Sicurezza ICT e Pubblica Amministrazione (PA): rese note le misure minime per garantire sistemi informativi protetti dalle più comuni e frequenti minacce. Entro il 31 dicembre 2017 tutti i soggetti pubblici – Regioni, Comuni, ma anche istituzioni universitarie, Camere di Commercio e Servizio sanitario nazionale – dovranno adeguare i propri standard alle indicazioni di AgID. Ben dettagliati nella circolare i vari CSC (Critical Security Control) che, in una sorta di scala crescente, vanno a definire il livello di sicurezza raggiunto – Minimo, Standard o Alto – dove il primo rappresenta l’obbligo ‘universale’.
Questo ulteriore (piccolo) passo in tema di cybersecurity conferma quanto sia aumentata – a livello di coscienza ufficiale – la considerazione verso temi di cui si parla quotidianamente ma che non sempre trovano applicazione nella pratica, soprattutto nel nostro settore pubblico. Un paradosso considerando che, quest’ultimo, dovrebbe essere motore propulsore della digitalizzazione del Paese e paladino di una logica di security rispetto ai mercati digitali globali – come le varie normative europee dalla Direttiva NIS alla GDPR promuovono – che richiede una gestione del rischio matura e capace di propagarsi a cerchi concentrici, dove la sicurezza di uno è singola e parte di quella di tutti gli altri.
Scorrendo le misure richieste per garantire ai cittadini servizi pubblici digitali in grado di resistere e reagire alle cyber minacce, emergono due aspetti. Il primo è di merito: il ritardo culturale e politico nel dotarsi di strumenti efficaci per innovare nella PA – sicurezza compresa – è pari all’anomalia che vede molte, troppe realtà politiche ed istituzionali intervenire ‘a salto’ su un fronte critico e basilare per lo sviluppo ICT.
Il secondo, positivo, lascia intravedere, nel confronto inevitabile con il panorama europeo, la volontà di restare al passo, a dispetto dell’evidente gap registrato. Mentre in Europa si lavora per trasformare la tutela del dato in sistema di tutela privacy (GDPR), la sicurezza di un Paese in sistema di gestione del rischio per tutti i paesi membri anche al di fuori dei confini stessi dell’UE (Direttiva NIS), in Italia si attende ancora un corpo normativo unitario realisticamente applicabile in tempi certi e su vasta scala, partendo dalle infrastrutture critiche e dal settore pubblico.
Il mondo imprenditoriale, volente o nolente, per effetto delle stesse leggi di mercato deve adeguarsi agli standard europei ed internazionali per poter competere ad armi pari. La nostra PA, invece, soffre di sviluppi parziali e talvolta contraddittori e dell’assenza di un ecosistema alimentato dalla sinergia tra operatori di governo, ricerca e ambiente produttivo.
La sfida che attende le PA non è puramente tecnologica, è anche culturale, organizzativa ed economica. L’impatto di queste misure, come delle altre normative citate, sarà significativo. L’urgenza più che nel dotarsi di strumenti applicativi, è quella di ri-programmare una logica di gestione interna che operi in ottica preventiva e di tutela. Uno sforzo non da poco considerando che spesso l’insicurezza dei sistemi ha tra le cause scatenanti il comportamento degli individui (fattore H) che, in modo consapevole o meno, interagiscono scorrettamente con i sistemi informativi e ne causano vulnerabilità ed esposizione ad attacchi e minacce.
Le stesse dotazioni tecnologiche del comparto pubblico soffrono di una frammentaria modernizzazione che rende difficoltoso adottare misure univoche e sufficientemente efficaci. La stessa organizzazione delle PA – prevedendo una sempre maggior condivisione di dati e informazioni in una sorta di rete nazionale a disposizione del cittadino – non sempre risulta adeguata alla creazione e mappatura di ruoli e responsabilità chiari in tema di sicurezza cyber.
Risulta evidente come, nella PA più che in altri settori, il salto culturale non sia ancora avvenuto in modo coerente e diffuso. Il termine del 31 dicembre 2017 appare più l’inizio di un percorso verso il raggiungimento di un obiettivo che richiede familiarità con best practices e comportamenti virtuosi, in tema di security ICT, al momento parzialmente diffusi nell’operatività di amministrazioni ed enti, come di molte realtà di business. Serve un cambio di marcia affinché le PA rileggano quanto imposto non come uno statico adeguamento, quanto piuttosto in ottica di crescita e ottimizzazione tecnologica e di processo.