Quello tra PA e GDPR è un rapporto complicato, una storia di infrastrutture mastodontiche e complesse e di un regolamento europeo che le mette sotto la lente d’ingrandimento nel nome della privacy. È possibile trovare un punto d’incontro che non stravolga gli asset tecnologici della PA, sia in linea con budget sempre più risicati e, al tempo stesso, rispetti la piena conformità con la GDPR? Sì, a patto di scegliere partner e tecnologie adeguati, sotto vari punti di vista.
Qualche dato sulla PA
La PA italiana è una macchina tentacolare, diffusa e che non lascia spazio a incertezze né concede pause a chi si occupa di gestirla sul piano tecnologico. Le sfide, del resto, sono sotto gli occhi di tutti. Non passano mai troppi mesi tra un attacco e un altro alla PA e i casi del Comune di Brescia (30 marzo 2021), Regione Lazio (30 luglio 2021) e Regione Lombardia (15 ottobre 2021) ne sono solo un esempio.
Un documento di sicurezza nazionale del Dipartimento delle informazioni per sicurezza (DIS), poco tempo fa, sottolineava come negli ultimi due anni vi è stato un incremento del 20% degli attacchi informatici, di cui ben l’80% è stato sferrato proprio nei confronti della Pubblica Amministrazione. E la PA ha rappresentato, nel 2021, il bersaglio del 68% del totale degli attacchi.
Un’infrastruttura complessa
Sono dati allarmanti, che tuttavia non vanno trattati con supponenza, perché si parla di quella che è la più complessa infrastruttura tecnologica del paese. “Una delle differenze di cui si deve tenere conto, quando si parla di PA e GDPR è che queste realtà hanno in termini di vulnerabilità delle superfici di attacco maggiori rispetto a quelle private. Sia per via delle dimensioni, sia perché sono realtà che spesso gestiscono migliaia di dipendenti” racconta Francesco Arruzzoli, Responsabile Centro Studi Cyber Defence di Cerbeyra, piattaforma cloud per il vulnerability assessment e la cyber threat intelligence.
Adeguare la PA al GDPR: sfida accettata
L’esperto di Cerbeyra riassume in modo efficace un insieme di numeri difficili anche solo da immaginare. Si parla di un’infrastruttura che gestisce i dati e il lavoro di Aziende Sanitarie Locali (ASL), Istruzione e Università, Camere di Commercio, Ordini professionali, enti territoriali, e molto altro ancora. Nel 2021 si contavano la bellezza di oltre 25700 imprese ascrivibili a PA, che nel 40% dei casi hanno tra gli 11 e i 50 dipendenti.
Un insieme di dipendenti che, stando al registro Asia di Istat, arriva a quasi 3,5 milioni di unità, a formare una rete di interazioni e trasmissioni quotidiane che metterebbe a dura prova qualsiasi tipo di infrastruttura. Adeguare la PA al GDPR, quindi, passa prima di tutto per la presa di coscienza di una sfida tutt’altro che semplice da vincere.
Un approccio olistico
Il secondo passaggio è concettuale: la sicurezza di un sistema informatico, piccolo o grande che sia, passa sempre per una valutazione delle sue vulnerabilità. “È necessario applicare il più possibile tutta una serie di accorgimenti che consentono di avere feedback sullo stato della situazione e poi capire dove andare a intervenire e cosa scegliere anche in base a un budget limitato”, specifica Arruzzoli. Il riferimento è chiaro: test, assessment, reportistica e interventi.
Si tratta di attività che devono essere continue, perché la sicurezza è un processo, frequenti e di qualità.
Applicare questo framework a una PA, tuttavia, diventa molto complesso, e se gestito in modo approssimativo rischia di trasformarsi in un boomerang. Ecco perché è preferibile puntare a una soluzione sviluppata in modo organico, che offra un framework integrato, includendo tutti i passaggi necessari per partire da un controllo del sistema e arrivare alla piena compliance del GDPR.
Il concetto di predizione
In questo quadro, esistono aspetti specifici che è indispensabile presidiare. Arruzzoli continua: “Noi, come Cerbeyra, andiamo a occupare uno specifico ambito, nella sicurezza delle informazioni, che è la predizione”. Si tratta di un concetto particolare, quello a cui fa riferimento l’esperto, che viene prima ancora della prevenzione e che riguarda soprattutto l’intelligence applicata al vulnerability assessment e management. “Individuiamo quali sono gli scenari ai quali l’azienda si sta esponendo e quali sono i più probabili”.
Il concetto che sta alla base della filosofia di Cerbeyra è che per adeguare la PA al GDPR si deve poter contare su un partner affidabile, sempre presente, efficiente, che disponga di tutti gli strumenti per garantire la corretta gestione e mitigazione delle vulnerabilità, al tempo stesso rispettando le rigide norme imposte dal Regolamento europeo in tema di privacy.
Francesco Arruzzoli ce lo spiega nel dettaglio: “Andiamo a trasformare un’informazione di vulnerabilità in un’informazione di intelligence su quella vulnerabilità”. E continua: “La piattaforma è in grado di assegnare le priorità e quindi è capace di dire quali minacce vanno risolte prima di altre, ma sempre contestualizzandole rispetto all’infrastruttura dove vengono rilevate”. Una piattaforma, quindi, che si adatta al contesto, variando di conseguenza le indicazioni per sviluppare la più corretta strategia.
“Cerbeyra, nel caso del GDPR, va a soddisfare le direttive tecnologiche, in particolare l’Articolo 32, paragrafo 1, comma D”, spiega Arruzzoli. La norma, nel dettaglio, prevede la necessità di “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Una piattaforma sempre operativa
La piattaforma di Cerbeyra mette a disposizione un framework di assessment e penetration test attraverso la formula “as a service”, per garantire flessibilità e scalabilità. Una delle caratteristiche che Arruzzoli sottolinea è il fatto che si tratti di una soluzione al 100% Made in Italy.
“La piattaforma sviluppata come SaaS in cloud è nata, pensata e sviluppata all’interno del gruppo Vianova, quarto operatore nazionale di servizi avanzati per le telecomunicazioni in area business”. E chiosa: “Con data center Tier 4 operativi in Italia, a Pisa e a Massarosa”.
