Negli ultimi anni la consapevolezza dei rischi che le amministrazioni pubbliche corrono senza adeguati strumenti di protezione delle infrastrutture e dei dati è fortemente cresciuta, anche a seguito della progressiva digitalizzazione di molte funzioni e servizi pubblici e, quindi, della maggiore esposizione ai rischi di attacchi informatici e più in generale di azioni di cybercrime.
Al crescere del livello di rischio, la PA italiana è posta di fronte alla necessità di dotarsi di adeguate strategie di difesa: dotare le infrastrutture fisiche (data-center) e virtuali di apparati e software per rafforzare la prevenzione dalle intrusioni informatiche; disporre di professionalità di alto livello per definire architetture e organizzazioni in grado di gestire il rischio cyber con strumenti di conoscenza in tempo reale e con azioni veloci di ripristino; confrontare le cosiddette “kill chain” – ossia quei modelli che aiutano a comprendere le azioni di un hacker per cogliere i segnali di un attacco – con le policy di sicurezza adottate dalle PA.
Il contesto normativo: il DL 82/2021 e l’Agenzia per la sicurezza nazionale
Anche la normativa si è andata progressivamente adeguando a queste esigenze, soprattutto nell’ottica di definire una strategia comune e coordinata tra i diversi soggetti della PA coinvolti.
Da questo punto di vista, un’importante evoluzione si è avuta dapprima con la legge 133/2019 (Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica) e poi con i suoi decreti attuativi. Tra questi in particolare il DL 82/2021, che ridefinisce l’architettura nazionale di cybersecurity e istituisce l’Agenzia per la cybersicurezza nazionale (Acn).
Tra le varie funzioni dell’Agenzia si evidenziano quelle di:
- predisporre la strategia nazionale di cybersicurezza;
- rappresentare un “punto di contatto unico” in materia di sicurezza delle reti e dei sistemi informativi, centralizzando funzioni in precedenza attribuite ad altri soggetti,
- svolgere un ruolo di coordinamento tra i soggetti pubblici coinvolti in materia, promuovendo azioni comuni per il conseguimento dell’autonomia nazionale ed europea riguardo a prodotti e processi informatici di rilevanza strategica.
L’importanza del security-procurement
In questo contesto, assume una grande rilevanza il “security-procurement”, ossia l’acquisto da parte della PA dei beni e servizi necessari per realizzare le strategie di protezione dei propri sistemi e dati. Un compito, quest’ultimo, demandato alle centrali di committenza come Consip, che devono mettere a disposizione della PA i contratti per l’acquisizione degli strumenti di sicurezza.
Anche in quest’ambito, l’istituzione dell’Agenzia rappresenta un passo importante per orientare le strategie di approvvigionamento e attuare una strategia coordinata, anche per prevenire errori che possano portare a conseguenze gravi e compromettere la fiducia delle PA nei confronti dei soggetti che acquistano per loro conto. Nella fornitura di beni e servizi strategici, come quelli che riguardano la sicurezza della PA, infatti, devono essere ben note provenienze, caratteristiche tecniche, certificazioni e la possibilità di impiegare beni e servizi oggetto di acquisizione anche negli snodi più delicati della PA (incluse le infrastrutture critiche).
Un tema rilevante è quello della diversificazione e sostituzione di prodotti e servizi tecnologici di sicurezza informatica, sul quale è intervenuta nell’aprile 2022 la circolare n.4336 dell’Acn che, in attuazione dell’art. 29 del Dl 21/2022, ha indicato le categorie di prodotti e servizi da diversificare tra quelli volti ad assicurare la sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (Edr) e “web application firewall” (Waf).
La piattaforma di eProcurement Mef/Consip
In questo contesto, Consip può offrire un contributo in una doppia veste: quella di gestore della più grande piattaforma di e-procurement nazionale e quella di centrale di committenza nazionale, incaricata di mettere a disposizione delle pubbliche amministrazioni di strumenti per l’acquisto dei beni e servizi tra cui anche quelli necessari a garantire la sicurezza di sistemi e dati.
Sotto il primo profilo, Consip ha profuso in questi anni un grande sforzo per perfezionare il modello di governance e gli strumenti di controllo e di sicurezza (fisica e informatica) della propria infrastruttura di e-procurement, che continua ad evolversi e rafforzarsi adattandosi ai cambiamenti di contesto.
Nel 2018, vi è stata la sottoscrizione di un protocollo di collaborazione fra Consip e la Polizia di stato – operativamente rappresentata dal Cnaipic (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale e delle Comunicazioni – per la prevenzione dei crimini informatici a tutela dell’infrastruttura informatica Consip e della piattaforma di e-procurement, che è stata riconosciuta “infrastruttura critica di interesse nazionale”. Attraverso questa intesa, è stato realizzato l’obiettivo di condividere procedure d‘intervento e informazioni utili alla prevenzione e al contrasto degli attacchi informatici di matrice terroristica e criminale che potrebbero avere ad oggetto le nostre infrastrutture.
La rilevanza del tema sicurezza per Consip si può comprendere citando un dato emblematico: nell’ultimo quinquennio (2017-2021) oltre 73 mld/€ di spesa pubblica sono transitati sulla Piattaforma digitale di eProcurement Mef/Consip e di questi 18,9 mld/€ nel solo 2021. Una piattaforma sulla quale sono abilitati ad operare oltre 100mila “centri di spesa” della PA e oltre 83mila fornitori, che, dunque, ripongono grande fiducia nell’efficienza e nella sicurezza dei sistemi su cui interagiscono.
Il security-procurement nell’offerta Mef/Consip
Sotto il secondo profilo, Consip mette a disposizione della PA strumenti di acquisto in grado di soddisfare le loro esigenze di approvvigionamento in materia di sicurezza.
Gara Spc Cloud
È ancora disponibile il lotto 2 della gara “Spc Cloud”, che ha l’obiettivo di mettere a disposizione delle PA servizi di sicurezza erogati in modalità “as a service”. Tra questi, solo a titolo di esempio, figurano prodotti e servizi come certificati Ssl, Static e Dynamic Application Security test, Vulnerability Assessment, Data Loss/Leak Prevention, Database Security, Web Application Firewall e Next Generation Firewall, Secure Web Gateway.
Le nuove gare
Consip ha avviato tre iniziative specifiche per la cybersecurity, per un totale di circa 900 mln/€, che si inseriscono nel pacchetto di gare strategiche Ict realizzate da Consip in attuazione del “Piano Triennale per l’informatica nella PA 2020-2022”, predisposto da Agid e Ministro per l’innovazione tecnologica e transizione digitale e che potranno essere utilizzate sia per i fabbisogni ordinari sia per la realizzazione dei progetti del Piano Nazionale di Ripresa e Resilienza (Pnrr). Inoltre l’approccio multibrand adottato in fase di strategia di procurement fornisce un valido strumento per le PA chiamate a diversificare o sostituire prodotti e servizi tecnologici di sicurezza informatica per le categorie indicate dall’Acn.
· “Sicurezza On Premises – strumenti di gestione, protezione email, web e dati”, per la fornitura alle PA di soluzioni per la gestione degli eventi di sicurezza e degli accessi, e la protezione dei canali email, web e dati. La gara è stata aggiudicata e il contratto, del valore di 135 mln/€, è attivo
· “Sicurezza da remoto” che ha per oggetto la fornitura di servizi di protezione della sicurezza dei perimetri tecnologici delle infrastrutture e delle informazioni della PA, nonché di servizi volti alla misura dello stato di salute della sicurezza dei sistemi informativi e di supporto nella identificazione dei “fabbisogni”. La gara è stata aggiudicata ed è attualmente attivo il contratto per il lotto 2 del valore di 117 mln//€, mentre quello per il lotto 1 sarà attivato a breve.
· “Sicurezza ‘’on premise’’ – Protezione perimetrale, endpoint e anti APT”, per la fornitura di prodotti di sicurezza infrastrutturale (Next Generation Firewall, Network Access Control, Endpoint Protection Platform /Endpoint Detection & Response, Server Protection Platform, Protezione Anti-Advanced Persistent Threat) volti a garantire protezione dalle minacce informatiche e controllo degli accessi alla propria infrastruttura di rete. La gara è stata aggiudicata e il contratto verrà attivato a breve.
