei dati e approccio Zero Trust

L’XDR migliora anche la protezione dei dati in conformità agli obblighi di comunicazione previsti dal regolamento GDPR. Lo stesso vale per altre innovazioni in materia di sicurezza informatica, come l’approccio Zero Trust. Tuttavia, poiché oggi molte violazioni della protezione dei dati avvengono senza l’uso di malware e gli attacchi sono sempre più basati sull’identità, ad esempio quando i dati di accesso legittimi vengono sfruttati per l’accesso iniziale, la verifica dell’identità degli utenti ricopre un ruolo fondamentale.

Tra l’altro, i sistemi di sicurezza informatica devono essere vigili 24 ore su 24, poiché l’esperienza dimostra che gli attacchi informatici vengono sferrati proprio nelle ore non di punta, la domenica o nei giorni festivi. Ecco perché è necessario garantire la sicurezza informatica in modalità Follow the Sun, nel rispetto della protezione dei dati.

NOTA

[1] Ad esempio la legge italiana 109/2021 che definisce l’architettura nazionale di cybersicurezza