“Nel 2014 sono aumentati del 200%, rispetto l’anno precedente, gli attacchi ai sistemi informativi delle strutture ospedaliere. Mentre i casi di ‘data breach’ sono passati da 27.000 nel 2009 a 46.000 nel 2013”. Con questi primi dati Roberto Baldoni, Direttore del Cis-Sapienza, il Centro di Ricerca di Cyber Intelligence e Information Security, introduce il Cyber Security Report, primo rapporto sulla consapevolezza della minaccia e capacità difensiva della Pubblica Amministrazione.
Il rapporto, svolto in collaborazione con AgID e la Presidenza del Consiglio dei Ministri, ha voluto saggiare la consapevolezza dell’attuale minaccia cibernetica oltre a verificare la capacità difensiva della PA Italiana. Il questionario è quindi stato strutturato in 61 domande alle quali hanno risposto 213 Pubbliche Amministrazioni, tra cui tutte le Regioni, 42 pubbliche amministrazioni centrali e province, capoluoghi di provincia oltre a Aziende Ospedaliere e Sanitarie Locali.
I dati del Cyber Security Report parlano chiaro. Il quadro è eterogeneo, costituito da luci e ombre. Tre sono state le tematiche di maggior interesse: il concetto di consapevolezza della sicurezza e protezione dati; il problema di competenze e responsabilità; la necessità di razionalizzazione delle infrastrutture e degli investimenti.
La consapevolezza
Il 12% delle PA Italiane dice di non subire attacchi nell’arco dell’anno, il 38% rivela invece di subirne tra gli 11 e i 100 , mentre il 21% rivela di essere soggetto a oltre 10.000 attacchi all’anno. Dati preoccupanti per la sicurezza della Pubblica Amministrazione che non sembrano aver fatto i compiti a casa. Infatti, tutti gli enti coinvolti nel report hanno in comune la mancanza di una corretta attuazione delle pratiche di sicurezza e gestione dei dati personali come il Penetration Testing, il Piano sicurezza ICT, le verifiche periodiche organizzative e funzionali di sicurezza ICT oltre a un piano di risposta per eventuali attacchi.
“Elementi – dice Baldoni – che devono costringerci ad avere una consapevolezza del valore strategico ed economico dell’informazione”. Una consapevolezza che deve quindi trascendere la singola visione d’insieme ma comprendere la pericolosità degli attacchi cyber e del ‘big data mentality’, ovvero la capacità degli hacker di incrociare dati da varie fonti con la possibilità di creare un dossier completo di ogni cittadino, in altre parole: furto d’identità e violazione della privacy.
Le competenze e responsabilità
Come si può, quindi, arginare il problema? La risposta sembra semplice. “Abbiamo bisogno di aumentare il livello di sicurezza dei nostri sistemi, ma – continua con rammarico Baldoni – abbiamo anche bisogno di esperti in sicurezza, che al momento sono molto pochi in Italia e, quelli che ci sono, seguono le regole del mercato” ergo emigrano all’estero. Quello che si evince dal quadro generale è che, oltre a una mancata consapevolezza, c’è anche una mancanza strutturale di competenze di carattere tecnico. Carenze che portano anche a una de- responsabilizzazione che si applica capillarmente a tutti i livelli degli enti pubblici e privati.
Razionalizzazione e investimenti
La domanda sorge spontanea. Quali sono le operazioni da svolgere per migliorare e rendere più efficienti i nostri sistemi di difesa dalla dimensione cyber?
Baldoni non lascia spazi a dubbi. “Il concetto di sicurezza deve andare di pari passo con il concetto di razionalizzazione.” Per razionalizzazione, s’intende la diminuzione drastica dei centri d’Information Technology (IT), che sono più di 5mila sparsi in tutta l’Italia e non consentono di fatto una protezione dei dati adeguata alla mole di attacchi che subiamo ogni giorno come Paese. “Razionalizzare i centri IT significherebbe diminuire la superficie d’attacco e portare le amministrazioni ad aggregarsi su base geografica o di business in un unico data center o cloud.” Il concetto che traspare è considerare l’infrastruttura IT come asset strategico nazionale, la presenza di meno data center ma più protetti e una forte riduzione di spesa –si parlava di trilioni di euro-.
E proprio riguardo alla spesa, che Baldoni si permette un “senza lilli non si lalla”, in riferimento alla necessità d’investimenti perché “è impossibile al giorno d’oggi pensare all’innovazione a costo zero”. L’Italia ha un’impellente necessità di proporre un proprio cloud ‘made in Italy’ che possa avere un valore attrattivo sia per le piccole e medie aziende sia per gli investitori. “ Sembra chiaro ” conclude quindi “di come la capacità cyber e la prosperità economica siano un binomio inscindibile in una nazione sviluppata.”
I commenti
D’accordo su molti dei temi trattati ma più orientato sulla questione investimenti è il commento di Alessandra Poggiani, Direttore dell’Agenzia per l’Italia Digitale. “L’equilibrio tra sicurezza e sviluppo è una tematica importante ma anche molto difficile da trattare. Riguardo quella che è la spesa, non possiamo pensare che questi investimenti siano reperibili se non facciamo uno sforzo collettivo e multilaterale.” Un richiamo alla cooperazione è quello della Poggiani oltre a una sensibilizzazione maggiore del tema della sicurezza cyber che sembra rimanere avulsa alla maggior parte degli Italiani.
Lucida analisi quella di Antonello Soro, Presidente dell’Autorità garante per la protezione dei dati personali. “Da questo quadro della situazione italiana si evince la disomogeneità che caratterizza oggi l’informatizzazione delle Amministrazioni Pubbliche”. “Il tema della consapevolezza è centrale”, riafferma Soro sull’onda di Baldoni, “perché le difficoltà oggettive sono tali da accrescere quello che è lo spionaggio informatico nel nostro paese.” Soro fa dunque un richiamo a quei principi che ispirano la protezione e tutela dei dati. Principi che non sono elementi accessori ma un fondamentale presupposto al concetto di sicurezza. Conclude ricordando che non c’è antinomia tra il concetto di sicurezza e privacy ma che sono invece due facce della stessa medaglia.
il Generale Carlo Magrassi, Consigliere Militare della Presidenza del Consiglio dei Ministri, ha posto una questione cruciale nel dibattito. “Perché, nonostante abbiamo eccellenze in tutti i campi tra cui quello della sicurezza cyber, non siamo i primi della classe?” La causa, secondo Magrassi, sembra essere legata a un fattore culturale connaturato: la mancanza di porsi al servizio degli altri. Nello specifico, considera deleteria per un processo di riforma della sicurezza cyber, l’ indipendenza delle singole pubbliche amministrazioni. Indipendenza che non porta gli enti a essere al servizio degli altri e quindi a non essere fautori di una cooperazione volta a un traguardo ben più alto: il controllo e attuazione di sistemi di sicurezza adeguati.
La tavola rotonda
In seguito anche il turno dei ‘best practices’ ovvero i tre casi studio rappresentati dalla Regione Friuli Venezia-Giulia, Inps e Corte dei Conti insieme ai rappresentanti delle compagnie che hanno sponsorizzato la ricerca: Microsoft, Finmeccanica, HP e FireEye.
Paolo Panontin, Assessore alla funzione pubblica della Regione Friuli Venezia-Giulia ha riassunto la grande operazione di razionalizzazione e la creazione di un sistema informatico integrato che ha portato la regione friulana a essere un’eccellenza nel paese. Affermando pero, quanto ci sia un’assenza di forte ‘governance’ in Italia, o, per cosi dire, debolezza strutturale.
“Senza lilli non si lalla”. Questo è stato il concetto ripreso da Giulio Blandamura, Dirigente della Direzione Centrale Sistemi Informativi e Tecnologici dell’Inps, che, nonostante ciò, ha mostrato come l’Inps abbia ridotto i costi grazie alla razionalizzazione del sistema infrastrutturale IT e con l’applicazione di programmi di ‘risk assesment’.
Michele Melchionda, Dirigente del Servizio per la Gestione del Centro Unico Servizi della Corte dei Conti, è stato d’accordo su tutte le tematiche affrontate sottolineando l’importanza di creare una consapevolezza sulla sicurezza all’interno delle amministrazioni pubbliche, dal momento che è un tema non percepito come fondamentale. Ha inoltre aggiunto la necessità di un piano regolatore per l’IT.
Di tutt’altro avviso Carlo Mauceli, Chief Technical Officer di Microsoft Italia che, diversamente da quanto ha detto Melchionda, assicura l’esistenza in Italia di regole sul trattamento dei dati personali e la gestione di norme di sicurezza. Il problema è che non sono semplicemente rispettate. Mauceli aggiunge “bisogna far si che la cultura della consapevolezza diventi un ‘modus vivendi’ .”
Lorenzo Fiori, Direttore Strategico Finmeccanica rimarca di come sia importante cambiare il proprio ‘mindset’ passando da un approccio orizzontale a un approccio verticale nella costruzione dell’infrastruttura IT. A lui si aggrega Federico Santi, Client Principal di HP Enterprise Security Services che enfatizza le stesse preoccupazioni e la necessità di creare una cyber security verticale e il collega Americano Dave Merkel, SVP e Global Chief Technology Officer di FireEye che ha fornito una serie di interessanti dati sulla lotta al cyber crime nel contesto internazionale.
A conclusione, Paolo Ciocca, Dipartimento delle Informazioni per la Sicurezza della Repubblica, Presidenza del Consiglio dei Ministri si è trovato d’accordo su molti punti discussi dal rapporto e ha fatto sapere che l’interesse del Governo a provvedere per i cittadini di un sistema d’infrastruttura adeguato e sicuro, è una delle priorità di questo esecutivo.
