La piena e integrata digitalizzazione dei servizi erogati dalla Pubblica Amministrazione è destinata inevitabilmente a portare con sé un aumento del rischio di attacchi informatici, in particolare contro le amministrazioni locali. In questo contesto, è fondamentale coinvolgere i territori nella definizione delle strategie di medio-lungo periodo sulla cybersicurezza dei servizi pubblici.
Il documento di sicurezza nazionale del Dipartimento delle informazioni per la sicurezza (DIS) solleva l’evidenza di un incremento, negli ultimi due anni, del 20% dei cyber attacchi, di cui l’80% rivolto verso le PA. Solo lo scorso anno, il 68% degli attacchi informatici ha colpito le PA. Probabilmente, a causa del ruolo sempre più importante che svolgono che implica un’interazione sempre più diretta con i dati, le informazioni, i servizi sul territorio, esponendole direttamente ai criminali informatici.
La PA è più esposta agli attacchi cyber: ecco perché
Un termine che oggi ricorre spesso è “resilienza cibernetica“; in realtà, questo concetto presuppone un’iniziale passività quando al contrario, bisognerebbe “essere attivi fin da subito”. Ne è convinto Gastone Nencini, Country Manager Trend Micro Italia secondo il quale “Occorre ricercare la cybersecurity fin dall’inizio, non bisogna attendere che succeda qualcosa o che si ipotizzi un attacco. Fare sicurezza oggi significa controllare a 360° l’infrastruttura tecnologica e in generale, dei processi per mettere in piedi contromisure adeguate a gestire potenziali attacchi”.
Fare sicurezza, continua Nencini, “significa accettare un livello di rischio, capire fino a dove siamo disposti a rischiare e traslare questo valore, che andrebbe calcolato in valore percentuale, su tutta la filiera che riguarda il discorso della sicurezza”.
“Chi sferra attacchi, cerca di guadagnare il più possibile. E ciò oggi coincide con le infrastrutture sanitarie e di enti pubblici che una volta sotto attacco, possono arrivare a bloccare interi paesi e quindi risultano più propensi a pagare il riscatto. Secondo l’ultima nostra ricerca, – racconta Nencini – l’Italia è il primo paese in Europa per gli attacchi ransomware”, con cui si intende quel tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione.
Secondo Nencini, la PA è spesso oggetto di attacco perché non c’è stata una valutazione del rischio: in pratica, sono stati digitalizzati i servizi essenziali con una bassa valutazione del rischio. E visto che i criminali informatici sferrano attacchi laddove individuano una maggiore facilità di riscattare un compenso, le PA risultano un bersaglio facile.
“Le PA sono più esposte perché è mancata una visione globale, si è cercato sempre di aggiungere un tassello in più che nel complesso, non è in grado di fermare la potenza degli attacchi sferrati. E visto che il tema della cybersecurity tocca tutto il sistema paese con conseguenze riflesse, quello che occorre è una visione complessiva sul sistema paese e non fermarsi a semplici patch” esorta Nencini.
La digitalizzazione non è stata accompagnata dall’aggiornamento di sicurezza e competenze
Ci troviamo in una società guidata dai dati e più le società si digitalizzano più i dati e quello che saranno i sistemi di intelligenza artificiale guideranno il funzionamento di tutto il sistema. Società più arretrate sono paradossalmente più sicure rispetto a eventuali cyber attacchi.
“Quello che è avvenuto in Italia – interviene Michele Fioroni, Coordinatore Commissione Innovazione tecnologica e Digitalizzazione, Conferenza delle Regioni – è che il livello di digitalizzazione, per quanto l’indice DESI dimostri che siamo uno dei paesi più arretrati per digitalizzazione del sistema produttivo e della PA e lato competenze, addirittura terzultimi in Europa, è cresciuto senza essere accompagnato da una adeguata crescita nel livello di sicurezza e nel sistema di competenze necessarie. Questo è avvenuto particolarmente nel mondo della PA”.
La rete pubblica è costituita da tanti nodi ognuno dei quali soffre di potenziali condizioni di debolezza. Spesso la porta di ingresso è all’ultimo miglio, la più fragile. La criticità che più si fa sentire in questo senso, è quella legata al grande tema delle competenze: la PA non ha investito in formazione, carenza che amplifica le criticità del sistema di erogazione dei servizi.
A detta di Fioroni, bisogna cercare di allineare PA e regioni che su questo possono avere un ruolo importantissimo, connettendo più nodi e definendo linee guida a cui attenersi nei comportamenti organizzativi degli individui; ma serve anche un piano nazionale calato a terra con tanti investimenti non solo per la riqualificazione delle risorse con scarse competenze, ma anche per attivare un processo di formazione continua perché in una società che si evolve sempre più anche le competenze delle risorse hanno bisogno di aggiornamenti costanti.
Una visione sul sistema paese che coinvolge PA, imprese e università per la cybersecurity
“Come Conferenza delle Regioni – prosegue Fioroni – abbiamo subito attivato una task force interna a seguito dell’attacco nel Lazio cercando di condividere best practice, minacce e rischi e di mettere a disposizione la nostra esperienza al governo. Oggi i sistemi di sicurezza devono tenere conto di una connessione per nodi. Le regioni possono fungere da strumento di raccordo di buone pratiche e competenze nei confronti dei comuni”.
Sicuramente, il rischio cibernetico rappresenta la minaccia del futuro. Non è casuale che in questo momento, si parli di cyber war e che il tema della cyber security diventi un tema di presidio pubblico e di difesa.
L’altro tema non banale è che questo problema di sicurezza non insiste solo sul versante della PA, ma bisogna migliorare la capacità di risposta del sistema delle imprese. Molti attacchi, laddove c’è la necessità di difendere PoC, creazione di idee, brevetti, possono rappresentare un bersaglio di attacchi molto trasversali.
E quando parliamo di esigenze delle imprese, occorre necessariamente allineare ad esse il sistema delle competenze universitarie. In questo senso, sarà fondamentale creare infrastrutture di trasferimento tecnologico affinché la cyber security possa essere applicata in modo agevole sia in ambito pubblico che privato.
La formazione deve essere ripensata per coltivare le competenze digitali
Oggi le cose accadono con una velocità mai sperimentata prima. Per questo, secondo il parere di Andrea Ciccarelli, Coordinatore Master in Innovazione e Trasformazione digitale della PA, Università di Teramo “le strutture formative ad ogni livello, devono riadattarsi e ripensare completamente la loro funzione. La laurea oggi non basta più perché quello che ti insegno oggi, molto probabilmente tra 5 anni si sarà modificato. La competizione si svolgerà sempre più sulla formazione continua a qualsiasi livello”.
“I nostri corsi di laurea si rifanno a schemi che ormai hanno 20-25 anni – continua Ciccarelli – E visto che i corsi di studio sono molto difficili da modificare, le attività collaterali post-laurea devono essere sviluppate il più possibile. All’Università di Teramo abbiamo creato un Master dalle prime bozze del PNRR, in cui già trapelava la grande importanza assegnata alla digitalizzazione strategica per il Paese, immaginando un profilo post-universitario di un soggetto che deve gestire le tematiche dell’innovazione a tutti i livelli, parte gestionale da un lato, e parte giuridica dall’altra”.
L’idea che emerge con forza dalle parole di Ciccarelli è che non possiamo più affidarci al caso o alla buona volontà, non possiamo “arrangiarci” per capire un sistema informatico, occorre formare la PA e i suoi dipendenti a cui si chiede l’efficacia e l’efficienza.
“Nella sanità abbiamo pagato il prezzo dello spending review, – incalza Ciccarelli – ora lo stiamo vedendo anche nelle PA dove il livello di digitalizzazione e competenze digitali è mediamente basso, e un po’ ce l’abbiamo di natura per motivi culturali. Bisogna uscire dell’impasse che l’informatica è complicata. È una competenza che deve essere trasversale a tutti. Dobbiamo adattarci a quello che succede e innovare sempre di più”.
Quindi, da un lato dobbiamo assorbire la differenza tra costo e investimento e dall’altro, dobbiamo ragionare in modo complessivo. Gestire il rischio a tutti i livelli deve essere centrale all’interno di qualsiasi attività. Il rischio va accettato e calcolato.
Per una PA competente e sicura, è fondamentale una collaborazione pubblico-privata
Michele Pianetta, Vice Presidente, Anci Piemonte crede che occorra un cambio di passo: anche la PA locale deve rendersi conto di quanto le tematiche di cyber security siano al centro dell’agenda e dei rischi quotidiani. “Il problema di competenze è figlio del taglio lineare: i piccoli comuni sono stati coinvolti particolarmente in termini di competenze e risorse umane, tanto che la media dei dipendenti dei comuni sotto i 1000 abitanti è tra lo 0,8 e l’1,5% con troppi compiti da smaltire oltre alla cyber security”.
“Dobbiamo quindi accompagnarli” spiega Pianetta. Sicuramente, il PNRR ha dato un segnale strategico, perché 1 euro su 4 viene destinato al digitale. I piccoli comuni riceveranno fino a 250 mila euro e quindi, il rischio è che le risorse non vengano spese nel modo giusto. “Pubblico e privato devono dialogare e la PA deve fare ammenda se non è in grado di prendere determinate scelte. Le strade sono due: affidarsi ai privati in una logica sinergica e poi, ragionare per enti di area vasta (non i singoli comuni)”.
Secondo Pianetta, non dobbiamo mettere da parte l’indipendenza dei municipi, perché costituiscono una fonte di autonomia importante, ma sulle grandi scelte come quelle dell’IT si deve ragionare almeno per 40 mila abitanti. Ciò significa che le unioni dei comuni devono ricevere risorse dedicate e che le province in questo, soprattutto nelle aree marginali, possono diventare vettore di cambiamento. “E quindi perché non indire gare che coinvolgano quantomeno le province per affrontare il tema di cyber security?”.
Digitalizzazione sempre più spinta, ma la cybersecurity resta indietro
Francesco Di Norcia, Ceo, CDiNnovation sottolinea che arriviamo da due anni ancora non conclusi di pandemia uniti ad una guerra che dura da quasi due mesi ai confini dell’Europa, il costo dell’energia e delle materie prime aumentano: tutti fenomeni che impattano e generano preoccupazione a livello sia del consumatore ma anche e soprattutto delle aziende e PMI che si trovano a contrastare una miriade di pressanti esigenze non previste.
“A mio parere, nella visione territoriale, questi fenomeni hanno accelerato l’innovazione. Basta pensare che qualche anno fa non eravamo abituati a portare avanti relazioni non fisiche soprattutto a livello di PMI e relazioni commerciali. E la relazione umana in Italia è stata un fenomeno sempre molto importante su cui si basano gli accordi commerciali”.
Oggi, abbiamo vissuto un passaggio importante alla digitalizzazione, incontri virtuali, e tutto questo genera una consapevolezza sulla importanza della innovazione digitale che porta comunque ad una ottimizzazione dei costi. “Ovviamente questo passaggio ha portato ad attenzionare la cyber security progressivamente, ma siamo lontani da una saturazione di mercato. Secondo Istat abbiamo in Italia oltre 4 milioni di PMI e il 94.8% ha meno di 10 dipendenti. Torna il discorso, equiparabile ai piccoli comuni, che vede l’82.6% delle PMI con un livello digitale medio-basso.”
Le aziende italiane si sono concentrate sul prodotto per molto tempo, gli ultimi incentivi governativi hanno spinto alla digitalizzazione spesso interpretata come digital transformation nei cicli produttivi, in casi più smart sono stati utilizzati i fondi per attività di CRM piuttosto che per l’analisi dei dati di profilazione per far sì che il prodotto possa essere vestito meglio per esempio nella logica del packaging. Un altro aspetto che ci fa pensare che il percorso verso la cyber security è ancora lungo.
Tantissime aziende sempre per la logica di avere buona parte dei dipendenti in remoto si sono dovute strutturare migrando al cloud con il presidio dei documenti che servono per lavorare da remoto. Si è trattato di un passaggio importante in termini di investimento, quanto quello dei pagamenti elettronici, e quindi la diffusione dei sistemi POS, sia nei punti Retail che il passaggio alla carta di credito. “Qui abbiamo sfondato una barriera importante, visto che l’Italia fino a pochi anni fa era fanalino di coda per la grande paura della frode” commenta Di Norcia.
La chiave di volta consiste nell’essere passati dal punto di vista sociologico, dall’essere un paese molto conservativo e attento alle frodi e dalla paura di essere soggetti ad attacchi cyber sulla carta di credito e nell’uso dell’ATM per prelievo di denaro o ancora via e-commerce, al momento in cui oggi le aziende hanno le carte per affrontare attacchi di cybersecurity, ma non li sfrutta. Il mondo va più veloce di noi, non riusciamo a stargli dietro.
La cybersecurity dovrebbe essere un facilitatore alle aziende, dunque occorre coltivare elementi di competenza, e in questo, ricerca e università hanno un ruolo focale sul territorio. “Noi come società di servizi e consulenza possiamo accompagnare le aziende verso strumenti sempre più concentrati sull’IoT e sull’AI, con la raccolta e lettura dei dati. Serve una cultura digitale anche nella trattazione dei dati, che vanno difesi e saputi interpretare“.
Supply chain, cultura dei processi e massa critica: elementi chiave in una società guidata sempre più dai dati
Quando parliamo di digitalizzazione e PNRR si rileva una grande enfasi sull’interoperabilità. Le nostre città rileveranno sempre più informazioni perché i sistemi di AI hanno bisogno di dati. Una delle criticità a cui stiamo assistendo è che larga parte della componentistica tecnologica in Ucraina è di origine russa.
Michele Fioroni, Coordinatore Commissione Innovazione tecnologica e Digitalizzazione, Conferenza delle Regioni torna a precisare che vanno fatte scelte a livello di sistema paese, perché nel momento in cui costruiamo infrastrutture per raccogliere informazioni dalle città, materia prima delle decisioni con cui la PA si muoverà, dovremo tenere conto delle catene di approvvigionamento della componentistica tecnologica.
In Italia manca anche in ambito privato la cultura dei processi: non siamo abituati a scrivere e dettagliare i processi e organizzare il flusso delle informazioni per processi. La criticità della sicurezza richiede una cultura dei processi.
La sicurezza oggi è direttamente correlata alla dimensione: più si è grandi più si ha la possibilità di investire in sicurezza. Il passaggio al cloud nazionale sarà una strategia fondamentale, ma il cloud è un momento chiave di trasformazione anche per le aziende. Le piattaforme cloud non sono legate esclusivamente al trend dilagante dello smart working; per esempio, consentono di interconnettere i macchinari nei sistemi di automazione 4.0.
Il passaggio al cloud comporta una dematerializzazione dei processi fisici tanto nelle imprese quanto nelle PA. Va da sé che dematerializzare i processi è difficile senza averli scritti. “Il governo deve cercare un dialogo con noi regioni, che fungiamo da organo di trasmissione con i comuni con la logica dei grossisti, ed è facile che si possa creare quella massa critica per innalzare il livello di competenze”.
Parliamo tanto di dati, ma in quanti nella PA italiana utilizzano strumenti di Business Intelligence per svolgere scelte data-driven? Veramente poche. Inoltre, i dati sono anche una fonte di innovazione: dalla disponibilità dei dati sono nate molte imprese ma anche molte soluzioni in ambito “sicurezza”. Dovremo quindi, investire come paese in private equity in quelle aziende che vogliono sviluppare soluzioni in questo ambito.
Le tecnologie non bastano, serve sviluppare il tema della consapevolezza
L’agenzia nazionale per la cybersicurezza a livello nazionale può aiutare molto per la costituzione delle linee guida.
Innanzitutto, occorre che il decisore pubblico, locale e territoriale prenda coscienza della propria vulnerabilità, un aspetto culturale primario. Le amministrazioni pubbliche, specie quelle territoriali, sono spesso uscite malconce per i tagli degli ultimi anni che hanno impoverito.
Come spiega Guido Castelli, Assessore al Bilancio e Enti Locali, Regione Marche è fondamentale che le linee guida presuppongano lo sviluppo del tema della consapevolezza. Il problema della cyber security non si risolve solo con le tecnologie, ma occorre tanta formazione per competenze avanzate e promuovere una sensibilità diffusa all’interno dell’ente.
“Noi solo dopo aver subito un attacco alla nostra agenzia ambientale abbiamo fino in fondo acquisito questo tema in profondità. Sicuramente il tema della formazione e della consapevolezza è decisivo. Tecnologia, formazione e comportamenti organizzativi corretti sono decisivi”.
Le linee guida e l’autorità possono favorire il processo di adozione massiva di questi concetti che soprattutto nel caso delle amministrazioni locali provinciali e comunali non è così acquisito in maniera sistemica. La protezione e la sicurezza del dato è un elemento costitutivo della società al pari delle altre richieste di sicurezza che generalmente salgono dalle comunità e dai territori. La sicurezza è un tema della grande società globalizzata.
L’alfabetizzazione digitale è esplosa con la pandemia, ma sulla consapevolezza della cybersicurezza dobbiamo ancora lavorarci. Certe azioni hacker hanno prodotto questa evidenza, probabilmente c’è stata una grandissima acquisizione di consapevolezza rispetto al tema della profilatura personale. Tutti hanno capito quanto siamo suscettibili di essere acquisiti come “dato personale”. La nostra identità diventa elemento di scambio di ricerca e di relazione in maniera massiva e radicale, il che apre al tema del rispetto dei diritti.
Valutare il rischio nella sua interezza
Ma un conto è la sicurezza da attacchi fraudolenti per garantire l’indennità dei sistemi informatici da violazioni, e un altro, il tema più sociologico e relazionale della tutela dei diritti, perché la nostra identità rischia di essere l’elemento che viene acquisito dall’elemento capitalistico e dei consumi che crea un plusvalore che nasce dalla nostra identità. C’è un tema di sicurezza ma anche di democrazia dietro questo tipo di valutazioni.
“Democrazia e sicurezza in realtà sono la stessa cosa” riprende il microfono Gastone Nencini, Country Manager, Trend Micro Italia. La democrazia nasce dalla sicurezza e dalla qualità del dato che deve essere garantita dall’inizio: le nuove tecnologie vanno pensate in un’ottica di “security by design“. “Bisogna valutare i rischi, e cercare di capire come affrontare eventuali problematiche improbabili ma possibili. Nel complesso, la consapevolezza dell’esistenza di rischi c’è, forse non sull’accettazione del rischio minimo, ma una consapevolezza complessiva che sicuramente qualcosa va fatto e che serve una formazione più adeguata da parte di tutti”.
Immagine fornita da Shutterstock