“I dati emergenti dalle attività della Polizia Criminale e del CNAIPIC evidenziano che, nel 2020, i reati informatici sono aumentati del 33% e gli attacchi cibernetici diretti a infrastrutture critiche sono più che raddoppiati rispetto all’anno precedente”, ha affermato la ministra dell’Interno Luciana Lamorgese in occasione di un recente convegno del Parlamento e della Commissione UE su “La nuova strategia Europea per rafforzare la sicurezza informatica”.
L’amministrazione pubblica, la sanità e le infrastrutture critiche sono fra i principali obiettivi del cybercrime, come evidenzia l’analisi di Clusit che indica in seconda posizione degli attacchi più significativi nel 2020 la PA (con un incremento del 4,5% rispetto allo scorso anno), l’healthcare (+5,9%), ricerca e istruzione (del 46,8%).
L’andamento è stato indubbiamente influenzato dall’emergenza Covid-19, occasione per attacchi da gruppi criminali organizzati a livello transnazionale e ha evidenziato la situazione di particolare esposizione e maggior vulnerabilità del Paese. Il numero crescente delle persone che lavorano da remoto, spesso con una scarsa cultura della sicurezza e strumenti di difesa inadeguati, ha determinato la crescita (e il successo) di attacchi di phishing e di ransomware. Il CNAIPIC ha inoltre segnalato l’incremento di attacchi DDoS (Distributed Denial of Service) con l’obiettivo di bloccare un servizio o un’infrastruttura per finalità estorsive, di accessi abusivi con l’intento per sottrarre dati sensibili, campagne di phishing e campagne APT (Advanced Persistent Threats), particolarmente insidiosi poiché ricollegabili cyber criminali particolarmente competenti e dotati di ingenti risorse.
Risulta inoltre particolarmente preoccupante che alcuni siti pubblici rischino di essere veicoli inconsapevoli di malware, come è accaduto nel caso della sezione Musei della Basilicata sul sito del Ministero per i Beni e le Attività Culturali che lo scorso luglio. Ma non è un caso isolato. In un monitoraggio dei portali istituzionali della PA, condotto da Cert-AgID nel dicembre 2020 è risultato che su oltre 21mila portali istituzionali della Pubblica Amministrazione, solo il 9% è sufficientemente sicuro, mentre il restante 91% è caratterizzata da mancanza del protocollo HTTPS, gravi problemi di sicurezza, oppure ancora è mal configurato (fonte Clusit).
“L’ultimo censimento del patrimonio delle infrastrutture di elaborazione dati della Pubblica amministrazione ha rilevato che circa il 95% delle infrastrutture dati della Pubblica amministrazione è privo dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati”, ha infine affermato il ministro per l’Innovazione tecnologica e la transizione digitale, Vittorio Colao, in una recente audizione parlamentare.
In considerazione della crescente esposizione alle minacce cibernetiche l’agenda nazionale e quella europea ha posto all’ordine del giorno la necessità di sviluppare in tempi brevi adeguati meccanismi di tutela.
Gli strumenti e gli investimenti per la cybersecurity sono adeguati?
La sicurezza cibernetica costituisce uno degli interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR) trasmesso dal Governo alla Commissione europea.
La cybersecurity è infatti indicata come uno dei sette investimenti della Digitalizzazione della pubblica amministrazione, primo asse di intervento della componente 1 “Digitalizzazione, innovazione e sicurezza nella PA”, compresa nella Missione 1, “Digitalizzazione, innovazione, competitività, cultura e turismo”.
Ma se guardiamo all’entità degli investimenti sorge qualche dubbio. All’investimento finalizzato alla creazione ed al rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese a partire dall’attuazione della disciplina prevista dal perimetro di sicurezza nazionale cibernetica, sono destinati circa 620 milioni di euro in totale di cui: 241 per la creazione di una infrastruttura per la cyber sicurezza, 231 per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica PNSC; 15 per il rafforzamento delle capacità nazionali di difesa informatica presso il ministero dell’Interno, Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato.
L’intervento si articola in quattro aree principali:
- rafforzamento dei presidi di front-line per la gestione degli alert e degli eventi a rischio verso la PA e le imprese di interesse nazionale;
- consolidamento delle capacità tecniche di valutazione e audit della sicurezza dell’hardware e del software;
- potenziamento del personale delle forze di polizia dedicate alla prevenzione e investigazione del crimine informatico;
- implementazione degli asset e delle unità incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber.
Tutto ciò è svolto, sempre secondo quanto affermato nel PNRR, in pieno raccordo con le iniziative Europee e alleate, per assicurare la protezione degli interessi comuni dei cittadini e delle imprese.
Eppure sembra che la montagna dell’attenzione sulla cybersecurity abbia partorito il topolino. L’investimento sembra davvero esiguo, indirizzato in modo non sufficientemente organico e raccordato ad interventi sulla sicurezza che incidano, ad esempio, anche sul tessuto delle PMI, particolarmente carente in tema di sicurezza. Non sembra presente una visione strategica della cyber security, interpretata non è solo come necessità difensiva ma come fattore competitivo per il sistema Paese. Non c’è infine sufficiente attenzione al fattore umano che rappresenta il primo elemento di criticità per la sicurezza e dunque non si prevede di investire in formazione e informazione per aumentare la consapevolezza diffusa delle persone (dentro e fuori la PA) sui temi della sicurezza.
La sicurezza al Forum PA
Degli aspetti centrali e strategici per la sicurezza informatica nelle istituzioni pubbliche si parlerà il 24 giugno al FORUM PA 2021 nel corso di un talk digitale in cui ci si confronterà sugli impatti organizzativi e tecnologici del rinnovato quadro normativo europeo e nazionale (es. attuazione Direttiva NIS, Perimetro di Sicurezza Nazionale Cibernetica) e delle azioni previste dal Piano triennale 2020-2022 sul fronte sicurezza (sicurezza dei portali istituzionali della PA, sicurezza delle infrastrutture e dei processi di migrazione in cloud, consapevolezza del rischio cyber). Tra gli ospiti, Allan Friedman, Director, Cybersecurity Initiatives – National Telecommunications & Information Administration United States Department of Commerce.