Per i dati nettamente disastrosi sulla cybersicurezza italiana del 2023 non possiamo dare la colpa al Covid-19 e nemmeno ai conflitti in corso che toccano il nostro Paese come molti altri. Sarebbe ridicolo: meglio prendersene la responsabilità e rimboccarsi le maniche. In questo 2024 ancora un po’ da giocare, abbiamo tutto ciò che serve per iniziare a cambiare rotta.
Secondo il più recente rapporto Clusit, partiamo da un 11% di attacchi gravi globali messi a segno proprio in Italia, quasi il 4% in più di quelli che ci hanno colpito nel 2022. E da un +65% di attacchi giunti nello stesso arco di tempo a un totale di 310, di cui oltre la metà (56%) considerati di gravità critica o elevata. Se non potesse sperare su qualche novità legislativa, neanche il più tenace ottimista oserebbe pensare ad un 2024 di miglioramento. Per fortuna ce ne sono, e come spesso accade si stanno trasformando in uno sprone per il Paese, sia per il suo scheletro pubblico, le PA, che per il suo ecosistema privato, le PMI.
Difficile dire se sia la forza di traino, il desiderio di fare un passo avanti in termini di postura di sicurezza, o la spinta da dietro, la paura di essere sempre più mirino di attacchi. Fatto sta che il Paese Italia sembra muovere i primi passi verso una nuova direzione. Quella di una protezione attenta e consapevole, più attiva e meno reattiva. Quella, l’unica, che oggi serve se si vuole avere qualche speranza di difendere il proprio patrimonio di dati. Ricordando che, nel caso della pubblica amministrazione, si tratta di quelli pubblici. I nostri.
PA: digitalizzazione senza protezioni
Per mettere meglio a fuoco come se la cavano con la sicurezza i nostri enti pubblici, si possono rispolverate gli ancora validi dati sul 2022 resi noti dall’Istat. Dal suo report dedicato proprio alle PA di ogni dimensione emerge che 7 su 10 sono a rischio cyber.
L’uso del cloud ha subito un’impennata dal 2018 in poi, passando dal 34,3 al 54,2%, con un proliferare di servizi quali le applicazioni software (84,8%), la posta elettronica (76,3%) e l’archiviazione di file (65,6%). Ma questa migrazione di massa non ha spinto la PA a una maggiore consapevolezza della propria esposizione al rischio. Anzi, pochi sono stati gli enti che si sono posti il problema di adattare le proprie strategie di protezione al nuovo assetto del sistema IT. C’è infatti un 70,8% di amministrazioni locali che ancora non ha adottato processi codificati per gestire gli eventi di sicurezza informatica. Regioni a parte, sono solo il 29,2% le PA locali a poter vantare una solida strategia da sfoderare in caso di eventi di cyber security. Nei restanti casi si possono registrare interventi minimali e budget quasi inesistenti.
Un sintomo di scarso impegno? Non solo. Come vedremo più avanti, il problema principale è un altro. Ancora più che alle piccole e medie aziende su cui si fonda l’economia nazionale, alla nostra PA mancano le competenze interne adeguate a creare una strategia di sicurezza degna dei rischi di questi anni. Non ci sono molti profili in grado nemmeno di mettere a terra quelle indicate da altri, per farle attecchire e evolvere. Quale efficacia potranno avere nuove leggi sulla sicurezza che seminano spunti, idee e stimoli, se manca un terreno fertile in cui tutto ciò possa trasformarsi in siepi di protezione del perimetro pubblico?
Il nuovo DDL change maker: rivoluzione in 24 articoli
Prima di cercare assieme ad alcuni dei diretti interessati, i comuni, una risposta a questo quesito emblematico dei tempi che stiamo vivendo, può essere importante conoscere da vicino le due maggiori novità legislative che potrebbero essere destinate scuotere il panorama di sicurezza nazionale. Su scala Paese e in modo granulare.
La prima è la legge già approvata in Senato, a giugno 2024: il DDL Cybersecurity, dedicato alla protezione di infrastrutture critiche e informazioni sensibili. Con i suoi 24 articoli, introduce una serie di disposizioni che riguardano l’arrivo di nuovi protocolli di sicurezza e l’istituzione di nuove tipologie di reato informatico, ma allo stesso tempo segna un inasprimento delle pene per i crimini esistenti, soprattutto se ai danni del settore telecomunicazioni. In qualche riga c’è modo anche per raccomandare un maggiore impegno nella formazione sia delle forze dell’ordine che dei cittadini, tutti da sensibilizzare rispetto ai rischi che si possono correre anche solo agendo con superficialità.
Nel primo dei due “Capi” di cui è composto, questo decreto introduce l’obbligo di notifica degli incidenti rilevanti per la cyber sicurezza per nuove categorie di soggetti. Ora vale per tutti quelli pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), oltre che per pubbliche amministrazioni centrali, regioni, città metropolitane, comuni con più di 100.000 abitanti, società di trasporto pubblico e aziende sanitarie locali. Si richiedono anche interventi rapidi in caso di vulnerabilità segnalate dall’Agenzia per la Cybersicurezza Nazionale e la creazione stabile di strutture di cybersicurezza nella PA, in grado di verificare la conformità dei programmi e delle applicazioni informatiche. Si prova ad agire non solo sull’onda dell’emergenza ma in modo più sistematico e organizzato. E innovativo, se di innovazione si può ancora parlare quando si introduce la crittografia e un vero e proprio Centro Nazionale dedicato a questa tecnologia che si prenda la responsabilità dello sviluppo di standard e linee guida per valutare la sicurezza dei sistemi utilizzati.
Un altro passaggio importante di questa prima parte di decreto riguarda le origini dei contratti pubblici per beni e servizi informatici destinati a proteggere gli interessi strategici del Paese. Devono essere italiane, o almeno europee, o almeno interne ai Paesi NATO: ne va della nostra autosufficienza tecnologica e strategica. E anche economica, a lungo andare.
Nel secondo Capo del DDL Cybersicurezza si trattano temi relativi al rafforzamento, alla prevenzione e al contrasto dei reati di cybercrime, ampliando l’ambito di applicazione delle pene e inasprendo le sanzioni già previste. Si invitano a una maggiore collaborazione l’ACN, il procuratore nazionale antimafia e antiterrorismo e la polizia giudiziaria, potenziando ulteriormente il quadro normativo esistente.
NIS 2, il secondo atto di una scena europea più sicura
L’altro sprone di natura normativa legato alla sicurezza digitale arriva dall’Europa, con la NIS 2. Si tratta di un ampliamento previsto effettivo proprio in queste settimane della NIS già in vigore. Una novità che incarna il desiderio dell’Unione Europea di incrementare la resilienza informatica, completando con questo aggiornamento una strategia per la cybersicurezza già in parte scritta con il Cybersecurity Act e il Cyber Resilience Act.
La direttiva NIS andava già nella giusta direzione, designando autorità competenti in materia di sicurezza, prevedendo gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) e chiedendo a gran voce la creazione di strategie nazionali innovative e realistiche. La stessa norma chiedeva già a Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) di adottare obbligatoriamente misure per la cybersicurezza e di segnalare di incidenti gravi, pretendendo da ogni Paese una strategia nazionale di cybersecurity da sviluppare anche tramite la cooperazione internazionale e la collaborazione con l’ENISA (European Union for Network and Information Security Agency, l’agenzia che si occupa di supportare gli Stati membri, le istituzioni UE e le imprese nella gestione di tematiche chiave per la cybersicurezza).
Una digitalizzazione sfrenata e rapida, la pandemia di Covid-19 e il Conflitto Russo-Ucraino avevano però reso necessario un intervento di aggiornamento. Ora è stato fatto e tocca a noi organizzarci per rispettare la nuova versione che ne è uscita, la NIS 2. Con questo nuovissimo upgrade, tanto utile da meritare un nuovo giro di approvazione e il numero “2” affianco al nome, si è riusciti ad ampliare l’ambito di applicabilità degli obblighi già introdotti, eliminando la scomoda e per alcuni immotivata differenziazione fra operatori di servizi essenziali e fornitori di servizi digitali. Nel mentre si è ridotta la discrezionalità degli Stati membri, migliorando il coordinamento per le misure di sicurezza previste e le risorse disponibili all’autorità di controllo.
La NIS 2 si basa prima di tutto sulla differenziazione dei soggetti regolati in due categorie. Quelli essenziali e quelli importanti. I primi appartengono ai settori ad alta criticità (pubbliche amministrazioni e imprese che si occupano di energia, trasporti, settore bancario, settore sanitario, infrastrutture digitali, ecc.). I secondi sono sempre in ambiti critici ma hanno dimensioni medie. Come i servizi postali e di corriere, quelli per la gestione dei rifiuti oppure che forniscono servizi digitali, per esempio. Trattandosi di una legge europea, doveroso inserirvi un passaggio sulla cooperazione internazionale che spinga verso un aumento degli scambi di best practices per lo sviluppo di norme, specifiche tecniche e capacità e sulla condivisione di informazioni utili a difendersi da minacce informatiche, incidenti e vulnerabilità,
La vera svolta che la NIS 2 rappresenta è però contenuta in un passaggio che appare riservato agli addetti ai lavori, ma che è invece probabilmente destinato a cambiare le sorti cyber del nostro Paese. La frase cruciale compare nell’articolo 20 e spiega che gli “organi di gestione” saranno ritenuti responsabili di qualsiasi violazione e che sono obbligati formarsi e acquisire conoscenze e competenze adeguate per individuare rischi e valutare le pratiche di gestione dei rischi di cybersicurezza e il loro impatto.
Questo nuovo approccio è decisamente responsabilizzante. Obbliga a virare verso una strategia “multirischio” con una serie di interventi mirati a smuovere le coscienze anche più pigre. Gli obblighi di segnalazione non si limitano a chiedere la notifica dell’avvenuto incidente all’autorità competente, ma arrivano a pretendere azioni che ne contengano gli effetti, sul piano sia nazionale che europeo. Entro 24 ore va messo in luce ogni incidente reputato significativo, entro 72 ore va consegnata anche un’analisi dettagliata del fatto. Il principio di responsabilità introdotto dalla NIS 2 riguarda anche le persone fisiche che detengono posizioni dirigenziali di alto livello nei soggetti che rientrano nell’ambito di applicazione della nuova direttiva.
Il piano e il ruolo di AgID
Mentre oltre 20 migliaia di PA italiane stanno facendo i conti con queste due imponenti novità normative, ci si mette anche l’Agenzia per l’Italia Digitale (AgID) con il nuovo Piano triennale per l’informatica nella PA 2024-2026. È un documento ricco di informazioni e azioni, e anche di novità. Tra le più significative c’è la richiesta di una maggiore attenzione alla governance che deve adottare un approccio fortemente orientato ai servizi digitali, interoperabili, più facili da utilizzare per i cittadini e le imprese e più accessibili. Anche il monitoraggio degli indicatori più significativi diventa una priorità, affianco a quelle legate all’intelligenza artificiale. Una tecnologia che appare per la prima volta nel piano, ma che subito conquista un ruolo da protagonista. È urgente, secondo AgID, oltre che necessario e ragionevole, introdurre nuovi strumenti operativi di riferimento ad hoc e modelli di supporto per gestire il nuovo rischio cyber intelligente con un framework dettagliato. Sempre ad AgID va attribuito il merito di aver sviluppato uno strumento di estrema importanza per la valutazione e il trattamento del rischio cyber da parte delle strutture della pubblica amministrazione del Paese. Risale a parecchi anni fa il suo toolkit per la sicurezza, ma resta tuttora un validissimo supporto all’attività di progettazione e pianificazione di azioni atte ad assicurare la resilienza dell’infrastruttura informatica nazionale.Nella pratica, questo documento fornisce report di azioni di trattamento necessarie a fronte delle minacce individuate, fa una stima del rischio di utilizzo di servizi trasversali nazionali e locali e gestisce gli accessi degli utenti alle varie funzionalità in base agli attributi assegnati. Per finire, produce anche delle utili analisi statistiche sulla sicurezza dei dati, sia a livello puntuale e che generale: tutto per aiutare le PA a incrementare il proprio livello di sicurezza anche verso i cittadini e le imprese che usufruiscono dei servizi da esse erogati. Si devono infatti assicurare loro la continuità e la coordinazione. Un altro vantaggio del toolkit sviluppato è l’autonomia che regala agli enti, più in grado di svolgere da soli operazioni di self assesment e il monitoraggio delle iniziative introdotte per ridurre il livello di rischio informatico. Uno strumento del genere, per creare valore e avere impatto, deve essere comodo e a portata di mano per tutti. AgID sa cosa fa e per chi, infatti lo ha reso accessibile in modalità web attraverso le credenziali SPID, guidando l’utente nel risk assesment passo dopo passo. Prima con la definizione delle caratteristiche del servizio, l’assegnazione del profilo di criticità e la valutazione dei possibili impatti derivanti dalla perdita di RID (riservatezza; integrità; disponibilità). Poi passando alla delicata fase di identificazione delle minacce, dei controlli di sicurezza e calcolo dei livelli di rischio, con la preparazione del piano di trattamento e con il monitoraggio del rischio nel tempo.
Cercasi esperti cyber da mettere in comune
Di fronte a questo nuovo mosaico di numeri, norme e piani che si incastrano più o meno perfettamente, i Comuni italiani vedono davanti a sé stessi una serie di sfide. La prima è quella che tutte le novità normative elencate non sembrano aver ancora abbastanza preso sul serio: la mancanza di competenze in materia di sicurezza.
A ribadirlo è Moira Benelli, Responsabile dell’Ufficio Servizi e Tecnologie e Agenda Digitale dell’Anci: “servono profili altamente specializzati, sono necessari anche alla luce delle nuove richieste delle autorità. Nell’organico della maggior parte dei Comuni non ci sono”’ spiega. “Questo genere di competenze scarseggia in generale sul mercato – aggiunge – i pochi a disposizione è raro che optino per una carriera nella Pubblica Amministrazione: preferiscono le aziende private, per motivi di budget e di opportunità di carriera”
Le soluzioni tecnologiche non mancano: toolkit di AgID a parte, sul mercato ce ne sono di diverso tipo e anche all’avanguardia. A mancare sono in parte le risorse economiche: “non sempre quelle del PNRR risultano sufficienti, soprattutto per strategie sul lungo periodo, quelle che servono in ambito sicurezza oggi in Italia” commenta Benelli. Ma il vero tallone d’Achille dei Comuni sta nell’assenza di figure interne che conoscano sia il mercato che i bisogni interni dell’ente in termini di sicurezza informatica. Sarebbero le uniche in grado di identificare le soluzioni adatte su cui investire.
Senza poter contare su questo tipo di profili, i Comuni italiani“vengono presi in ostaggio dai mercati” che decidono quali soluzioni fornire loro. “Si finisce per farsi ingannare dall’offerta del momento di un venditore scaltro – aggiunge – tra gli strumenti più validi, specie per lo sviluppo di soluzioni che utilizzino nuove tecnologie, come può essere l’AI, può essere efficace quello che prevede una partnership pubblico/privata finalizzata alla creazione di soluzioni di volta in volta adatte al singolo ente e al contesto volubile in cui si deve proteggere, sempre erogando servizi ai cittadini e alle imprese. È necessario in ogni caso intervenire per cambiare questa situazione, a maggior ragione di fronte alle nuove sfide che l’AI ci pone. Non possiamo lasciare in mano gli appalti pubblici solo a chi si mostra tradizionalista e non in grado di affrontare temi cruciali come AI, cloud, rischi cyber”.
Questo “non possiamo” di Anci non è un modo di dire, e sarebbe da coniugare al passato, visto si è già tradotto in azione e, sperabilmente, presto si trasformerà in risultati tangibili. La novità che fa cambiare il tempo dei verbi e comparire una luce all’orizzonte si chiama “Accademia dei Comuni Digitali”. È nata per migliorare le competenze di chi ci lavora su vari livelli, è frutto di una collaborazione tra Anci e il Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio, con partnership istituzionali con ACN, AgID e PAGOPA S.p.A. e mira anche a una efficace e definitiva sensibilizzazione del personale attraverso vari percorsi a diversi livelli ma tutti con l’obiettivo di cambiare il mindset del personale. In questo ambiente di formazione dedicato alla trasformazione digitale dei Comuni, verranno rafforzate le competenze sia trasversali che specialistiche del personale, per supportare il Paese nel raggiungimento di una quota pari al 75% di amministrazioni pubbliche passate al paradigma Cloud, come via per l’erogazione servizi il più possibile efficienti. Un passaggio che può avvenire solo nella massima sicurezza, quindi, che pretende una strategia di consolidamento delle strutture informatiche della PA e una loro protezione efficace e al passo coi tempi.
L’offerta di risk management tool non manca
Alleato della PA contro il cybercrime lo può essere anche il mondo delle imprese. Per lo meno quella parte che si occupa di tool per il Cyber Risk Management. Si tratta di strumenti sviluppati apposta per aiutare organizzazioni di varia natura nella gestione dei rischi legati al digitale e al mondo IT. L’idea non è solo quella di automatizzarla, ma di ottimizzare tempi e sforzi, integrando in modo innovativo sia il fattore umano, che l’impatto finanziario e la componente più tecnologica.
Solitamente questo tipo di soluzioni sono un puzzle di tecnologie diverse, in verità, assemblate ad hoc per coprire in modo efficiente le diverse fasi di management dei pericoli creati dai criminali informatici. La prima è quella in cui si individuano e analizzano le vulnerabilità, identificando i gap e le soluzioni per colmarli. Poi si passa a quantificare il possibile impatto che un evento cyber potrebbe avere e la probabilità con cui può accadere. Al termine del ciclo di gestione del rischio, c’è poi la fase di protezione in cui è importante aprire il dialogo anche con i mercati assicurativi, per soluzioni di trasferimento del rischio residuo coerenti e adeguate.
Pur essendo di strumenti IT, i tool di cyber risk management devono tener conto delle persone, uno dei principali asset della produttività come del rischio, di ogni PA e di ogni azienda. Nonostante anni di sensibilizzazione al tema, troppi incidenti informatici sono infatti ancora una diretta conseguenza dei comportamenti dei dipendenti. Se si vuole gestire il rischio, quindi, vanno gestiti anche loro. Come? Rendendoli il più possibile consapevoli di come una distrazione o una leggerezza possano causare danni inestimabili a loro stessi e a molte altre persone “innocenti”. Questo vale per tutti, poi c’è una parte di forza lavoro che deve maturare anche specifiche competenze cyber, oggi carenti ma sempre più necessarie. Anche il tool più all’avanguardia può aiutare ma mai sostituire il team di sicurezza.
Questa evidenza conferma la necessità di optare oggi più che mai per un approccio olistico alla cybersecurity, che tenga conto di ogni potenziale minaccia, che riguardi persone, capitali o tecnologia. È l’unica strada per arrivare a definire un percorso virtuoso verso la resilienza di ogni PA di ordine e grado, luogo e dimensione.
Parità di genere per PA più sicure
Parlare di olistico in un mondo quasi interamente “abitato” da uomini fa sorridere, e poi disperare. Infine, fa pensare, soprattutto se su questo tema ci si confronta con chi, donna esperta, ha fatto carriera non seguendo le tracce altrui ma lasciandone una sua, nuova. E poi diventando la vicepresidente e direttrice del Comitato Tecnico Scientifico di Women4Cyber: Rita Forsi. Usa sempre l’aggettivo olistico, per descrivere l’approccio necessario alla formazione sulla cybersicurezza della PA: “deve combinare sensibilizzazione, formazione specialistica, collaborazioni pubblico-privato, nonché l’uso di piattaforme e-learning” spiega infatti. Forsi suggerisce di puntare su “modelli di formazione continua, basati su ruoli specifici, e integrati con la gestione dei rischi”. Sarebbero gli unici, a suo avviso, a supportare concretamente la PA nella protezione di infrastrutture e dati sensibili. Sono gli unici che adotta la Fondazione europea Women4Cyber.
Questa organizzazione ha da tempo abbracciato una sfida ardua e tremendamente attuale, quella di permettere alle donne di occupare posizioni strategiche nel settore della sicurezza informatica.
“Secondo gli ultimi dati diffusi del Global Gender Gap Report 2024 del World Economic Forum, si stima che la percentuale di donne nel nostro ambito sia compresa tra il 20% e il 25% a livello globale, nonostante la domanda di questa figura professionale sia costantemente crescente” spiega Forsi, collegando questo dato preoccupante con la scarsa partecipazione di ragazze ai corsi di laurea relativi alle materie STEM. Le giovani di tutto il mondo, stando ai numeri, sembrano non osare, anche nel partecipare alle “Cyber Challenge”. Ma se non giocano, se non viene loro permesso o suggerito di giocare, come fanno a vincere?
Guardando i dati dell’Osservatorio sulle competenze digitali, secondo cui in Italia nei corsi di laurea ICT solo il 23,4% sono donne e nel settore della Cybersecurity le donne laureate sono solo il 6%, Forsi ribadisce con tenacia la missione di Women4Cyber Italia. “Vogliamo sostenere le ragazze in percorsi che favoriscano l’inserimento consapevole nel mondo del digitale e della cybersecurity in particolare, settori molto promettenti anche nel nostro Paese – aggiunge – senza dimenticare tecnologie come l’intelligenza artificiale che potranno sfruttare in moltissime esperienze di vita e di lavoro”.
Il contributo femminile, secondo Women4Cyber, può ampliare l’ottica dei vari processi e migliorare l’impostazione stessa di funzioni e procedimenti, compresi quelli di alcune strutture della PA, che talvolta sembrano asfittici o ripetitivi. Ben venga, quindi, proprio nella nostra Italia, e ben vengano gli accordi di collaborazione tecnico-scientifica siglati a questa associazione con tre Università come la LUISS, il Campus Biomedico e l’Università di Pisa, “per far aumentare la consapevolezza delle opportunità offerte alle donne dal settore della cybersecurity e strutturare al meglio i percorsi di formazione nel settore”.
Affianco a queste attività, c’è anche lo Youth Ambassador Programme in collaborazione con la Fondazione europea Women4Cyber e gli altri suoi capitoli nazionali della Community (ormai 28). Questa iniziativa vede come protagoniste delle “Ambasciatrici della Gioventù”, donne di talento impegnate a sostenere la Mission di Women4Cyber Italia attraverso specifiche attività di supporto alle iniziative del Comitato Tecnico Scientifico, di networking e promozione sui social media.
“Ciascuna di noi mette poi a disposizione le proprie competenze e professionalità partecipando agli eventi di settore – spiega Forsi – è necessario creare sempre più opportunità di sensibilizzazione, formazione, confronto e crescita a beneficio delle giovani donne che desiderano e devono potersi inserire nel mondo della cyber security”. A beneficio di una PA che probabilmente ne ha bisogno, tanto quanto che di un tool di Cyber risk management.
