PA, in Gazzetta le misure minime di cyber security

Passo in avanti per la ‘strategia’ di sicurezza cibernetica della Pubblica Amministrazione italiana, diventata legge. In Gazzetta Ufficiale sono state infatti pubblicate le “Misure minime per la sicurezza Ict delle pubbliche amministrazioni”, preparate dall’Agenzia per l’Italia Digitale (Agid) l’autunno passato.

“Si tratta a tutti gli effetti”, spiega a Cyber Affairs Corrado Giustozzi, esperto di sicurezza cibernetica presso l’Agid per lo sviluppo del Cert della Pubblica Amministrazione e membro del Permanent Stakeholders’ Group dell’Agenzia dell’Ue per la Sicurezza delle Reti e delle Informazioni (Enisa), “di una strategia di innalzamento della cyber security della PA, che risponde a precisi incarichi governativi”.

Il riferimento è all’attuazione della direttiva del 1 agosto 2015 del Presidente del Consiglio dei Ministri, mirata a incrementare e rafforzare la sicurezza cibernetica italiana, vista la crescita esponenziale della minaccia.

“Quella direttiva”, prosegue l’esperto, “dava all’Agid il compito di sviluppare e rendere disponibili degli indicatori degli standard di riferimento che potessero dare alle oltre 20mila pubbliche amministrazioni del Paese la possibilità di soddisfare dei livelli minimi di prevenzione e risposta ad eventi cibernetici”.

“Per rispondere a questo mandato, Agid”, aggiunge Giustozzi, “ha predisposto diversi documenti. Le misure minime, uscite per prime per dare un riferimento alla PA e per non tardare oltre nella definizione e l’attuazione di azioni concrete, sono state immaginate come una sorta di ‘check list’, da usare anche per fare un’auto valutazione. Sono suddivise su tre livelli: base, standard e avanzate. Il livello Base è il minimo indispensabile da adottare Il livello standard è quello che ci si aspetta dalla maggior parte delle PA. Infine, quello avanzato è obbligatorio per le PA che maneggiano dati e sistemi particolarmente sensibili, ma può essere anche interpretato come un obiettivo a cui tendere. Si ispirano alle SANS 20, ma costituiscono un lavoro indipendente adattato alla realtà italiana. Inoltre è stato fatto un rimando al Framework nazionale per la Cyber security, utile per dare un elemento da cui partire a quelle PA che già lo stanno implementando. Inoltre va ricordato che queste misure, che dovranno essere implementate obbligatoriamente entro il 31 dicembre 2017, arrivano assieme ad altre iniziative di natura europea come la Direttiva Nis e il Regolamento Privacy, o al nuovo Dpcm Gentiloni che semplifica e razionalizza la catena di comando. Dopo le misure minime”, dice ancora l’esperto, “Agid produrrà altri due documenti: le linee guida per la sicurezza della PA e le regole tecniche”.

Le misure minime, si legge nel testo, prevedono che le PA usufruiscano in modo sistematico di servizi di allertamento – forniti dal Cert-PA a tutti gli enti accreditati – per essere al corrente delle nuove vulnerabilità.

“I passi compiere”, rimarca Giustozzi, “sono messi nero su bianco nell’allegato 1 del documento, che fornisce alle PA dei criteri guida per comprendere se il livello di protezione offerto da un’infrastruttura risponde alle esigenze operative e individua anche gli interventi giusti per il suo adeguamento. Questa serie di criteri operativi dovrà essere attuata dal responsabile dei sistemi informativi o, in sua mancanza, dal dirigente designato. Ogni amministrazione produrrà dunque un modulo che dovrà essere tenuto da parte e, in caso di incidente cyber, trasmesso al Cert-PA assieme alla segnalazione dell’accaduto. A livello più operativo”, conclude l’esperto, le PA dovranno fare un inventario dei dispositivi autorizzati all’uso; un altro inventario dei software autorizzati e non; proteggere adeguatamente le configurazioni hardware e software sui dispositivi mobili, laptop, workstation e server; essere in grado di valutare e correggere le vulnerabilità riscontrate; mettere in atto una policy appropriata dei privilegi di amministratore assegnando credenziali differenziate all’interno delle diverse strutture; mettere in atto difese adeguate contro i malware e infine realizzare una copia di sicurezza dei dati e proteggere i dati conservati al loro interno”.

(fonte: Cyber Affairs)