Le pubbliche amministrazioni hanno tempo fino al 31 dicembre per adottare le misure minime di sicurezza informatica per proteggere il patrimonio informatico e i dati gestiti al loro interno. Lo prevede la circolare Agid n. 1/2017 pubblicata in Gazzetta Ufficiale il 4 aprile 2017 “Misure minime di sicurezza ICT per le pubbliche amministrazioni” in attuazione della Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015, che impone l’adozione di standard minimi di prevenzione e reazione ad eventi cibernetici.
Lavoro enorme
Un lavoro enorme, che tiene conto delle enormi differenze di dimensioni, mandato, tipologie di informazioni gestite, esposizione al rischio che caratterizza le oltre 20.000 amministrazioni pubbliche del nostro paese. Un lavoro che però va fatto, perché la minaccia cibernetica non può essere elusa e gli antivirus da soli non sono più sufficienti, in un contesto nel quale l’elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi. Controllo da remoto che va impedita alla fonte con misure standard, che senza indugio devono essere adottate da tutti gli uffici della PA senza eccezioni.
Allegato 1
Le misure da adottare sono contenute nell’allegato 1 del documento, che ha l’obiettivo di fornire alle pubbliche amministrazioni dei criteri di riferimento per stabilire se il livello di protezione offerto da un’infrastruttura risponda alle esigenze operative, individuando anche gli interventi idonei per il suo adeguamento.Si tratta quindi delle linee guida operative per proteggere i sistemi informativi e i dati della PA italiana, con una serie di criteri operativi che il responsabile dei sistemi informativi o, in sua assenza, il dirigente designato dovrà attuare entro fine anno.
Il modulo prodotto da ogni amministrazione dovrà essere conservato e in caso di incidente informatico dovrà essere trasmesso al CERT-PA insieme alla segnalazione dell’incidente. Operativamente, le diverse PA dovranno stilare un inventario dei dispositivi autorizzati all’uso; un secondo inventario dei software autorizzati e non; proteggere adeguatamente le configurazioni hardware e software sui dispositivi mobili, laptop, workstation e server; essere in grado di valutare e correggere le vulnerabilità riscontrate; mettere in atto una policy appropriata dei privilegi di amministratore assegnando credenziali differenziate all’interno delle diverse strutture; mettere in atto difese adeguate contro i malware e infine realizzare una copia di sicurezza dei dati e proteggere i dati conservati al loro interno.
