È stata pubblicata su Gazzetta Ufficiale del 4 aprile scorso la Circolare n. 1/2017, in attuazione della Direttiva della Presidenza del Consiglio dei Ministri, in tema di ICT e Pubblica Amministrazione.
La genesi del documento in questione si innesta in un percorso più ampio, volto a definire il fondamentale rapporto tra sicurezza informatica e soggetti pubblici. Un percorso che richiede interventi mirati aventi sempre più carattere di urgenza, e di regola rimessi all’attività del Dipartimento per la funzione pubblica; la prima tappa, tuttavia, porta la firma dell’AgID, l’Agenzia per l’Italia Digitale, individuata al momento come soggetto capofila nell’implementazione ICT per quanto riguarda il settore pubblico nazionale e nell’indicazione di standard di riferimento.
Un’unica normativa, una miriade di realtà interessate: il rimando al D.lgs. 165/2001 , contenuto all’art. 2, determina che ad essere coinvolte dalla Circolare sono le “amministrazioni dello Stato” nell’accezione più ampia dell’espressione, dalle Regioni ai Comuni, passando per istituzioni universitarie, Camere di Commercio e Servizio sanitario nazionale.
Nel quadro dell’organico amministrativo, chiamati in causa circa l’effettiva attuazione delle misure predisposte saranno il Responsabile dei sistemi informativi, o, in sua assenza, il Dirigente designato allo scopo.
Tra le altre informazioni, nell’Allegato 1 della Direttiva vengono individuate quelle che sono le minacce cui va incontro l’attività della P.A.. Gli attacchi si sono andati diversificando nel corso del tempo, con riguardo sia alla loro provenienza, sia al loro contenuto, ed hanno assunto una progressiva veste sistematica.
L’AgID, nell’analisi dei profili ricorrenti nei vari attacchi subiti, si sofferma su due aspetti:
-Il livello di sofisticazione che i soggetti possono raggiungere, in base alle risorse strategiche e strumentali a loro disposizione;
-La capacità di mantenere il più a lungo possibile celato l’attacco.
Partendo da questi elementi è stato possibile delineare gli strumenti di risposta minimi richiesti alle Pubbliche Amministrazioni.
Le “misure minime” di sicurezza oggetto della Direttiva sono state approntante seguendo standard internazionali, ed in particolare prendendo come riferimento l’ insieme di controlli denominati CIS Critical Security Controls for Effective Cyber Defense , o più brevemente CCSC, del Center for Internet Security. Nel novero dei 20, i primi 5 controlli sono riconosciuti come il “nucleo minimo” di misure di sicurezza, ed è proprio da queste che è partito il lavoro di adeguamento rispetto alle esigenze della Pubblica Amministrazione nazionale:
-CSC 1: Inventario dei dispositivi autorizzati e non autorizzati;
-CSC 2: Inventario dei software autorizzati e non autorizzati;
-CSC 3: Proteggere le configurazioni di hardware e software su dispositivi mobili, laptop, workstation e server;
-CSC 4: Valutazione e correzione continua della vulnerabilità;
-CSC 5: Uso appropriato dei privilegi di amministratore.
A questi sono stati aggiunti poi il CSC8, relativo alle difese contro i malware, il CSC10, sulle copie di sicurezza, ed il CSC13, riguardante i rischi da esfiltrazione.
La creazione di quelli che possono essere definiti come AgID Basic Security Controls (ABSC), come anticipato precedentemente, è stata calibrata in un’ottica di evoluzione dei rischi ICT, e si è dunque imperniata sul confronto tra le versioni 6.0 e 5.1 degli enunciati CCSC.
La volontà di affrontare il tema della cybersecurity in un’ottica “attiva”, fondata sulla reazione ai pericoli e sulle tempistiche di tale reazione, si apprezza anche guardando al dettaglio delle misure: non si limita più il campo alle sole difese “statiche”, quali ad esempio gli antivirus, ma si aggiungono nuove misure in grado di minimizzare il periodo intercorrente tra l’attacco e l’avvenuta conoscenza dello stesso.
L’Allegato 1 della Circolare fissa così i criteri basilari per stabilire il livello di protezione garantito all’interno della singola amministrazione, e le procedure da adottare per raggiungere i livelli richiesti dal’AgID. Criteri e procedure che mirano alla prevenzione, al contrasto e riduzione degli effetti della singola minaccia, alla verifica ed al controllo periodico, e che si articolano su tre livelli differenti di sicurezza – minimo, standard ed alto – in base allo schema previsto nelle specifiche dell’Allegato 1.
Alla maggiore partecipazione richiesta alle Pubblica Amministrazione fa da contraltare anche l’assunzione di maggiori livelli di responsabilità. L’Allegato 2 della Circolare n. 1/2017 prevede che tutte le misure minime di sicurezza adottate debbano essere individuate e registrate in un apposito documento, il “Modulo di implementazione delle misure minime di sicurezza per le pubbliche amministrazioni”.
La modulistica deve essere redatta sulla base degli interventi effettuati, conservata ed inviata dalla singola Amministrazione alla Cert-PA in caso di incidente informatico.
La scadenza è il 31 dicembre 2017; non possiamo non richiamare ovviamente come questo testo sia strettamente connesso alla GDPR (la General Data Protection Regulation, vale a dire il Regolamento Europeo in materia di protezione dei dati) che entrerà in vigore nel maggio 2017 e che già oggi impegna ampiamente anche la PA per il recepimento. Le PA dovranno dunque coordinare queste due normative andando a mettere a fattor comune diversi aspetti inerenti la sicurezza (dal data breach al privacy by design, passando per il DPO) con una visione di insieme che consenta di ottimizzare gli investimenti e l’impiego di risorse interne per obiettivi sostanzialmente comuni ad entrambe le normative.
Alessandro Cecchetti
General Manager Colin & Partners