Sicurezza ICT nella PA: la circolare AgID

di A. Cecchetti (www.consulentelegaleinformatico.it) - La Pubblica Amministrazione deve prepararsi a mettere in campo misure adeguate a far fronte alle cyberminacce. L'Agenzia per l'Italia Digitale ha dettato le prime regole

Roma – È stata pubblicata su Gazzetta Ufficiale del 4 aprile scorso la Circolare n. 1/2017, in attuazione della Direttiva della Presidenza del Consiglio dei Ministri, in tema di ICT e Pubblica Amministrazione.
La genesi del documento in questione si innesta in un percorso più ampio, volto a definire il fondamentale rapporto tra sicurezza informatica e soggetti pubblici. Un percorso che richiede interventi mirati aventi sempre più carattere di urgenza, e di regola rimessi all’attività del Dipartimento per la funzione pubblica; la prima tappa, tuttavia, porta la firma dell’AgID, l’Agenzia per l’Italia Digitale, individuata al momento come soggetto capofila nell’implementazione ICT per quanto riguarda il settore pubblico nazionale e nell’indicazione di standard di riferimento.

Un’unica normativa, una miriade di realtà interessate: il rimando al D.lgs. 165/2001 , contenuto all’art. 2, determina che ad essere coinvolte dalla Circolare sono le “amministrazioni dello Stato” nell’accezione più ampia dell’espressione, dalle Regioni ai Comuni, passando per istituzioni universitarie, Camere di Commercio e Servizio sanitario nazionale.

Nel quadro dell’organico amministrativo, chiamati in causa circa l’effettiva attuazione delle misure predisposte saranno il Responsabile dei sistemi informativi, o, in sua assenza, il Dirigente designato allo scopo.

Tra le altre informazioni, nell’Allegato 1 della Direttiva vengono individuate quelle che sono le minacce cui va incontro l’attività della P.A.. Gli attacchi si sono andati diversificando nel corso del tempo, con riguardo sia alla loro provenienza, sia al loro contenuto, ed hanno assunto una progressiva veste sistematica.
L’AgID, nell’analisi dei profili ricorrenti nei vari attacchi subiti, si sofferma su due aspetti:
-Il livello di sofisticazione che i soggetti possono raggiungere, in base alle risorse strategiche e strumentali a loro disposizione;
-La capacità di mantenere il più a lungo possibile celato l’attacco.

Partendo da questi elementi è stato possibile delineare gli strumenti di risposta minimi richiesti alle Pubbliche Amministrazioni.
Le “misure minime” di sicurezza oggetto della Direttiva sono state approntante seguendo standard internazionali, ed in particolare prendendo come riferimento l’ insieme di controlli denominati CIS Critical Security Controls for Effective Cyber Defense , o più brevemente CCSC, del Center for Internet Security. Nel novero dei 20, i primi 5 controlli sono riconosciuti come il “nucleo minimo” di misure di sicurezza, ed è proprio da queste che è partito il lavoro di adeguamento rispetto alle esigenze della Pubblica Amministrazione nazionale:
-CSC 1: Inventario dei dispositivi autorizzati e non autorizzati;
-CSC 2: Inventario dei software autorizzati e non autorizzati;
-CSC 3: Proteggere le configurazioni di hardware e software su dispositivi mobili, laptop, workstation e server;
-CSC 4: Valutazione e correzione continua della vulnerabilità;
-CSC 5: Uso appropriato dei privilegi di amministratore.

A questi sono stati aggiunti poi il CSC8, relativo alle difese contro i malware, il CSC10, sulle copie di sicurezza, ed il CSC13, riguardante i rischi da esfiltrazione.

La creazione di quelli che possono essere definiti come AgID Basic Security Controls (ABSC), come anticipato precedentemente, è stata calibrata in un’ottica di evoluzione dei rischi ICT, e si è dunque imperniata sul confronto tra le versioni 6.0 e 5.1 degli enunciati CCSC.

La volontà di affrontare il tema della cybersecurity in un’ottica “attiva”, fondata sulla reazione ai pericoli e sulle tempistiche di tale reazione, si apprezza anche guardando al dettaglio delle misure: non si limita più il campo alle sole difese “statiche”, quali ad esempio gli antivirus, ma si aggiungono nuove misure in grado di minimizzare il periodo intercorrente tra l’attacco e l’avvenuta conoscenza dello stesso.

L’Allegato 1 della Circolare fissa così i criteri basilari per stabilire il livello di protezione garantito all’interno della singola amministrazione, e le procedure da adottare per raggiungere i livelli richiesti dal’AgID. Criteri e procedure che mirano alla prevenzione, al contrasto e riduzione degli effetti della singola minaccia, alla verifica ed al controllo periodico, e che si articolano su tre livelli differenti di sicurezza – minimo, standard ed alto – in base allo schema previsto nelle specifiche dell’Allegato 1.

Alla maggiore partecipazione richiesta alle Pubblica Amministrazione fa da contraltare anche l’assunzione di maggiori livelli di responsabilità. L’Allegato 2 della Circolare n. 1/2017 prevede che tutte le misure minime di sicurezza adottate debbano essere individuate e registrate in un apposito documento, il “Modulo di implementazione delle misure minime di sicurezza per le pubbliche amministrazioni”.
La modulistica deve essere redatta sulla base degli interventi effettuati, conservata ed inviata dalla singola Amministrazione alla Cert-PA in caso di incidente informatico.

La scadenza è il 31 dicembre 2017; non possiamo non richiamare ovviamente come questo testo sia strettamente connesso alla GDPR (la General Data Protection Regulation, vale a dire il Regolamento Europeo in materia di protezione dei dati) che entrerà in vigore nel maggio 2017 e che già oggi impegna ampiamente anche la PA per il recepimento. Le PA dovranno dunque coordinare queste due normative andando a mettere a fattor comune diversi aspetti inerenti la sicurezza (dal data breach al privacy by design, passando per il DPO) con una visione di insieme che consenta di ottimizzare gli investimenti e l’impiego di risorse interne per obiettivi sostanzialmente comuni ad entrambe le normative.

Alessandro Cecchetti
General Manager Colin & Partners

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • danylo scrive:
    inconsapevole ambasciatrice di messaggi

    Mountain View ... e ha mostrato di non voler agire come
    inconsapevole ambasciatrice di messaggi pubblicitariNon sia mai che qualcuno faccia pubblicita' senza pagare la "tassa" a google.
  • f76a4ec87b6 scrive:
    pubblicita
    Siamo seri Un'azienda non può permettersi di fare queste cose senza che l'altra azienda lo sappia. Hanno messo su una bella sceneggiata per farsi pubblicità a vicenda.
    • panda rossa scrive:
      Re: pubblicita
      - Scritto da: f76a4ec87b6
      Siamo seri Un'azienda non può permettersi di fare
      queste cose senza che l'altra azienda lo sappia.

      Hanno messo su una bella sceneggiata per farsi
      pubblicità a
      vicenda.Ma a che cosa dovrebbe mai fregargliene all'altra azienda?A me sembra tutto ovvio.La pubblicita' si deve rivolgere al pubblico meno sgamato.E quelli meno sgamati sono coloro che lasciano l'assistente vocale acceso.(che sono gli stessi che non sanno configurare un adblock).
      • 18cee0f140a scrive:
        Re: pubblicita

        Ma a che cosa dovrebbe mai fregargliene all'altra
        azienda?

        A me sembra tutto ovvio.
        La pubblicita' si deve rivolgere al pubblico meno
        sgamato.
        E quelli meno sgamati sono coloro che lasciano
        l'assistente vocale
        acceso.
        (che sono gli stessi che non sanno configurare un
        adblock).Ma che minkiate scrivi. Come se ci fossero veramente milioni di persone con un apparecchio con l'assistente virtuale di Google dentro casa. E' una finta.
        • panda rossa scrive:
          Re: pubblicita
          - Scritto da: 18cee0f140a

          Ma a che cosa dovrebbe mai fregargliene
          all'altra

          azienda?



          A me sembra tutto ovvio.

          La pubblicita' si deve rivolgere al pubblico
          meno

          sgamato.

          E quelli meno sgamati sono coloro che lasciano

          l'assistente vocale

          acceso.

          (che sono gli stessi che non sanno configurare
          un

          adblock).


          Ma che minkiate scrivi. Come se ci fossero
          veramente milioni di persone con un apparecchio
          con l'assistente virtuale di Google dentro casa.
          E' una
          finta.Ma se anche fosse, a noi che ce ne frega?E' una pubblicita': una cosa che su internet non si e' mai vista.
    • Marvho scrive:
      Re: pubblicita
      - Scritto da: f76a4ec87b6
      Siamo seri Un'azienda non può permettersi di fare
      queste cose senza che l'altra azienda lo sappia.

      Hanno messo su una bella sceneggiata per farsi
      pubblicità a
      vicenda.perche secondo te google ha bisogno di pubblicità... ah ah -_-
Chiudi i commenti