Security e PA in Italia: manca consapevolezza

Gli ospiti presenti all’invito di Trend Micro hanno permesso di intavolare una interessante discussione sulla digitalizzazione e la security nella PA italiana.

Tecnologie/Scenari

Il Security Barcamp 2022 di Trend Micro è stata un’occasione importante anche per fare il punto sulla cybersecurity nella Pubblica Amministrazione italiana, grazie alla presenza degli ospiti Giancarlo Cecchetti, Responsabile per Cyber Security di PuntoZero, e Massimo Ravenna, CISO di Acea.

L’esperienza di entrambi è stata preziosa per mettere in luce la situazione attuale della PA, fra problemi, potenzialità, e soprattutto per identificare i punti su cui occorre lavorare. Uno su tutti è la mancanza di consapevolezza, di cui parleremo diffusamente.

Iniziamo con il presentare PuntoZero, che è l’evoluzione di Umbria Digitale, l’azienda in-house della PA umbra, che vanta una rete fisica di proprietà di circa 800 km all’interno della Regione, utile per raggiungere tutte le sedi umbre, e a cui fa capo la gestione del datacenter regionale a cui fanno riferimento i centri delle amministrazioni più piccole. Parliamo di una realtà IT con 1.500 sistemi che trattano quotidianamente almeno mezzo petabyte di dati.

Una delle maggiori sfide che affronta ogni giorno Cecchetti è appunto quella della cybersecurity, perché come lui stesso ammette “avere sistemi conferiti dagli enti e non direttamente gestiti comporta un primo problema di aggiornamenti. Nonostante la tipologia dei dati trattati dalla PA imponga che la sicurezza sia prioritaria, la consapevolezza non è così forte”.


Più che a problemi tecnici, Cecchetti evidenzia che “il fattore preponderante dei problemi è quello umano”, non inteso come l’operatore dal clic compulsivo, ma anche e soprattutto quello di chi detiene il potere decisionale e di erogazione dei budget, che in buona sostanza non li indirizza alla security per mancanza di consapevolezza. Una mancanza che ha inevitabili conseguenze sugli attacchi informatici sia contro le istituzioni sanitarie che contro i comuni, che a loro volta comportano interruzioni dei servizi e una successiva ripresa faticosa.

Un tempo la questione era meno sentita perché, come sottolinea Cecchetti, in tempi pre-pandemici c’era una sorta di tacita etica che motivava i cyber criminali a risparmiare dagli attacchi la sanità e le strutture da cui dipendeva la vita delle persone. Come ormai è ben noto, questa deontologia adesso non esiste più, e la debolezza di queste infrastrutture viene ampiamente sfruttata.

Differente è il discorso per quanto riguarda Acea, azienda che detiene oltre il 22% del mercato nazionale per la distribuzione di acqua e che eroga anche energia elettrica. Si parla di una infrastruttura critica che richiede lo sviluppo e l’applicazione di soluzioni per la sicurezza. In questo caso però, come spiega Ravenna, si ha a che fare con un ambiente molto vario, in cui è necessario sviluppare IT, IoT e OT. Rappresentano sfide diverse ma complessivamente necessitano di una visione di insieme, quindi sono necessari sia livelli di sicurezza a contatto con processi operativi (security by field), ancorati alle esigenze operative dei singoli ambienti, sia il bilanciamento ideale per la gestione complessiva.

Il PNRR: un’opportunità da non farsi scappare

Il PNRR è un tema che è ormai imperativo considerare quando si parla di security in Italia. Gastone Nencini ha ribadito un concetto che conosciamo già bene: lo sbilanciamento fra i 42 miliardi di euro stanziati per il finanziamento della digitalizzazione, e i 620 milioni che sulla carta sono destinati alla sicurezza. Una ripartizione che lascia perplessi, e che costituisce un campanello d’allarme per un esperto di security. Come ha sottolineato Nencini, “la sicurezza va disegnata insieme alla trasformazione digitale […] i progetti nuovi devono essere pensati con il concetto di security by design, in cui la sicurezza è integrata nel progetto stesso”, non deve in alcun modo essere scorporata e gestita a parte.

L’auspicio dell’esperto è che quei pochi (e comunque insufficienti) 620 milioni siano destinati a sistemare almeno una parte di quello che già c’è, e che per i progetti nuovi la voce di security sia sottintesa all’interno della digital transformation. Sul rischio che si corre se questo non dovesse avvenire, si era già espresso a tempo debito Andrea Zapparoli Manzoni di Clusit, quando aveva ammonito: “Se li spenderemo male [i fondi del PNRR, ndr] ci porteranno, nel giro di 3-5 anni, ad avere una superficie di attacco che sarà 100 volte quella di adesso”.


Tornando agli ospiti, sia Cecchetti che Ravenna hanno sottolineato come il PNRR sia un’occasione di cui è imperativo approfittare. Entrambi confermano che le amministrazioni si stanno attivando anche sul tema cyber, ma con differenze importanti.

Cecchetti ha sottolineato che in Umbria la PA si sta muovendo con la carenza di consapevolezza di cui si parlava sopra. Umbria Digitale ha già virtualizzato tutto, e questo ha aiutato a superare situazioni che sono accadute nel recente passato. Tuttavia lo stesso Cecchetti sottolinea che “non si può parlare solo di tecnologia e componenti, perché la sicurezza è fatta di persone, non sempre le persone ci sono, e i fondi che arrivano dal PNRR finanziano investimenti capex ma non opex, quindi non sarà possibile usarli per il personale”.

Detto questo, anche tornando a tecnologie e componenti c’è parecchio da fare. Per esempio, una delle sfide che Cecchetti sta affrontando è l’integrazione delle linee di difesa, per la quale ha lanciato un appello ai vendor. Benché PuntoZero sia un insieme evoluto, “non si riesce a traferire gli Indicatori di Compromissione agli apparati di frontiera a causa della mancanza di logiche di standard e integrazione che permettano di farlo in maniera veloce, con una regola”. Questo dettaglio fa sì che le soluzioni non vadano di pari passo con l’evoluzione degli attacchi, che è esattamente quello che bisognerebbe ottenere.

Per Ravenna invece le sfide sono diverse. In Acea la virtualizzazione è già una realtà per tutta la parte che riguarda l’energia. Il problema è semmai nel mondo idrico, che sconta infrastrutture di telecontrollo sviluppate in ritardo, e una digitalizzazione meno avanzata che allontana l’opzione della virtualizzazione. Questo limite costituisce un problema nella realizzazione di ambienti di test per degli assessment di vulnerabilità e della capacità di reazione delle infrastrutture.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter