La Pubblica Amministrazione al tempo della cybersecurity

Nel 2014 uno studio svolto dall’Agenzia per l’Italia Digitale e da Sapienza Università di Roma analizzava per la prima volta il livello di consapevolezza e la capacità difensiva della Pubblica Amministrazione nei confronti della minaccia cibernetica. I risultati emersi non erano purtroppo molto confortanti: il quadro era infatti quello di una PA sostanzialmente poco consapevole dei rischi e comunque non adeguatamente attrezzata per affrontarli, per via di sistematiche carenze localizzate soprattutto a livello organizzativo.

All’epoca l’Amministrazione iniziava a malapena a rendersi conto che il mondo stava rapidamente cambiando e che la minaccia cibernetica non avrebbe più risparmiato neppure il settore pubblico, il quale fino ad allora era rimasto una specie di isola felice in quanto generalmente poco colpito da attacchi diretti o azioni mirate.

pa e cybersecurityNello stesso 2014, presso l’Agenzia per l’Italia Digitale nasceva il CERT della Pubblica Amministrazione, struttura strategica dedicata alla prevenzione ed alla risposta agli incidenti informatici nella PA. E l’anno dopo per la prima volta l’AgID inseriva esplicitamente la cybersecurity nel Piano triennale per l’informatica della PA, quale  componente trasversale rispetto agli “strati” del modello IT di riferimento che indirizzava, per ciascuno di essi, le iniziative specifiche atte a perseguire la necessaria resilienza nei confronti delle possibili minacce, dalla criminalità organizzata al terrorismo. Proseguendo su questa linea, nel 2017 l’AgID emanava le Misure Minime di sicurezza ICT per la PA: il primo strumento pratico per aiutare le amministrazioni, specialmente quelle più piccole e meno preparate, ad innalzare le proprie difese sul piano tecnico ed organizzativo, anche alla luce degli adempimenti nel frattempo richiesti dall’entrata in vigore del Regolamento europeo sulla protezione dei dai personali (GDPR).

Oggi possiamo dire che la situazione della sicurezza cibernetica nella Pubblica Amministrazione non è più all’anno zero: tuttavia molto rimane ancora da fare, soprattutto a livello organizzativo. La Pubblica Amministrazione, in quanto tratta i dati dei cittadini, è la prima e più importante infrastruttura critica del Paese: deve pertanto divenire pienamente consapevole della necessità di difendersi contro chi vuole colpire lo Stato o semplicemente arricchirsi alle sue spalle mediante azioni criminali condotte nel dominio cibernetico. La sicurezza non è un costo ma una risorsa, senza la quale non vi può essere digitalizzazione e quindi progresso, sviluppo e recupero di efficienza del settore pubblico.

La figura del Responsabile per la transizione al digitale è, da questo punto di vista, cruciale per riuscire a diffondere nelle Amministrazioni quella necessaria cultura della sicurezza che fa la differenza. Purtroppo non c’è più tempo da perdere: la sfida è oramai irrinunciabile, e si vincerà solo con la cooperazione di tutti.

 

CORRADO GIUSTOZZI
Esperto di sicurezza cibernetica dell’Agenzia per l’Italia Digitale per lo sviluppo del CERT della Pubblica Amministrazione

Livia Bosi

About Livia Bosi

Maggioli Spa - P.Iva 02066400405