Il Forum PA 2017 è stato anche quest’anno occasione per discutere di Cyber Security. Nell’ambito del programma della tre giorni, è stato organizzato un tavolo di lavoro ristretto ad interlocutori qualificati, composto dai referenti della sicurezza informatica della PA centrale e locale e dai rappresentanti di alcuni player del mercato dei servizi per la Cyber Security.
L’obiettivo di questa occasione era analizzare alcune tra le priorità strategiche di Cyber Security, che le pubbliche amministrazioni sono chiamate ad indirizzare per garantire servizi digitali sicuri per cittadini e imprese, per poi provare a definire concrete linee di azioni da perseguire.
La cassa di risonanza creata dagli ultimi eventi – come la recente diffusione del Ransomware WannaCry – ha aumentato la consapevolezza sui rischi Cyber da parte del grande pubblico. Ciò comporta una maggiore – se ancora ce ne dovesse essere bisogno – responsabilità nel garantire adeguati livelli di sicurezza per le aziende e organizzazioni italiane e conseguentemente di tutta la nazione.
Un paese, ove i servizi digitali possano essere erogati in sicurezza, è un paese che permette alle aziende di prosperare e svilupparsi e rappresenta un catalizzatore per nuovi investimenti nazionali ed esteri. Gli inglesi con la loro strategia nazionale, che definisce azioni e strumenti di controllo per accompagnare in sicurezza la trasformazione digitale del paese, sono un modello di impegno in tal senso.
Costituzione dei CERT e Information Sharing, Awareness, introduzione di standard e pratiche di sicurezza, Sicurezza “by Design” sono state le priorità analizzate durante sessione di lavoro.
Non rappresentano delle novità per chi opera nel settore. Erano già state incluse nella strategia nazionale di Cyber Security nel Dicembre 2013 (delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico e nel Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali) o nel più recente Framework Nazionale di Cyber Security[1] pubblicato a Febbraio 2016, che dedicava a queste una sezione specifica di raccomandazioni per il Top Management.
Quali allora i punti di interesse dibattuti durante il tavolo di lavoro?
Le iniziative di Information Sharing sono al momento ancora molto limitate in termini di attuazione, in particolare tra pubbliche amministrazioni. I privati non sono in una situazione migliore, anche se in alcuni settori, come il Finanziario, si stanno avviando i primi progetti. L’istituzione del CERT-FIN e la realizzazione di un network basato sulla piattaforma MISP ne sono un esempio. Tutti i rappresentanti delle PA presenti sono concordi nell’affermare che la collaborazione tra diverse amministrazioni e uno scambio di informazioni tempestivo e strutturato siano un valore per la prevenzione e risposta degli incidenti e per la riduzione degli impatti in caso di accadimento. Ma questa collaborazione non si è di fatto concretizzata ancora in iniziative ed interventi. L’ostacolo principale indicato da diverse amministrazioni è rappresentato dalla mancanza di iniziativa. La mancanza di risorse, se pur limitante, non è riconosciuta come uno scoglio insormontabile. Gli esempi di iniziative dal basso, come nel settore dei trasporti, in cui diversi enti / organizzazioni hanno fatto propri i principi di condivisione basati su relazioni di fiducia, realizzando uno scambio semplici basato sulla email, dimostrano che volontà e iniziativa posso superare i vincoli economici e anche culturali. La definizione di linee guida che stabiliscano metodi e protocolli da impiegare per l’Information Sharing tra le pubbliche amministrazioni deve essere conseguentemente una priorità e un impegno a livello nazionale. La responsabilità spetta in primis ad AgiD, in ragione del suo ruolo di guida e indirizzo in materia di sicurezza informatica nella pubblica amministrazione, ma non esclude che pubbliche amministrazioni particolarmente attive e responsabili possano definire accordi di partenariato proprio per velocizzarne l’attuazione.
La condivisione delle informazioni deve poi svilupparsi in parallelo all’interno delle singole amministrazioni. I CERT hanno la responsabilità di coordinare le azioni di prevenzione e risposta all’interno delle organizzazioni coinvolgendo non solo i responsabili di sicurezza ma anche funzioni come le Operations dei sistemi informatici ed industriali o il Business. Processi strutturati e interfacce di scambio tra funzioni sono indispensabili. La responsabilità della loro definizione e realizzazione è delle singole amministrazioni.
La situazione della costituzione dei CERT è invece leggermente migliore. Diverse le amministrazioni presenti hanno già da istituito i team per la prevenzione e risposta agli incidenti Cyber e altre si stanno lavorando. Ce ne sono ancora molte però che si devono attivare in tal senso.
Molte le iniziative di awareness presentate dalle amministrazioni rivolte in particolare al personale interno che vedono l’impiego di vari strumenti quali corsi on-line, comunicazione di “pillole” di Awareness, campagne di sensibilizzazione su Phishing e Social Engineering. Analogamente diverse sono le iniziative di collaborazione con l’accademia e le scuole sia per migliorare quella cultura di base della Cyber Security sia per formare nuovi esperti di sicurezza così ricercati dal mercato.
Comune la necessità di migliorare però la consapevolezza e la percezione le minacce di Cyber Security da parte dei vertici aziendali e del management in generale. Essenzialmente per due ragioni. Devono essere in grado di comprendere i rischi, perché responsabili in ultimo per la gestione del rischio Cyber, che deve essere integrato nella gestione complessiva dei rischi aziendali. Sono loro poi chiamati ad approvare le modalità di trattamento e ad assegnare le opportune risorse per attuare i programmi di Security, per cui la conoscenza è un pre-requisito imprescindibile.
Dall’altro lato, è proprio il management aziendale, depositario delle informazioni strategiche delle organizzazioni, il target preferenziale di molte frodi ed attacchi mirati. L’uso corretto degli strumenti digitali e la consapevolezza su quelli che siano i comportamenti virtuosi da tenere è ormai un prerequisito imprescindibile.
L’introduzione di standard e pratiche di sicurezza, risulta essere priorità da indirizzare su due dimensioni. In primis esiste la necessità per la sicurezza nazionale di definire e/o adottare standard per certificare apparati e sistemi, impiegati dalle Infrastrutture Critiche. Questi sono gli operatori di servizi essenziali indicati ad esempio dalla direttiva comunicatoria NIS come quelli del settore energetico, dei trasporti, trattamento delle acque, del servizio sanitario, solo per citarne alcuni. La garanzia di impiego di prodotti soddisfacenti idonei requisiti di sicurezza è essenziale per proteggere i servizi offerti ai cittadini, i loro dati, la loro privacy, ma anche la loro sicurezza, salute e incolumità. Francia e Germania si sono già attività in questo senso. Il recente DCPM del 17 febbraio 2017 assegna in tal senso al MISE il compito di istituire un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche.
Il commento comune degli rappresentanti delle PA è che gli standard ci siano. Lo standard ISO/IEC 15408-1:2009 anche conosciuto come Common Criteria, per le certificazioni di computer security o lo standard OWASP per le verifiche di sicurezza delle applicazioni web, sono solo alcuni esempi.
È necessario attivarsi per un rapida attuazione del processo.
La seconda dimensione è invece associata all’innalzamento del livello di sicurezza complessivo delle organizzazioni e delle aziende. Anche su questo fronte diverse sono state le iniziate completate negli ultimi anni. Il già citato Framework Nazionale di Cyber Security e i Controlli Essenziali di Cyber Security che sono seguiti, con focus proprio sui controlli di sicurezza di base destinati alle piccole e medie imprese italiano. È recente poi le emissioni da parte di AgiD[2] delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni”, in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, finalizzate a consolidare lo stato della sicurezza informatica nazionale, alla luce dei crescenti rischi Cyber che minacciano l’Italia. Queste, se pur strutturate su più livelli, rischiano di dare una falsa percezione di sicurezza da parte di quelle amministratori che applicheranno il livello minimo (la scadenza è fissata per il 31 dicembre 2017 anche se non sono previste sanzioni per la mancata applicazione).
Sono pertanto da considerarsi come un primo passo per la messa in sicurezza delle amministrazioni pubbliche, ma non devono essere considerate come un punto di arrivo. L’obiettivo deve essere quello di adottare sì quelle minime ma avviare processi interni di valutazione del rischio Cyber che permettano di identificare gli ambiti – processi, sistemi, applicazioni, dati ecc. – di maggiore criticità e gli adeguati livelli di protezione da raggiungere.
Ultimo tema discusso, la Sicurezza by Design. Cerchiamo di fare in primis chiarezza sul termine. Sicurezza by Design sta ad indicare che il software ma anche i sistemi debbano essere sviluppati e implementati tenendo conto dei principi di sicurezza già dalle fasi iniziali di progettazione. Non si tratta di un concetto nuovo. Quello che rappresenta una reale difficoltà è sua la messa in pratica in maniera rigorosa. Le pressioni delle funzioni di Business per una rapida introduzione di nuovi prodotti e servizi ha fatto sì che la sicurezza fosse talvolta messa in secondo piano proprio perché vista come un freno. La soluzione può esserci, lavorando nel responsabilizzare proprio il Business che è di fatto accountable per l’accettazione del rischio Cyber.
Bisogna lavorare poi all’applicazione del principio Sicurezza by Design all’interno delle organizzazioni e in particolare nei processi di Supply Chain. Lavorare con i fornitori della filiera di approvvigionamento della PA che sempre più sono coinvolti nella progettazione, gestione e manutenzione delle infrastrutture informatiche e industriali.
È indispensabile in ultimo continuare ad agire per migliorare la cultura della sicurezza di coloro che sono chiamati a progettare, sviluppare e implementare nuovi prodotti e/o servizi. I programmi attivati a livello universitario con il supporto di diverse operatori del settore sono un esempio da portare avanti.
Tanti gli argomenti dibattuti, ma volendo cercare il Leitmotiv dell’incontro, possiamo sicuramente dire che questo sia l’urgenza di mettere a terra quanto discusso. Capacità di iniziativa, volontà di fare squadra, accountability sono gli elementi essenziali per superare i limiti in termini di risorse – economiche e di personale – e culturali per avviare iniziative singole o tra amministrazioni.
Le iniziative di Information Sharing per la condivisione di dati e informazioni per la prevenzione e risposta agli incidenti potranno essere un primo tavolo di prova, proprio su cui cercare di metter in atto quanto discusso.