Una serie di misure minime per la sicurezza online della Pubblica amministrazione, redatte tenendo nel massimo della considerazione da una parte le generalmente scarse possibilità economiche della PA, e dall’altra la gradualità dei cambiamenti, per non innescare rivoluzioni che potrebbero poi rivelarsi difficili da gestire. La priorità di Agid nel suo sforzo per mettere in sicurezza la PA è stata quella – innanzitutto – di portare a casa il risultato, con una gamma di interventi che consenta a tutti gli attori del comparto, dalle amministrazioni locali a quelle centrali, dalle università al mondo della Sanità, di adeguarsi nei tempi stabiliti e senza incontrare ostacoli insormontabili. Le “Misure minime per la sicurezza Ict delle pubbliche amministrazioni” sono state pubblicate il 6 aprile sulla Gazzetta ufficiale, e la PA avrà tempo per adeguarsi a queste prescrizioni fino al 31 dicembre 2017. A spiegare a CorCom il senso di questa lista di controlli è Corrado Giustozzi, esperto di sicurezza cibernetica di Agid per lo sviluppo del Cert della Pubblica amministrazione.
Giustozzi, qual è l’importanza della pubblicazione in Gazzetta ufficiale di queste misure?
E’ intanto significativo che Agid abbia scelto di anticiparle, rispetto alla pubblicazione in gazzetta ufficiale: sono sul sito dell’Agenzia e del Cert della PA da settembre2016, per guadagnare tempo sui tempi tecnici e consentire a tutti gli interessati di prendere visione, familiarizzare, iniziare a ragionare sulle modalità di adozione. L’uscita in Gazzetta è quindi importante in quanto passaggio amministrativo formale, che renderà obbligatoria l’adozione delle misure entro la fine dell’anno.
Che risultati ha dato questa scelta?
Già in fase di scrittura delle misure c’è stato un contatto costante con alcune PA di riferimento. Poi, ultimata la stesura, è stata fatta una consultazione rivolta a un gruppo ristretto di amministrazioni di riferimento, al nucleo di sicurezza cibernetica, e alla parte di PA che fa parte del sistema nazionale di protezione dello spazio cibernetico. Poi con la pubblicazione sul sito diverse amministrazioni ci hanno contattato per chiederci chiarimenti, e ora con la pubblicazione in gazzetta il livello di visibilità di questo pacchetto di prescrizioni si è ulteriormente innalzato per tutti.
Che rapporto c’è tra queste misure minime e quelle basate sul framework nazionale pubblicate dalla Cis Sapienza nelle scorse settimane?
Sono due lavori indipendenti, perché nascono con esigenze e ambiti di applicazione diversi, ma non sono svincolati: potrebbero anzi essere complementari. Il quadro delle misure minime porta con sé dei riferimenti puntuali anche al framework, c’è una sorta di cross reference, proprio per sottolineare che non si tratta di cose avulse tra loro. D’altra parte quasi sempre i sistemi di controllo hanno matrici simili, perché partono da razionali comuni. Una delle differenze principali, in ogni caso, è che il framework è una proposta ad adozione libera, mentre le misure minime di Agid sono di obbligatoria adozione per le PA.
Quali saranno da qui al 31 dicembre le criticità più importanti da superare?
La principale è la cronica carenza di risorse della Pa. Qualunque programma strutturato di innalzamento delle misure di sicurezza non può prescindere da una dotazione adeguata di risorse. Così abbiamo pensato queste misure con l’obiettivo che la loro adozione non sia, nella maggior parte dei casi, eccessivamente onerosa. Le misure sono suddivise su tre livelli di applicazione: quelle essenziali richiedono un adeguamento soprattutto della parte dei processi di organizzazione, di normativa interna, ma raramente richiedono l’acquisto di prodotti o di supporto consulenziale. E’ chiaro che al contrario il livello più elevato è piuttosto oneroso, ed è raccomandato per le amministrazioni più grandi e più complesse, che erogano servizi con un maggiore livello criticità. Quello che ci aspettiamo per la fetta più grande della PA è il livello intermedio tra questi due estremi, in cui buona parte delle misure può essere assolta con un’adeguata organizzazione, ma dove andrà sicuramente e inevitabilmente fatto anche qualche investimento.
Che fotografia possiamo scattare della situazione della PA italiana nel campo della cybersecurity?
Quella fatta tre anni fa dalla Sapienza di Roma, nel rapporto annuale del Cis, dava la misura di come la PA all’epoca fosse più indietro rispetto al settore privato, con diversità sostanziali tra un settore e un altro, in un quadro a macchia di leopardo. Le amministrazioni più “importanti” sono ben oltre le misure minime e il livello di base, ma altre, come ad esempio i Comuni più piccoli, dovranno intraprendere un percorso per adeguarsi.
Quanto ha contato nella redazione delle misure minime la considerazione degli investimenti già fatti?
Abbiamo tenuto questo fattore in alta considerazione, sia nel salvaguardare gli investimenti già fatti, sia nell’evitare di caricare di oneri inutili le amministrazioni, proprio conoscendo il problema della cronica scarsità di risorse. Nel corso della consultazione pubblica questi aspetti sono stati valutati e validati dalle pubbliche amministrazioni, con aggiustamenti fatti a valle del feedback.
Le misure minime sono misure tecniche. Ma che ruolo avrà l’aspetto culturale, l’effettivo grado di sensibilità e di formazione dei dipendenti della PA?
Questo è un tema importantissimo. Le misure sono pensate anche e proprio per evitare gli errori, per minimizzare il rischio di comportamenti incauti o erronei di chi non ha dimestichezza con questi temi. Tutta la parte “cultura”, che è quella che serve anche a far comprendere meglio il fenomeno e le scelte, è un lavoro importante che andrà fatto ma non deve essere confuso con la lista di controlli. E’ la stessa differenza che c’è tra il pianificare il codice della strada e i piani formativi delle scuole guida. Queste, per proseguire con il paragone, sono le regole della strada, mentre la parte di formazione culturale e di educazione alla guida andrà affrontata ma richiede un coordinamento più ampio. Agid pubblicherà sicuramente dei documenti in questa direzione, linee guida che per definizione non sono misure puntuali, tra i prossimi progetti che vedranno la luce.
Qual è il grado di flessibilità di queste misure minime? Possono adattarsi alle nuove minacce che emergono con sempre maggiore velocità?
Abbiamo tenuto in considerazione anche questo aspetto, anche nella scelta dei controlli, che sono ispirati alle “sans 20” americane, consolidate nella letteratura di settore, con personalizzazioni originali pensate per la situazione italiana e la differente velocità evolutiva della PA italiana rispetto a quelle di altri paesi. Ma l’idea è che queste misure possano poi essere aggiornate tempestivamente ogni volta che ce ne sarà bisogno.