L’iniziativa è prevista dal Piano triennale per l’informatica nelle PA 2020-2022 e mira ad incrementare la consapevolezza dei rischi cyber nel settore pubblico. I servizi digitali erogati dalla PA sono cruciali per il funzionamento del sistema Paese.
La cybersecurity della PA nel PNRR: Cosa accadrà?
La minaccia cibernetica cresce continuamente sia in quantità che in qualità ed è determinata anche dall’evoluzione delle tecniche di ingegneria sociale volte a ingannare gli utenti finali dei servizi digitali pubblici.
Per poter programmare e calibrare le opportune azioni di supporto e sostegno alla sicurezza preventiva, è necessario disporre di una baseline per rilevare il livello medio di conoscenza e consapevolezza relativo alla tematica.
Contestualmente, ancora come stabilito dal Piano, Agid ha rilasciato, in collaborazione con il Dipartimento per la Trasformazione digitale, le raccomandazioni sui protocolli di sicurezza e, in particolare, in merito al protocollo Transport Layer Security (Tls) e alle Cipher Suite.
Il Transport Layer Security (Tls) e il suo predecessore Secure Sockets Layer (Ssl) sono dei protocolli crittografici di presentazione usati nel campo delle telecomunicazioni e dell’informatica che permettono una comunicazione sicura dalla sorgente al destinatario (end-to-end) su reti Tcp/IP (come ad esempio Internet) fornendo autenticazione, integrità dei dati e confidenzialità operando al di sopra del livello di trasporto.
Diverse versioni del protocollo sono ampiamente utilizzate in applicazioni come i browser, l’e-mail, la messaggistica istantanea e il voice over IP. Un esempio di applicazione di Ssl/Tls è nel protocollo Https.
Cipher Suite, invece, è un insieme di algoritmi utilizzati per rendere sicuri i collegamenti di rete basati su Transport Layer Security (Tls) o sul suo predecessore Secure Socket Layer (Ssl).
L’insieme di algoritmi che costituisce una suite comprende tipicamente: un algoritmo per lo scambio delle chiavi crittografiche, un algoritmo di crittografia ed un algoritmo di message authentication code (Mac).
Cosa è avvenuto nel 2021?
É stato approvato il PNRR, Piano nazionale di ripresa e resilienza. Il Next Generation Eu rappresenterà per l’Italia, secondo Draghi, una ripresa dal punto di vista economico, ormai bloccata da decenni su questo fronte.
Vediamo cosa è previsto in campo cyber.
Il Dpcm attuativo del perimetro di sicurezza nazionale cibernetica, relativo all’art 1, comma 3, “misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici”.
Vi sono contenute le indicazioni per la notifica degli incidenti in modo tempestivo al CSIRT della Presidenza del Consiglio.
La tempestività è misurata in ore, cosa che renderà interessante l’applicazione da parte degli operatori pubblici e privati i quali dovranno necessariamente individuare procedure spedite di valutazione dei possibili impatti di un incidente, anche in assenza di valutazioni specifiche sulla natura e le possibili evoluzioni dell’incidente stesso.
Individuazione delle priorità di intervento
Per applicare completamente la metodologia di contestualizzazione del Framework Nazionale occorrerà anche, da parte delle aziende che devono applicare le misure minime, una individuazione delle priorità di intervento.
In ogni caso è stata fatta una contestualizzazione del Framework ai soggetti del Perimetro, unica per tutti.
Viene fornita anche una mappatura tra le aree di sicurezza previste nel Perimetro (struttura organizzativa, politiche di sicurezza e gestione del rischio, protezione fisica e logica dei dati, e così via) e le subcategory del Framework.
Cos’è il Piano Nazionale di Ripresa e Resilienza
Il “Piano Nazionale di Ripresa e Resilienza” (PNRR) indica il programma di investimenti e di interventi con cui l’Italia intende rispondere alla crisi economica e sociale determinata dalla pandemia da Covid-19.
Il documento individua tre assi strategici: digitalizzazione e innovazione, transizione ecologica e inclusione sociale.
Il PNRR cita il DESI secondo il quale l’Italia si posiziona al 17° posto tra i Paesi UE in termini di connettività. Il tasso di copertura delle famiglie italiane con reti ultraveloci è pari al 24% rispetto alla media del 60% dei 28 paesi europei.
Il PNRR stabilisce la ripartizione degli investimenti con un approccio che dovrebbe essere strategico operativo, rispetto al quale occorrerà poi vedere i dettagli tattici della possibile attuazione.
La visione strategica sembra, tuttavia, ancora costruita bottom up, sulla base di singole istanze particolari invece che su una vista globale, innovativa e consapevole.
Il PNRR tenta di cogliere l’opportunità offerta dalla Commissione Europea per trasformare i costi del rilancio in investimenti per il futuro.
L’obiettivo primario da perseguire nella fase di ripresa è quello di potenziare le infrastrutture economiche e sociali e investire per una profonda trasformazione digitale, sociale e sostenibile del paese.
Con l’aumento della digitalizzazione, sia in ambito privato che pubblico, è infatti necessario potenziare in maniera significativa la capacità di prevenzione, monitoraggio e difesa dei cittadini, delle aziende private e della PA rispetto ad attacchi e incidenti di tipo cibernetico.
Questo periodo di pandemia ha generato una involuzione sociale e culturale e di contro ha spinto la digitalizzazione promuovendo attività online e di smart working.
Il PNRR sembra sorvolare sugli aspetti di questa “nuova digitalizzazione” che costituisce, invece, una best practice di resilienza delle aziende per continuare a lavorare, almeno nei servizi immateriali e che è basata, nella nuova disciplina della gestione delle crisi prolungate, sorta dopo la pandemia, sulla immediatezza dello switch a “full digital” (anche da casa e da connessioni private e residenziali) e sulla continuità dell’uso di connessioni private e residenziali.
Questo è vero per aziende pubbliche e private. Eppure la parte di cyber security non contiene approfondimenti su questi temi.
Il PNRR dovrebbe invece essere uno strumento per spingersi in avanti, anche nelle forme organizzative che supportano la sicurezza e per far crescere il Paese nella tecnologia sicura e nella tecnologia della sicurezza.
Potrebbe essere il luogo ideale, per esempio, per stanziare fondi sulla formazione, sulla informazione e sul lancio di piccole e medie imprese che sviluppano tecnologie sicure.
Potrebbe essere il luogo ideale per finanziare progetti di standardizzazione che mantengono il nostro Paese tra i principali attori della sicurezza mondiale.
Potrebbe essere il luogo per rilanciare una Italia dove “il business è sicuro”, in modo da attrarre investimenti e innovazioni anche dall’estero.
Come l’Italia sfrutterà l’occasione?
L’Italia sarà la prima a beneficiare in Europa dei due strumenti del Next Generation Eu: il Dispositivo per la Ripresa e Resilienza, RRF, che garantirà risorse per 191,5 miliardi di euro per il quinquennio 2021-2026, di 68,9 miliardi a fondo perduto, e il Pacchetto di assistenza alla Ripresa per la Coesione e i Territori di Europa, REACT-EU.
Come ha dichiarato lo stesso Draghi, l’Italia attingerà a questi finanziamenti tramite i prestiti della RRF, stimati in 122,6 miliardi.
Cosa prevede il PNRR sul piano della cybersecurity?
Il PNRR appena approvato prevede quindi innanzitutto un programma di digitalizzazione della Pubblica Amministrazione che sia basato su efficacia, velocità e sicurezza ai cittadini e alle imprese nella fruizione dei servizi come infrastrutture, interoperabilità, piattaforme e servizi e cybersecurity.
Inoltre, verranno inserite “misure propedeutiche alla piena realizzazione delle riforme chiave delle Amministrazioni Centrali quali lo sviluppo e l’acquisizione di (nuove) competenze per il personale della PA (anche con il miglioramento dei processi di upskilling e di aggiornamento delle competenze stesse) e una significativa semplificazione/sburocratizzazione delle procedure chiave, incluso uno sforzo dedicato al Ministero della Giustizia per lo smaltimento del backlog di pratiche”.
Potrebbe interessarti anche questo articolo:⬇️
