Investita dal Piano Nazionale di Ripresa e Resilienza (PNRR) di un ruolo centrale per il rilancio della competitività del Paese, negli ultimi due anni la Pubblica Amministrazione locale ha intrapreso un percorso di digitalizzazione scandito da un ritmo incalzante e ambiziosi traguardi da raggiungere.
Un percorso che ha come fine ultimo la costruzione di una PA moderna, più vicina ai cittadini e alle imprese, che metta davvero al centro le loro esigenze. Tra i passi individuati per raggiungere questo scopo, uno dei più centrali è la migrazione al cloud.
All’interno della misura 1.2 del PNRR, infatti, il principio del cloud first per la PA – già introdotto dal Piano Triennale – diventa obiettivo e opportunità, con un investimento previsto di un miliardo di euro per sostenere la migrazione verso ambienti cloud qualificati di quasi 16.500 enti fra locali, sanitari e scolastici.
In questo scenario, emerge chiaramente come la sicurezza sia uno degli aspetti più cruciali della trasformazione digitale: un aspetto che, in un momento storico in cui gli attacchi informatici alle istituzioni sono in continua crescita, non può essere dare per scontato.
Sebbene il cloud rappresenti un’alternativa più sicura delle soluzioni on premise, installate cioè in locale, questo non significa infatti che sia esente da minacce e vulnerabilità.
Indice degli argomenti
La PA al centro del mirino
Nel 2022 si è registrato il più alto numero di sempre di attacchi informatici e un aumento della loro gravità, evidenzia il Rapporto Clusit 2023. E proprio il settore governativo e quello della sanità sono tra i principali bersagli, con una percentuale che supera il 24% del totale.
Ad essere vittima dei cyberattacchi, però, non sono soltanto le grandi istituzioni. Sebbene, ripensando al 2022, vengano subito alla mente episodi come il colpo subìto dalla rete di Ferrovie dello Stato, che ha causato disservizi e ritardi in tutto il Paese, anche gli Enti locali sono entrati più volte nel mirino di operazioni malevole.
La sicurezza delle infrastrutture tecnologiche e dei sistemi informatici della PA è quindi oggi un obiettivo prioritario, a cui puntano le più recenti evoluzioni del quadro normativo.
Un nuovo paradigma per garantire la sicurezza del cloud
Già prima della nascita dell’Agenzia per la Cybersicurezza Nazionale (ACN), istituita nel 2021, l’Agenzia per l’Italia Digitale (AgID) aveva emanato le misure minime di sicurezza ICT per le pubbliche amministrazioni, contenute nella prima edizione del Piano Triennale per l’informatica nella PA.
Inoltre, nel 2018, aveva introdotto i “Criteri per la qualificazione dei Cloud Service Provider per la PA” e i “Criteri per la qualificazione di servizi SaaS per il Cloud della PA”, con cui aveva indirizzato chiaramente le scelte e gli investimenti dei fornitori della Pubblica Amministrazione, prevedendo il rispetto di specifici requisiti di sicurezza ai fini della qualificazione.
Con la Strategia Cloud Italia, però, il paradigma è cambiato. La normativa diventa più puntuale, dettagliata e tecnica, tanto da impattare inevitabilmente e in modo significativo sulle infrastrutture e gli strumenti tecnologici già in uso presso gli enti pubblici.
Realizzata dal Dipartimento per la Trasformazione Digitale e dall’ACN, la strategia prevede, tra le altre cose, un nuovo percorso di qualificazione dei fornitori di Cloud pubblico e di servizi Software as a Service (SaaS), al via dal primo agosto 2023, sulla base di criteri di verifica aggiornati per garantire che le caratteristiche e i livelli di servizio dichiarati siano in linea con i requisiti necessari di sicurezza, affidabilità e rispetto delle normative.
Per i fornitori di servizi SaaS si è quindi aperta una fase di riflessione su come affrontare al meglio questo percorso.
Attendere l’estate 2023 e le linee guida per la nuova qualificazione, per poi adeguare velocemente i software, o riconoscere la validità del disegno tracciato dalla Strategia Cloud Italia e dall’ACN, lavorando fin da subito in quella direzione per rafforzare ulteriormente le proprie soluzioni?
La risposta a questa domanda dipende da come viene considerato il tema della sicurezza: un puro adempimento normativo, o una necessità primaria, a cui rispondere non solo attraverso un’evoluzione tecnologica, ma anche attraverso un approccio più ampio, che riguarda tutto il modo di lavorare di un’azienda?
Cloud e sicurezza: andare oltre l’adempimento normativo
Come suggerisce la parola stessa, il Software as a Service è un software ma soprattutto un servizio, e uno degli aspetti più vantaggiosi di questo modello per un Ente locale è proprio quello di delegare al proprio partner tecnologico i costi e la responsabilità legati alla gestione e alla manutenzione dell’infrastruttura, dal punto di vista del suo aggiornamento e della sua sicurezza.
Questo significa che i Comuni non devono fare nulla per proteggere i propri sistemi? Certamente no. Questo significa che la scelta del fornitore per la migrazione al cloud è una questione di fiducia? Non soltanto, ma in parte sì.
La qualificazione AgID, quella futura al vaglio di ACN, e più in generale la normativa, hanno lo scopo di definire i requisiti e gli standard che ogni azienda deve rispettare per poter collaborare con la PA.
Tuttavia, la sicurezza informatica non può essere ridotta ad una mera questione di conformità alla legge. È anche intrinseca nel modo di lavorare di un’organizzazione, nel modo in cui questa si approccia all’innovazione e all’evoluzione normativa, percependola come uno stimolo per potenziare e migliorare le soluzioni che mette a disposizione dei propri clienti: è anche da questi aspetti che può nascere la fiducia di cui stiamo parlando.
Che cosa significa avere un SaaS sicuro
La sicurezza di un Software as a Service è il risultato di una strategia ampia e sistemica, capace di indirizzare i molteplici aspetti che contribuiscono alla sua protezione.
Innanzitutto, un SaaS, per essere sicuro, deve essere protetto dagli attacchi informatici. Non esiste però un’unica soluzione in grado di assicurarne la protezione: essa è frutto di un approccio fondato su conoscenza, strumenti, competenze, monitoraggio.
Un SaaS basato esclusivamente su servizi di tipo Platform as a Service (PaaS), per esempio, offre diverse garanzie, tra cui l’assenza di macchine fisicamente attaccabili e l’accesso, senza disservizi, alle ultime versioni dei software di sistema con i fix gestiti dal Cloud Service Provider (CSP).
La verifica regolare delle vulnerabilità, l’autenticazione multi-fattore e la possibilità di integrare sistemi terzi di accesso sono altri importanti elementi che concorrono nel potenziare la sicurezza dal punto di vista informatico.
Anche se la difesa dai cyber attacchi è un aspetto di assoluta rilevanza, la sicurezza di un Software as a Service deve però andare oltre: significa protezione dei dati e trattamento conforme al GDPR, continuità del servizio, anche in caso di incidenti o disastri, e pieno controllo sulle operazioni effettuate.
I Comuni custodiscono un’enorme mole di informazioni, spesso sensibili, relative al territorio, ai cittadini e ai servizi: un patrimonio di grande valore, che sta alla base dell’attività amministrativa.
Questo vasto capitale di dati, di cui – vale la pena sottolinearlo – gli Enti restano titolari anche dopo la migrazione in SaaS, è proprio è uno degli aspetti più importanti da tutelare, sotto molti punti di vista: dalla sicurezza del database e dello storage che lo ospita, alla accessibilità attraverso apposite API di integrazione, fino alla privacy e alla protezione dalla sua perdita.
Per questo motivo la conformità al GDPR è fondamentale, non solo per l’utilizzo del software, ma anche nel suo sviluppo.
Cruciali sono, inoltre, il controllo degli accessi e delle operazioni effettuate e l’introduzione di sistemi di back up nativi e di funzioni di disaster recovery, che liberano gli Enti dalla preoccupazione di perdere dati o di subire interruzioni del servizio grazie alla possibilità di ripristinare l’operatività anche in situazioni di emergenza.
Infine, uno dei principali vantaggi dati dal cloud è la continuità operativa, garantita sia dalla disponibilità del servizio, che deve essere certificata tramite appositi Service Level Agreement (SLA), sia dalla sua scalabilità. Per aumentare la capacità di storage, infatti, il cloud non obbliga all’installazione di un nuovo hardware di archiviazione presso l’Ente, ma prevede solo un aumento del canone in base al carico richiesto.
Una visione di lungo periodo
Ora che la massiccia migrazione al cloud è in corso, i Comuni devono fare scelte consapevoli dal punto di vista della sicurezza, verificando l’aderenza alla normativa delle soluzioni scelte, che deve essere dimostrabile, e valutando l’affidabilità del proprio partner tecnologico anche in base al suo modo di porsi verso l’evoluzione del mercato.
