Nella PA digitale, sette pubbliche amministrazioni locali su 10 rimangono a rischio cyber. Oltre la metà degli enti locali utilizza il cloud, ma senza avere una gestione codificata degli eventi di cyber sicurezza: è la fotografia delle nostre pubbliche amministrazioni scattata dal report “Pubblica amministrazione locale e Ict – anno 2022″ dell’Istat.
“Il dato non mi stupisce”, commenta Gabriele Faggioli, Presidente Clusit (Associazione Italiana per la Sicurezza Informatica) e Direttore scientifico Osservatorio Cybersecurity & Data Protection Politecnico di Milano: “Negli ultimi anni, la PA centrale ha fatto tanto in termini di consapevolezza e interventi, ma, essendo la PA locale molto frastagliata. Quindi la capacità di gestione della tecnologia cala, come quando si passa dalle grandi imprese alle piccole della Pmi”.
“Il rapporto Istat mostra una PA sempre più digitalizzata che tuttavia tarda nella gestione del rischio cibernetico”, conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Il caso Westpole sia di monito per correre ai ripari in tempo.
Indice degli argomenti
Il cloud nella PA locale
Ne servizi di cloud computing più diffusi, dominano le applicazioni software (84,8%), la posta elettronica (76,3%) e l’archiviazione di file (65,6%).
I vantaggi del cloud consistono nel progresso dei livelli di sicurezza e privacy (87,7%) e di accessibilità e usabilità dei servizi (83,5%), oltre alla semplificazione dell’aggiornamento software (79,1%).
“Ma la sfida importante di questi anni è quella di gestire l’evoluzione tecnologica, contrastando l’obsolescenza”, sottolinea Gabriele Faggioli.
PA: sempre più digitale, ma alto è il rischio cyber
Secondo il rapporto Istat, dal 2018 crescono del 20% l’implementazione delle piattaforme virtualizzate e la modalità digitale nella PA. L’86,4% delle Regioni e il 70,4% dei Comuni permette di effettuare su internet l’iter completo di almeno un servizio pubblico.
Tuttavia, la digitalizzazione non è accompagnata dalla gestione del rischio cyber. Infatti, “i continui e numerosi attacchi cui assistiamo, e soprattutto le violazioni che si sono registrate negli ultimi mesi, ne sono la riprova”, sottolinea Pierluigi Paganini.
Passa dal 34,3% del 2018 al 54,2%, l’uso del cloud da parte delle PA locali. Oltre 7 PA locali su dieci (74%) navigano con connessioni veloci (almeno 30 Mbps, Megabit per secondo), mentre raddoppia rispetto al 2018, passando dal 17,4% al 35,8%, la diffusione di quelle ultraveloci (almeno 100 Mbps).
Inoltre, il 5,1% delle PA locali (l’81,8% delle Regioni) ha effettuato investimenti in intelligenza artificiale (AI) e o analisi dei big data o ha deciso la pianificazione nel triennio 2022-2024.
Tuttavia, “il dato più desolante è rappresentato dal 70,8% delle amministrazioni locali che manca di processi codificati per gestire gli eventi di sicurezza informatica (incidenti, tentativi di attacco o allarmi di sicurezza, ndr) “, mette in guardia Paganini.
Enti locali privi di gestione codificata degli eventi di cyber sicurezza
Arrancano al 29,2% (95,5% delle Regioni) le PA locali i cui processi vantino una gestione codificata degli eventi di cyber security.
Per correre ai ripari “esistono interventi minimali, con costi quasi inesistenti, come la gestione delle patch e l’aggiornamento tecnologico”, evidenzia Gabriele Faggioli, “e poi c’è il tema di skill delle persone: gli enti locali devono trovare le competenze per trovare il supporto adatto, infine bisogna imparare a fare sistema“.
Nel triennio 2020-2022, nell’ambito della sicurezza informatica, il 79,8% degli enti locali ha comprato o aggiornato programmi di sicurezza; il 51,2% si è affidato a consulenze esterne, il 36% ha messo a punto o apportato modifiche a protocolli di difesa e/o prevenzione, il 27,2% ha scommesso sulla formazione aggiuntiva, il 2,7% ha assunto personale ad hoc, e c’è anche chi ha investito nel disaster recovery.
Il ruolo dell’Rtd nella PA digitale per scongiurare il rischio cyber
A fine 2018 circa otto enti locali su 10 erano privi di Responsabile della transizione digitale (Rtd), a fine 2022 il 72,1% aveva effettuato nomine al suo interno o in forma associata.
Nel dettaglio, il 15,1% delle PA locali ha scelto un responsabile per la sicurezza al proprio interno (54,5% delle Regioni) o in gestione associata. Invece, il 21,9% ha delegato la sicurezza Ict a un fornitore esterno di servizi (22,7% delle Regioni).
Il 27,8% dei Comuni, che aveva nominato un Rtd a fine 2022, aveva scelto il Segretario Comunale, il 23,4% figure dirigenziali dell’amministrazione e bilancio; l’86,4% delle Regioni (il 57,0% delle Province) aveva nominato un direttore dei servizi informativi (16,0% nei Comuni, 73,3% in quelli con oltre 60mila abitanti).
Tuttavia, il ruolo dell’Rtd è tecnico, dotato di competenze specifiche e tecnologiche. Infatti si occupa di tutte le attività operative e dei processi di riorganizzazione per creare un’amministrazione digitale e aperta; gli competono inoltre l’erogazione di servizi usabili e di qualità, il raggiungimento di elevati standard di efficienza, oltre al monitoraggio della cyber security.
“Ritengo che proprio le amministrazioni locali soffrano della carenza di personale esperto in materia cyber security“, evidenzia Paganini, “e soprattutto si confrontino con budget esigui da destinare alla protezione informatica delle proprie infrastrutture”.
“È auspicabile un cambio di approccio, senza il quale la maggiore penetrazione tecnologica finirà solo con l’aumentare la superficie di attacco di questi enti”, conclude Paganini.