Rafforzare la cyber-resilienza delle amministrazioni pubbliche locali: un approccio gestionale
L'avvento dell'era digitale ha profondamente trasformato il panorama operativo delle pubbliche amministrazioni (PA), offrendo loro un'ampia gamma di tecnologie e applicazioni specializzate per incrementare l'efficienza dei servizi erogati ai cittadini. Tuttavia, l'adozione di soluzioni innovative come l'e-government e l'e-health ha inevitabilmente esposto le PA a nuovi rischi legati alla gestione di ingenti quantità di dati personali e sensibili.
Numerosi studi evidenziano come le amministrazioni locali stiano rapidamente diventando un obiettivo ambito per i criminali informatici. In assenza di adeguate misure di sicurezza, questi attori malevoli potrebbero potenzialmente accedere a enormi quantità di informazioni riservate, ottenendo il controllo di risorse critiche e causando interruzioni delle attività operative, perdite di dati e furti di proprietà intellettuale.
L'esposizione delle PA locali alle minacce informatiche
Quasi il 40% delle minacce informatiche, come attacchi malware, è diretto contro organizzazioni del settore pubblico, rendendo queste ultime più vulnerabili persino rispetto a settori tradizionalmente considerati obiettivi principali, come quello finanziario. Questa situazione è ulteriormente aggravata dall'utilizzo crescente di sistemi operativi connessi e dalla conseguente riduzione dei tempi di distribuzione dei malware. Le principali sfide che ostacolano la capacità delle PA di garantire elevati standard di cybersicurezza possono essere ricondotte a nove categorie chiave:
- Mancanza di una classificazione standard dei dati: La maggior parte delle amministrazioni non utilizza procedure standardizzate per classificare i dati, esponendosi al rischio di diffondere accidentalmente informazioni personali e sensibili nel tentativo di conformarsi alle normative sulla trasparenza.
- Assenza di Accordi di Non Divulgazione (NDA) efficaci: Il 40% delle organizzazioni del settore pubblico fa ancora affidamento su accordi cartacei di non divulgazione, amplificando i rischi connessi al fattore umano, come la possibilità che dipendenti insoddisfatti o malintenzionati divulghino dati riservati a cui hanno accesso.
- Carenza di piani per affrontare violazioni di sicurezza o disaster recovery: Solo il 10% delle organizzazioni del settore pubblico effettua test per verificare la capacità di rispondere a scenari critici, mentre il 34% non dispone di misure di disaster recovery pianificate.
- Mancanza di politiche di sicurezza applicate in modo uniforme: Il 33% delle organizzazioni del settore pubblico non dispone di policy di sicurezza coerenti in tutta l'organizzazione, limitando la capacità di rispettare le normative in materia.
- Assenza di procedure adeguate per lo smaltimento dei dati: Il 76% delle organizzazioni del settore pubblico non ha policy per lo smaltimento sicuro e affidabile dei dati, esponendosi a rischi di divulgazione non autorizzata di informazioni riservate.
- Meccanismi di controllo dell'accesso inefficaci: Il 20% delle organizzazioni del settore pubblico non ricorre a ruoli per gestire l'accesso ai dati, mentre oltre il 26% non ha procedure ufficiali per i dipendenti licenziati o riassegnati, consentendo accessi inappropriati alle risorse.
- Presenza di sistemi datati, non catalogati e non sottoposti a manutenzione: Questi sistemi rappresentano obiettivi sensibili di attacco dalle dimensioni sconosciute.
- Gestione inappropriata degli aggiornamenti di sicurezza: L'utilizzo di software obsoleti su computer, dispositivi mobili e server centrali aumenta i rischi di vulnerabilità.
- Limitata capacità e motivazione del personale nel rilevare e segnalare attacchi informatici: Fattori come l'invecchiamento della forza lavoro, le competenze tecnologiche limitate e l'assenza di riconoscimenti dei risultati rendono i dipendenti meno reattivi alle misure educative tradizionali.
Fattori che complicano la situazione
Affrontare queste sfide è un compito intrinsecamente complesso, la cui difficoltà è aggravata da due fattori principali:
- Vincoli di bilancio: Le "dimensioni e i vincoli di bilancio" delle PA spesso impediscono loro di creare strutture organizzative dedicate alla sicurezza delle informazioni e di investire significativamente in prodotti o servizi di cybersicurezza.
- Aspetti legali ed etici: La resilienza informatica delle PA è una questione di pubblico interesse, poiché gestiscono dati personali dei cittadini. Le organizzazioni sono obbligate a garantire il trattamento e la conservazione di tali dati attraverso adeguate misure tecniche ed organizzative, in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR) e le future evoluzioni normative.
Un approccio gestionale innovativo: il progetto Compact
Per garantire una digitalizzazione efficiente e sicura delle PA locali, non basta un approccio tecnico, ma è necessario un approccio gestionale che aumenti la consapevolezza dei dipendenti pubblici e la cyber-resilienza, nell'ambito di un processo di miglioramento progressivo della sicurezza. A questo mira il progetto di ricerca Compact (Competitive Methods to protect local Public Administration from Cyber security Threats), finanziato con fondi europei. Il progetto si propone di rendere le PA locali gli attori principali del proprio processo di miglioramento della capacità di recupero della sicurezza, fornendo loro strumenti e servizi efficaci per rimuovere i colli di bottiglia nell'ambito della cybersicurezza.
Un ciclo di miglioramento continuo
L'approccio adottato da Compact consiste in una specializzazione del noto ciclo Plan-Do-Check-Act (PDCA) nel campo della sicurezza informatica, basato sugli standard EN ISO/IEC 27001 e BS ISO/IEC 27005, e rispetto ai requisiti specifici del contesto delle PA locali.
Pianificazione
Nella fase di pianificazione, il progetto mira a stimare il rischio che interessa l'amministrazione locale nell'ambito delle attività di protezione dei dati e a specificare le politiche di sicurezza che verranno applicate per mitigare il rischio stimato nelle fasi successive. Durante questa fase, viene stabilito il contesto dell'organizzazione raccogliendo e analizzando le informazioni relative agli aspetti tecnologici e umani, correlate in tempo reale con i dati provenienti da fonti esterne come i database di vulnerabilità e le piattaforme di condivisione delle informazioni sulla sicurezza.
Implementazione
L'obiettivo della fase di implementazione consiste nell'attuazione della strategia di trattamento del rischio progettata durante la pianificazione. Ciò avviene attraverso: • Policy Enforcement: Esecuzione delle politiche di sicurezza individuate nel piano di trattamento di gestione della stima del rischio. • Consapevolezza e formazione sulla sicurezza basata sul gioco: Moduli di formazione mirati ad educare i dipendenti sulle minacce più comuni e su come possono concretamente proteggere il loro sistema. I giochi, in particolare, sono adattati ai diversi ruoli assunti nelle PA locali, per rispondere in maniera efficiente alle esigenze formative dei diversi profili lavorativi e consentire risposte idonee a specifici tipi di minacce (ad es. Social Engineering, Ransomware e Data Breaches).
Valutazione dell'efficacia
Nella terza fase, si valuta l'efficacia delle azioni di trattamento del rischio implementate precedentemente. Il monitoraggio della sicurezza in tempo reale e l'Intelligence sulle minacce consentono un'individuazione efficace e tempestiva delle debolezze nelle strategie di trattamento del rischio adottate, misurando il rischio residuo generato dalla loro applicazione. Ogni qualvolta viene prodotta una nuova stima del livello di rischio gravante sulle PA locali, si procede a definire nuove politiche di sicurezza.
Adeguamento continuo
Queste nuove politiche rappresentano il punto di riferimento dell'ultima fase (ACT), in cui si procede ad adeguare le contromisure e le strategie di trattamento ai nuovi profili di rischio individuati nella fase precedente. Questo approccio gestionale garantirà un rafforzamento complessivo e consapevole del livello di cyber-resilienza delle PA, rendendo il personale maggiormente consapevole delle minacce e migliorandone le capacità tecniche e comportamentali attraverso tecniche di formazione innovative. Inoltre, consentirà di mettere a disposizione strumenti concreti di protezione contro minacce di base come phishing, ransomware, BYOD (Bring Your Own Device), jailbreak del cloud, cross-site scripting, che ad oggi risultano essere quelle di maggior impatto e rischio per le PA locali.
Cybersicurezza e PA locali: un binomio cruciale
La trasformazione digitale delle pubbliche amministrazioni non può compiersi efficacemente in assenza di interventi mirati a garantire l'affidabilità e la sicurezza delle nuove tecnologie e dei processi che esse implementano. È evidente la necessità di individuare soluzioni che siano in grado di migliorare la qualità e la facilità d'uso degli strumenti e dei servizi di cui le PA necessitano per incrementare il loro livello di sicurezza informatica, contenendo i costi e rispettando i vincoli legali ed etici. In questo contesto, il progetto Compact rappresenta un'innovazione significativa, poiché le soluzioni previste non si limitano alle tecnologie, ma pervadono l'intero processo, garantendo il pieno e consapevole coinvolgimento dei dipendenti delle PA locali nel miglioramento della cyber-resilienza. Attraverso un approccio gestionale orientato alla qualità totale, il progetto mira a instaurare un processo di miglioramento progressivo della sicurezza, consentendo alle amministrazioni locali di diventare gli attori principali di questo percorso virtuoso.