Il punto dell'Agenzia per la cybersicurezza nazionale tra eventi in aumento e supporto per il potenziamento dei sistemi digitali
ROMA – La digitalizzazione dei servizi della Pubblica amministrazione rappresenta per i cittadini un’opportunità straordinaria: l’occasione per facilitare il dialogo con uffici che spesso, in passato, si sono rivelati ostici nei rapporti con il pubblico, l’opportunità di gestire le proprie pratiche comodamente da casa, un notevole risparmio di tempo. Digitalizzare è quindi una priorità essenziale per la Pubblica amministrazione italiana, che però deve fare i conti anche con l’altra faccia della medaglia.
Il problema cybersicurezza per la Pubblica amministrazione
L’informatizzazione, infatti, porta con sé moltissimi vantaggi ma allo stesso tempo apre importanti riflessioni sulla cybersicurezza della Pa nazionale. Tutte le informazioni dei cittadini, infatti, devono essere adeguatamente tutelate dai pirati informatici, per evitare che esse possano finire nelle mani sbagliate e provocare gravi danni alla Comunità.
Quali sono i pericoli maggiori?
Ma qual è il livello di sicurezza della Pubblica amministrazione nazionale e quali sono i pericoli maggiori per essa? A fare un punto della situazione ci ha pensato, nei giorni scorsi, l’Agenzia per la cybersicurezza nazionale (Acn) che ha presentato una dettagliata relazione al Parlamento.
“Nel corso del 2023 – si legge nel documento presentato dal direttore dell’Agenzia, Bruno Frattasi – il Csirt Italia (Computer security incident response team, ndr) ha trattato 1.411 eventi cyber (+30% sul 2022, ndr), per una media di circa 117 al mese, con un picco di 169 a ottobre. Di questi, 303 sono stati classificati come incidenti, per una media di circa 25 al mese”. Non si tratta di eventi singoli, poiché come spiegato nella relazione ognuno di essi “può essere stato associato a una o più tipologie: per esempio, un evento di phishing spesso è finalizzato anche alla diffusione di un malware, che può essere a sua volta un evento di tipo ransomware”.
Le strategie principalmente utilizzate durante attacchi cyber
È bene rapidamente chiarire di cosa si parla quando si utilizzano tali termini, che indicano le strategie principalmente utilizzate durante attacchi cyber. Per phishing si intende un attacco informatico avente, generalmente, l’obiettivo di carpire informazioni sensibili (user ID, password, numeri di carte di credito, Pin) con l’invio di false email generiche a un gran numero di indirizzi. Le email sono congegnate per convincere i destinatari ad aprire un allegato o ad accedere a siti web fake. Coloro che avviano questo tipo di attacco informatico utilizzano i dati carpiti per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.
Quando si parla di malware si ci riferisce invece a un programma inserito in un sistema informatico, generalmente in modo abusivo e occulto, con l’intenzione di compromettere la riservatezza, l’integrità o la disponibilità dei dati, delle applicazioni o dei sistemi operativi dell’obiettivo.
Con ransomware si indica una situazione in cui ci si introduce nei sistemi di un privato o di un’organizzazione per cifrarne i dati, al fine di ottenere il pagamento di un riscatto per rendere nuovamente disponibili i dati al legittimo proprietario o non diffonderli pubblicamente.
Infine, occorre citare anche i Ddos (Distributed denial of service), che mirano a compromettere la disponibilità di un sistema mediante esaurimento delle sue risorse di rete, elaborazione o memoria. L’effetto più immediato di tale tipologia di attacco è l’indisponibilità del sito o del servizio colpito.
Torniamo adesso alla Pubblica amministrazione
L’Acn ha evidenziato come nel corso del 2023 essa abbia gestito “422 eventi cyber ai danni di istituzioni pubbliche nazionali, in sensibile aumento rispetto ai 160 del 2022. Di questi eventi, 85 sono stati classificati come incidenti (nel 2022 furono 57), procurando nella maggior parte dei casi il malfunzionamento dei sistemi e conseguenti blocchi o rallentamenti nell’erogazione dei servizi”. La distribuzione di tali eventi nella Pubblica amministrazione ha interessato per il 43% Amministrazioni dello Stato e organi costituzionali o a rilevanza costituzionale, nel 20% i Comuni, nell’8% le Regioni e ancora le Università o i Centri di ricerca, per il 7% Aziende o enti del Sanitario nazionale e ancora Enti pubblici non economici, per il 3% Province e altre forme giuridiche, per l’1% le Città Metropolitane.
L’Acn ha sottolineato come “considerando la frequenza e l’impatto (una media di oltre un incidente a settimana) delle diverse tipologie di eventi, emerge come nel 2023 sia stato il Ddos il fenomeno più frequente nei confronti delle istituzioni pubbliche, seguito dallo sfruttamento di vulnerabilità e dal phishing. Si registra, quindi, un parziale cambiamento di rotta rispetto al 2022, quando la minaccia preponderante nella Pubblica amministrazione fu di tipo ransomware, seguita dal Ddos”.
La sensazione, leggendo il report dell’Acn è che comunque sul fronte della sicurezza informatica della Pubblica amministrazione ci sia ancora molta strada da fare. Anche per questo, al momento, l’Agenzia è al lavoro per rafforzare il quadro di cooperazione tra le Pubbliche amministrazioni e l’Acn stessa, con l’obiettivo di ridurre i rischi “di possibili propagazioni di conseguenze lesive dovute agli incidenti cyber, o il ripetersi di analoghi attacchi, ai danni di ulteriori soggetti pubblici e privati”.
Le conseguenze degli attacchi, infatti, se non gestite in modo coordinato ed efficace, potrebbero acquisire anche una rilevanza sistemica, “sino a determinare un pregiudizio per la sicurezza nazionale. A tal fine, è richiesto alle amministrazioni pubbliche di operare garantendo: che l’Agenzia e, in particolare, gli operatori del Csirt Italia dispongano del pieno supporto dei soggetti impattati, pure laddove gli stessi si dovessero avvalere di società in house o comunque a controllo pubblico; l’accesso ai locali, ai sistemi informativi e alle reti informatiche di pertinenza delle Amministrazioni impattate, per tutto il tempo necessario al pieno esercizio delle competenze dell’Agenzia, compatibilmente con le prerogative dell’Autorità giudiziaria”.
È inoltre prevista una serie di misure che, “in via prodromica e funzionale alla collaborazione prevista, dovranno essere messe in opera, ovvero implementate, anche per assicurare un più immediato ed efficace intervento dell’Agenzia in caso di incidente. Tra queste vi è la predisposizione di piani per la gestione delle vulnerabilità e della risposta in caso di incidente, nonché di un documento in cui siano definiti ruoli e responsabilità inerenti alla cybersicurezza, comprensivo dell’individuazione di un incaricato per la cybersicurezza (quale punto di contatto cyber ai fini delle comunicazioni e del necessario raccordo con l’Acn) e di un referente tecnico per la cybersicurezza (da identificarsi tra il personale responsabile della gestione operativa dei sistemi IT)”.
Purtroppo, su questi adempimenti c’è ancora molto da fare, anche perché spesso all’interno delle Pa (si pensi per esempio ai Comuni) mancano le professionalità adatte a ricoprire tali ruoli. Pure sul fronte digitale, insomma, la sicurezza sembra possa aspettare.
Messa a disposizione dal Pnrr una dotazione di 623 milioni di euro
ROMA – Più volte abbiamo scritto come il Piano nazionale di ripresa e resilienza rappresenti per l’Italia uno strumento fondamentale per crescere sotto il punto di vista economico, infrastrutturale e, perché no, anche digitale.
Importanti risorse dal Pnrr
Importanti risorse, infatti, sono messe a disposizione anche dello sviluppo tecnologico, quindi e anche sul fronte della cybersicurezza. Lo ha evidenziato nella recente relazione presentata al Parlamento anche l’Acn: “Nel quadro delle riforme per la digitalizzazione dell’Italia, il Piano nazionale di ripresa e resilienza (Pnrr) dedica significativa attenzione alla sicurezza cibernetica, proponendo, tra le varie attività, un percorso di miglioramento della postura di sicurezza del sistema Paese nel suo insieme, a partire dalla Pubblica amministrazione. L’Investimento 1.5 ‘Cybersecurity’ della Missione 1 – Componente 1 – Asse 1 del Pnrr, a titolarità Dtd (Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri, ndr) e di cui l’Agenzia è soggetto attuatore, prevede una dotazione di 623 milioni di euro al fine di migliorare le difese del Paese ponendo la cybersicurezza e la resilienza a fondamento della trasformazione digitale della Pa, così come del settore privato. Ciò mira a rafforzare l’ecosistema digitale nazionale potenziando le capacità dell’Agenzia e sostenendo la crescita dell’autonomia tecnologica nazionale”.
“In quest’ottica – hanno aggiunto dall’Agenzia – l’Acn sta coordinando diverse progettualità dedicate principalmente a potenziare la resilienza cyber delle Pa, sviluppare servizi cyber nazionali e sostenere la creazione di una rete nazionale di laboratori di scrutinio e certificazione tecnologica. L’Investimento 1.5 è declinato in milestone e target europei, organizzati secondo le due scadenze di dicembre 2022 e dicembre 2024. Le iniziative coordinate dall’Agenzia hanno permesso di raggiungere tutti gli obiettivi previsti per il 2022”.
Gli Avvisi pubblicati nel 2023 hanno tracciato un percorso che segue quello dell’anno precedente, ampliando la platea dei soggetti potenzialmente interessati. “In particolare – hanno sottolineato ancora dall’Acn – nel mese di ottobre del 2023 è stato pubblicato l’Avviso pubblico 7/2023 che mira a dare seguito alle attività di potenziamento della capacità cyber offerte mediante l’Avviso 2/2022, concorrendo quindi al raggiungimento del target finale Ue M1C1-19. L’Avviso 7/2023 prevede, infatti, interventi erogati dall’Agenzia a favore di ulteriori Pa centrali, cioè tutte le amministrazioni che non hanno partecipato all’Avviso 2/2022 e altri soggetti destinatari (Organi costituzionali e a rilevanza costituzionale, Ministeri, Agenzie fiscali, Enti di regolazione dell’attività economica, Autorità amministrative indipendenti ed Enti a struttura associativa). L’Avviso, con una dotazione finanziaria di 15 milioni di euro, si è chiuso il 5 dicembre e ha trovato ampia adesione. Gli interventi che saranno finanziati rientrano nelle seguenti tipologie: analisi della postura di sicurezza e piano di potenziamento; miglioramento dei processi e dell’organizzazione di gestione della cybersecurity; miglioramento della consapevolezza delle persone.
“Ulteriori opportunità di finanziamento – hanno concluso dall’Agenzia – si apriranno nel corso del 2024, andando ad allargare la platea dei potenziali beneficiari delle attività di potenziamento della resilienza cyber alle Pubbliche amministrazioni locali al fine di sostenere la gestione del rischio cyber di grandi Comuni, Città Metropolitane, Agenzie regionali sanitarie e aziende ed Enti di supporto al Servizio sanitario nazionale, attraverso l’emanazione di apposito Avviso”.