La “strategia” cybesecurity nella PA è legge. Sono state infatti pubblicate in Gazzetta Ufficiale le “Misure minime per la sicurezza Ict delle pubbliche amministrazioni”, elaborate da Agid lo scorso autunno. Si tratta di un documento che attua la direttiva del 1 agosto 2015 del Presidente del Consiglio dei Ministri, che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, alla luce dei crescenti rischi cibernetici che minacciano anche il nostro Paese. La direttiva assegna all’Agenzia per l’Italia Digitale il compito di sviluppare e rendere disponibili “indicatori degli standard di riferimento” che mettano le amministrazioni in grado di dotarsi degli standard minimi di prevenzione e reazione ad eventi cibernetici.
Le misure, che tutte le PA devono rispettare, prevedono tre livelli di attuazione. Il livello minimo stabilisce i criteri di base ai quali ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve essere conforme, in termini tecnologici, organizzativi e procedurali. I livelli successivi rappresentano situazioni evolutive in grado di fornire livelli di protezione più completi, e dovrebbero essere adottati dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati) ma anche visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni.
Fra le misure minime è previsto anche che le pubbliche amministrazioni accedano sistematicamente a servizi di early warning che consentano loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza. A tal proposito il Cert-PA fornisce servizi proattivi ed informativi a tutte le amministrazioni accreditate.
Le pubbliche amministrazioni hanno tempo fino al 31 dicembre per adottare le misure minime di sicurezza informatica per proteggere il patrimonio informatico e i dati gestiti al loro interno.
Le misure da adottare sono contenute nell’allegato 1 del documento, che ha l’obiettivo di fornire alle pubbliche amministrazioni dei criteri di riferimento per stabilire se il livello di protezione offerto da un’infrastruttura risponda alle esigenze operative, individuando anche gli interventi idonei per il suo adeguamento. Si tratta quindi delle linee guida operative per proteggere i sistemi informativi e i dati della PA italiana, con una serie di criteri operativi che il responsabile dei sistemi informativi o, in sua assenza, il dirigente designato dovrà attuare entro fine anno.
ll modulo prodotto da ogni amministrazione dovrà essere conservato e in caso di incidente informatico dovrà essere trasmesso al Cert-PA insieme alla segnalazione dell’incidente. Operativamente, le diverse PA dovranno stilare un inventario dei dispositivi autorizzati all’uso; un secondo inventario dei software autorizzati e non; proteggere adeguatamente le configurazioni hardware e software sui dispositivi mobili, laptop, workstation e server; essere in grado di valutare e correggere le vulnerabilità riscontrate; mettere in atto una policy appropriata dei privilegi di amministratore assegnando credenziali differenziate all’interno delle diverse strutture; mettere in atto difese adeguate contro i malware e infine realizzare una copia di sicurezza dei dati e proteggere i dati conservati al loro interno.