Le gare strategie sul tema "cybersecurity"affidate a Consip S.p.A. Gli adempimenti amministrativi da adottare a cura degli enti al fine di garantire la sicurezza informatica"

Sending

Questo articolo è valutato

0 (0 votes)

Premessa

Le organizzazioni societarie e gli enti pubblici da alcuni anni stanno affrontando la questione inerente la sicurezza informatica, la quale rappresenta l’effetto della diffusione dei sistemi informatici nella collettività, come insieme di procedure tese alla protezione dei sistemi informatici in termini disponibilità, confidenzialità e integrità dei beni o asset informatici. L’approccio alla cybersecurity nello specifico è orientato a prevenire un incidente di sicurezza e a definire come comportarsi nel caso il medesimo si verifichi, attuando un processo di identificazione, protezione, rilevazione, risposta e ripristino (cfr. nelle linee guida “cybersecurity framework”). Nel recente passato si è assistito ad una rapida evoluzione della minaccia cibernetica ed in particolare per quella incombente sulla pubblica amministrazione, che è divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi. Se da un lato la pubblica amministrazione continua ad essere oggetto di attacchi dimostrativi, provenienti da soggetti spinti da motivazioni politiche ed ideologiche, sono divenuti importanti e pericolose le attività condotte da gruppi organizzati il cui obiettivo principale è la sottrazione di informazioni.

La consapevolezza dei rischi e la formazione dovrebbero evitare l’adozione di comportamenti non corretti come l’utilizzazione di versioni non adeguate di software come accade ancora in alcune aziende per limitare i costi.

L’approccio alla cybersecurity nello specifico è orientato a prevenire un incidente di sicurezza ed a definire come comportarsi nel caso il medesimo si verifichi, attuando un processo di identificazione, protezione, rilevazione, risposta e ripristino (cfr. nelle linee guida “cybersecurity framework”). Nel recente passato si è assistito ad una rapida evoluzione della minaccia cibernetica ed in particolare per quella incombente sulla pubblica amministrazione, che è divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi.

Minacce di tipo cibernetico. I provvedimenti adottati nel settore pubblico

L’obiettivo, tra l’altro, delle disposizioni che negli ultimi anni si sono adottate è stato quello di assicurare la resilienza dell’infrastruttura informatica nazionale, a fronte di eventi quali incidenti o azioni ostili che possono compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli stessi.

L’inasprirsi del quadro generale con un preoccupante aumento degli eventi cibernetici a carico della pubblica amministrazione, in particolare nell’anno 2021, sollecita tutte le amministrazioni ad intervenire secondo una tempistica definita e comunque nel più breve tempo possibile, dotandosi di standard minimi di prevenzione e reazione ad eventi cibernetici. L’Agenzia per l’Italia digitale è stata impegnata a rendere prontamente disponibili indicatori degli standard di riferimento, in linea con quelli posseduti dalle organizzazioni internazionali di cui l’Italia è parte.

L’Agenzia è costantemente impegnata nell’aggiornamento continuo della normativa tecnica relativa alla sicurezza informatica della pubblica amministrazione ed in particolare delle regole tecniche per la sicurezza informatica delle pubbliche amministrazioni la cui emanazione è però di competenza del Dipartimento per la funzione pubblica e richiede l’espletamento delle procedure previste dalla normativa comunitaria per la regolamentazione tecnica. Nei fatti le misure preventive, destinate ad impedire il successo dell’attacco, devono essere affiancate da efficaci strumenti di rilevazione, in grado di abbreviare i tempi, oggi pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte. In questo quadro diviene fondamentale la rilevazione delle anomalie operative e l’analisi delle vulnerabilità (come più volte affermato da AgiD).

Il quadro di riferimento per le PA si compone dei seguenti principali elementi:

• il Piano Triennale per l’Informatica nella Pubblica Amministrazione 2020–2022, nato per guidare operativamente la trasformazione digitale della PA e che trova nella sicurezza informatica un elemento determinante;

• il Piano Nazionale di Ripresa e Resilienza (PNRR), che identifica la “digitalizzazione, innovazione e sicurezza nella PA” come la prima delle missioni del piano con ingenti investimenti dedicati alla sicurezza cibernetica;

• il Perimetro di sicurezza nazionale cibernetica, istituito con lo scopo di assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, dal cui malfunzionamento o interruzione possa derivare un pregiudizio per la sicurezza nazionale;

• la nascita dell’Agenzia per la Cybersicurezza Nazionale (ACN), quale interlocutore unico per i soggetti pubblici e privati in tema di misure di sicurezza nazionali.

In data 16 marzo 2022 l’incontro istituzionale avvenuto tra Governo, ACN e Regioni in tema di cybersicurezza nazionale ha configurato la prossima collaborazione tra i soggetti citati nell’ambito di un sistema a rete per la cybersicurezza anche attraverso l’utilizzo di risorse del PNRR.

A seguito dell’indagine effettuata da AgiD (Censimento del patrimonio ICT delle Pubbliche Amministrazioni) per gli interventi di razionalizzazione e consolidamento dei Data Center della PA, in conformità alla circolare 1/2019, alcuni enti hanno da tempo effettuato investimenti per consentire la strutturazione e la messa in sicurezza del relativo Data Center. Si ribadisce, a tal proposito, che il PNRR prevede, tra gli altri, finanziamenti specifici per la digitalizzazione ed il rafforzamento del perimetro di sicurezza cibernetica della PA, mettendo a disposizione risorse finanziarie ai soggetti territoriali interessati dalle azioni.

Al fine del citato consolidamento della sicurezza gli enti hanno attivato, generalmente, sul piano infrastrutturale, progetti integrati finalizzati a migliorare la sicurezza cibernetica, nell’ottica di fornire servizi al territorio attraverso il potenziamento e la messa in sicurezza del proprio data center, adottando, inoltre, sul piano gestionale, una regolamentazione delle politiche di gestione della sicurezza informatica. Questo per limitare il concretizzarsi delle minacce di sicurezza e mantenere i sistemi digitali ed i dati pubblici all’interno di un perimetro di sicurezza cibernetica (conformemente a quanto stabilito dalla circolare AgiD 2/2017, le det. ACN 306/2022 relativa al modello di classificazione dati e servizi e 307/2022 relativa a ulteriori livelli minimi di sicurezza da cui discendono specifici adempimenti a carico degli enti).

Le gare strategiche di Consip

In questo contesto, assume una grande rilevanza il “security-procurement”, ossia l’acquisto da parte della PA dei beni e servizi necessari per realizzare le strategie di protezione dei propri sistemi e dati. Un compito, quest’ultimo, demandato alle centrali di committenza come Consip, che devono mettere a disposizione della PA i contratti per l’acquisizione degli strumenti di sicurezza, in un ambito strategico.

Nella fornitura di beni e servizi strategici, come quelli che riguardano la sicurezza della PA devono essere ben note provenienze, caratteristiche tecniche, certificazioni e la possibilità di impiegare beni e servizi oggetto di acquisizione anche negli snodi più delicati della PA (incluse le infrastrutture critiche).

Un tema rilevante è quello della diversificazione e sostituzione di prodotti e servizi tecnologici di sicurezza informatica, sul quale è intervenuta nell’aprile 2022 la circolare n.4336 dell’ACN che, in attuazione dell’art. 29 del Dl 21/2022, ha indicato le categorie di prodotti e servizi da diversificare tra quelli volti ad assicurare la sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) e “web application firewall” (WAF).

Consip offre un contributo in una doppia veste: quella di gestore della più grande piattaforma di e-procurement nazionale e quella di centrale di committenza nazionale, incaricata di mettere a disposizione delle pubbliche amministrazioni strumenti per l’acquisto dei beni e servizi tra cui anche quelli necessari a garantire la sicurezza di sistemi e dati. Per questo Consip ha perfezionato il modello di governance e gli strumenti di controllo e di sicurezza (fisica e informatica) della propria infrastruttura di e-procurement, che continua ad evolversi e rafforzarsi adattandosi ai cambiamenti di contesto (come dalla medesima affermato).

La rilevanza del tema sicurezza per Consip si può comprendere citando un dato emblematico: nell’ultimo quinquennio (2017-2021) oltre 73 mld/€ di spesa pubblica sono transitati sulla Piattaforma digitale di eProcurement Mef/Consip e di questi 18,9 mld/€ nel solo 2021. Una piattaforma sulla quale sono abilitati ad operare oltre 100mila “centri di spesa” della PA e oltre 83mila fornitori, che, dunque, ripongono grande fiducia nell’efficienza e nella sicurezza dei sistemi su cui interagiscono.

Consip inoltre mette a disposizione della PA strumenti di acquisto in grado di soddisfare le loro esigenze di approvvigionamento in materia di sicurezza. Consip S.p.A. in attuazione del “Piano Triennale per l’informatica nella PA 2020-2022” ha bandito e stipulato quindi gare “strategiche”, di supporto alle PA, in merito alla tematica cybersecurity, ciò in attuazione degli obiettivi stabiliti dall’Agenzia per l’Italia Digitale (AGID), la quale è volta a realizzare così un sistema di prevenzione e di risposta efficiente delle singole amministrazioni in merito alla tematica della gestione del rischio cyber.

Gli Accordi contrattuali conseguenti alle procedure Consip esperite, in ossequio all’entrata in vigore della Legge 133/2019 (Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica) e del DL 82/2021 (Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale), poi convertito nella legge 109/2021, si pongono quali misure ed azioni per l’avvio della trasformazione digitale dei servizi resi dalle Amministrazioni (in base al modello strategico evolutivo dell’informatica della P.a. ed ai principi definiti nel citato Piano Triennale).

Consip S.p.A. in attuazione del “Piano Triennale per l’informatica nella PA 2020-2022” ha bandito e stipulato gare “strategiche”, di supporto alle PA, in merito alla tematica cyber-security, ciò in attuazione degli obiettivi stabiliti dall’Agenzia per l’Italia Digitale (AGID). Gli accordi conseguenti, si pongono quali misure ed azioni per l’avvio della trasformazione digitale dei servizi resi dalle Amministrazioni (in base al modello strategico evolutivo dell’informatica della P.a. ed ai principi definiti nel citato Piano Triennale).

Con gli ultimi Accordi Quadro stipulati da Consip sono stati attivati i servizi di sicurezza da remoto, di compliance e controllo per le Pubbliche amministrazioni, al fine di mettere a disposizione un insieme articolato di servizi di sicurezza erogati “da remoto” per la protezione di infrastrutture, di applicazioni e dati.

In particolare, i servizi disponibili, ricavabili dall’accordo quadro “Servizi di sicurezza da remoto”, di cui al lotto 1, si sviluppano in sei capisaldi, finalizzati ad incrementare il livello di trasformazione digitale mediante l’utilizzo dei servizi previsti dalle Gare strategiche”:

la Security Strategy, ovvero la definizione e la predisposizione delle scelte strategiche relative al governo della sicurezza informativa, della direzione organizzativa, tecnologica e dei requisiti necessari ad assicurare i fabbisogni in materia di sicurezza IT;
il Vulnerability Assesment, metodologia che mirerebbe alla definizione di un processo ideato per identificare, classificare ed affrontare rischi e vulnerabilità della gestione del sistema informativo, secondo termini di sicurezza;
il Testing del codice, consistente nell’identificazione delle vulnerabilità dei software, nella fase iniziale di utilizzazione, in modo da permetterne l’eliminazione in maniera rapida ed efficiente, antecedentemente alla distribuzione;
il Supporto all’analisi e gestione degli incidenti, ossia l’analisi degli incidenti e la conseguente divulgazione delle informazioni nei casi di emergenza;
il Penetration Testing, finalizzato a sfruttare le vulnerabilità riscontrate in modo da qualificare il livello di sicurezza del sistema informativo;
la Compliance, che consiste in un’analisi di conformità e aderenza del sistema informativo a norme, regole, standard o policy.

La suddivisione per la citata procedura, in lotti di natura merceologica, risponde all’esigenza di diversificazione tra i servizi operativi, finalizzati alla protezione delle infrastrutture e delle informazioni afferenti ai sistemi informativi della Pubblica Amministrazione, e tra i servizi di supporto per la fase ex-ante l’approvvigionamento di beni e servizi di sicurezza e la fase ex-post di compliance e di controllo.

È previsto, con riferimento alla procedura de quo, un vincolo di partecipazione tra il Lotto 1 – Servizi di sicurezza da remoto e il Lotto 2 – Servizi di Compliance e controllo. La previsione del vincolo di partecipazione si è resa necessaria in una logica di netta separazione dei ruoli tra i soggetti che erogheranno i servizi “core” di sicurezza volti appunto alla tutela della sicurezza dei perimetri tecnologici delle infrastrutture nonché alla protezione delle informazioni della PA e quelli che erogheranno i servizi di “verifica” volti alla misura dello stato di salute della sicurezza dei sistemi informativi e di supporto della PA nella identificazione dei «fabbisogni» in ambito servizi e forniture di sicurezza ICT. (cfr. procedura Consip S.p.A.).

La procedura in argomento tra i requisiti ha considerato adeguato l’inserimento dell’ ”essere in possesso di una valutazione di conformità del proprio sistema di gestione della sicurezza delle informazioni alla/e norma/e ISO 27001 nel settore/ambito IAF 33, idonea, pertinente e proporzionata al seguente ambito di attività: progettazione, realizzazione ed erogazione di servizi di sicurezza gestiti ed essere in possesso di una valutazione di conformità del proprio sistema di gestione della qualità alla norma UNI EN ISO 9001:2015 nel settore/ambito IAF 33, idonea, pertinente e proporzionata al seguente oggetto “progettazione, realizzazione ed erogazione di servizi di sicurezza gestiti” “.

Un ulteriore elemento di interesse per gli enti: la formazione dei dipendenti su tematiche di cyber security tramite le gare strategiche Consip. Le polizze assicurative

Premesse le azioni per la sicurezza dei sistemi e delle reti telematiche anche con l’adozione di standard di riferimento per gli enti, la formazione è uno degli aspetti fondamentali per sensibilizzare il personale delle PA sulle tematiche inerenti la sicurezza delle informazioni ed evitare che comportamenti non adeguati dei singoli soggetti possano compromettere la sicurezza dell’intero sistema.

La sicurezza non deve essere soltanto una caratteristica intrinseca dei prodotti tecnologici che sono utilizzati, ma anche rappresentare una serie di conoscenze e accorgimenti da adottare quotidianamente al fine di garantire la consapevolezza di ogni dipendente (e privato cittadino) e la relativa capacità di riconoscere le minacce potenziali, adottando comportamenti corretti per rafforzare il livello di sicurezza dell’organizzazione.

La formazione è finalizzata a migliorare le capacità di reazione e risposta dei dipendenti agli attacchi informatici, rafforzando le capacità di protezione e i livelli di sicurezza, tenuto conto che gli attacchi rivolti ai dipendenti, considerati spesso l’”anello debole” della sicurezza aziendale, sono aumentati notevolmente. I dipendenti devono essere in grado di reagire correttamente e tempestivamente in caso di reali minacce informatiche. Le procedure di gara ed i relativi accordi stipulati da Consip sono finalizzati a realizzare tale finalità, nella consapevolezza dell’importanza della formazione di tutti coloro che operano per conto delle Amministrazioni pubbliche.

In considerazione dell’importanza che riveste ormai la sicurezza informatica anche in termini di responsabilità, si evidenzia che sono presenti sul mercato polizze assicurative rivolte a coprire i rischi conseguenti alla violazione del sistema informatico di un’organizzazione. Le polizze in discorso rappresentano una responsabilità civile in caso di richieste risarcitorie e crediti di terzi legati alla criminalità informatica; la copertura di costi che l’ente/azienda deve sostenere a seguito di attacchi informatici per ripristinare i dati o per porre rimedio a furti, estorsioni informatiche ecc… Le polizze vanno a garantire i danni economici derivanti dalla perdita di denaro provocata da un fatto fraudolento di terzi, che creano attacchi informatici con l’intento di un trasferimento illecito di fondi e/o dati.

Tali polizze coprono i danni immateriali (ad esempio la perdita di dati da virus), diretti e indiretti (come l’interruzione di un servizio pubblico, i costi di recupero in conseguenza di un incidente relativo alla perdita di dati) e le Responsabilità Civili verso terzi (fornitori, clienti, etc.) dei quali l’ente/azienda detiene informazioni sensibili, critiche, commerciali, che costituiscono proprietà intellettuale o personale, “protette” ai termini delle relative leggi. La copertura assicurativa garantisce l’ente di poter rimanere, per quanto possibile, indenne nel caso in cui dati personali o dati aziendali vadano persi o vengano pubblicati, prevedendo anche l’assunzione di spese processuali e di difesa.

Sending