La PA digitale e sicura: esperienze a confronto tra nuovi servizi digitali e modelli di cybersecurity emergenti

I processi di digitalizzazione della Pubblica Amministrazione Centrale e Locale sono al centro delle diverse linee di finanziamento previste dal PNRR. L’aggiudicazione della gara per il Polo Strategico Nazionale ovvero progettazione, realizzazione e gestione dell’infrastruttura per l’erogazione dei servizi cloud per la PA, ha testimoniato come l’accelerazione al digitale, dovuta anche alla recente pandemia, stia determinando nuove condizioni per la migrazione al cloud i tutti gli enti pubblici e il rafforzamento dei data center pubblici. Inoltre, l’emergenza pandemica ha costretto a un ripensamento non soltanto dell’organizzazione del lavoro per i pubblici dipendenti ma anche della fruizione dei servizi da parte dei cittadini. Smart Working, Spid, Pago PA, App IO, sono entrati nel linguaggio e nell’utilizzo quotidiano di ampi settori della popolazione. La moltiplicazione dei servizi digitali e dei device utilizzati richiedono soluzioni performanti in ambito di Cyber Security in quanto la gestione dei dati sensibili per la PA è una priorità alla quale bisogna sempre garantire la massima sicurezza.

Proprio quello della sicurezza è un tema estremamente importante, ma di difficile soluzione perché oggi non esiste una soluzione tecnologica che possa garantire la sicurezza al 100%. La ricerca della sicurezza è di conseguenza un processo continuo, che influisce sui processi lavorativi delle Pubbliche Amministrazioni.

Per far luce sul tema della sicurezza nelle Pubbliche Amministrazioni e mettere a confronto le esperienze, la rivista Innovazione PA, insieme a Fortinet e Innovery, ha organizzato a Bergamo, presso l’innovation district Kilometro Rosso, una tavola rotonda dal titolo “La Pubblica Amministrazione digitale e sicura: esperienze a confronto tra nuovi servizi digitali e modelli di cybersecurity emergenti“. L’incontro, moderato da Valerio Imperatori, direttore editoriale di Innovazione PA, ha visto la presenza di sindaci di Comuni di media grandezza e di altri esponenti della PA, alcuni provenienti dal mondo universitario e da altri enti.

L’obiettivo è stato quello di favorire la discussione e il confronto, per far emergere indicazioni utili a chi oggi, all’interno della PA, sta pianificando o si sta occupando della messa in sicurezza e della protezione dei servizi digitali.

Queste sono le domande che hanno fatto da spunto al dibattito:

1) Com’è cambiata e sta cambiando la percezione della security nella vostra realtà?
2) Per dare connessione sicura a chi è connesso da remoto sono utilizzati tipicamente due differenti modalità: accesso a tutto o accesso a niente. Oggi, grazie all’approccio Zero Trust, è possibile la risposta per realizzare una rete privata virtuale (VPN) dove gli utenti connessi da remoto non hanno accesso all’intera porzione di una rete, si concede, invece, la connessione solo per le applicazioni che devono usare. In questo senso cosa stanno facendo le vostre organizzazioni?
3) Il cloud e sta spingendo sempre più gli applicativi e i dati al di fuori del proprio data center. Come state affrontando la sicurezza sul cloud? E il tema della responsabilità condivisa?

Andrea Orlandi,
sindaco di Rho

Il 1 aprile 2021 – ero ancora vice sindaco – contemporaneamente al Comune di Brescia e all’agenda elettronica del ministero dell’Istruzione, abbiamo subito un attacco hacker di tipo ransomware che ha messo KO i sistemi. Quella data ha cambiato completamente il nostro approccio alla sicurezza.

L’attacco, in realtà, è stato abbastanza circoscritto; non abbiamo perso molto, anche a livello di servizi. Lo sportello al cittadino, chiuso venerdì 1 aprile, il lunedì successivo è stato subito riaperto. Di conseguenza l’impatto sui servizi per i cittadini è stato abbastanza contenuto. Abbiamo perso, invece, una parte di documenti digitalizzati relativi a pratiche edilizie cartacee. Ci era stato chiesto un riscatto in bitcoin dal valore di 420 mila euro, passato, in seguito a 650 mila, che ovviamente non abbiamo pagato. Questo avvenimento, tuttavia, ci è servito da lezione. Abbiamo capito che dovevamo rivedere la cultura organizzativa. Ci siamo resi conto che il problema era partito da un nostro dipendente che aveva risposto a una particolare e-mail.

Agire sulla cultura organizzativa è anche un’opportunità. Stanno entrando a lavorare in Comune nuovi assunti, molti dei quali molto giovani. La presenza di nativi digitali può essere un vantaggio, perché dispongono di una cultura all’uso di strumenti informatici sorta in modo naturale. Stiamo però investendo anche su un percorso di formazione per tutto il personale. Per esempio, senza dire nulla, abbiamo fatto sei campagne interne con i nostri dipendenti, inviando, dal nostro CED, finte e-mail di phishing, per comprendere se avevano capito. I risultati sono stati positivi, influenzati anche dall’avvenimento, che ha portato le persone a prestare maggiore attenzione.

La seconda eredità, che l’attacco ci ha lasciato, è stata il bisogno di rivedere la gestione delle risorse economiche e l’individuazione delle priorità.

La terza e ultima eredità è stata la necessità di investire su strumenti di difesa più efficaci, su migliori antivirus, su sistemi di firewall più evoluti. A volte mancano le competenze per valutare quale sia lo strumento migliore da usare in rapporto alle nostre necessità.

A livello tecnologico, di CED, disponiamo di due persone interne, per il resto ci appoggiamo esternamente. Abbiamo avuto la fortuna di avere un dipendente, con precedenti esperienze nel settore, che ha messo a disposizione le proprie competenze.

Il tema cybersecurity è un pezzo di patrimonio pubblico, di solito non trattato in campagna elettorale, che ha grande valore e deve essere riconosciuto anche a livello politico.

A volte, tuttavia, in materia di sicurezza, esistono vincoli che imbrigliano l’attività della Pubblica Amministrazione. Per esempio individuare la corrispondenza tra situazioni di morosità riscontrate nella mensa scolastica rispetto alla situazione reddituale e patrimoniale, per capire se quanti non pagano sono in difficoltà o sono solo persone “furbe”, non è facile, perchè esistono norme stringenti sui dati da scaricare.

Michela Palestra,
sindaca di Arese

Nel settore della sicurezza, il comune di Arese (Mi) non ha professionalità interne, risulta difficile mantenere un livello di professionalità elevata in tutti i campi. Cerchiamo, però, di elaborare una visione strategica internamente. Puntiamo anche sull’innovazione e sulla formazione delle persone, spesso impegnate in molte attività. Nel comune di Arese, per esempio, la responsabile finanziaria è anche responsabile dell’innovazione; ha molti impegni e adempimenti burocratici da svolgere. Perché tutto funzioni è necessaria una visione strategica competente che indirizzi le diverse attività.

Sul versante tecnologico, inoltre, un problema è la presenza di tanti applicativi non interoperabili tra loro. La mancanza di interoperabilità non è solo una criticità che si rileva nella relazione tra Comuni ed enti amministrativi differenti, è un problema che si avverte tra gli uffici di uno stesso Comune.

A volte è anche difficile modificare le abitudini delle persone abituate a un certo modo di lavorare, che talvolta faticano a cambiare il loro comportamento anche quando il mutamento porterebbe vantaggi nel loro lavoro e per tutti.

Il PNRR in termini di tecnologie, può essere un’opportunità, ma manca la possibilità di investire seriamente e in maniera strutturale. Abbiamo fatto un progetto pilota sulla polizia locale e su altri servizi, quali quello scolastico. Investimenti di questo tipo consentono un’accessibilità più attenta ai servizi e permettono di interfacciarsi con semplicità. Anche in questo caso abbiamo dovuto affrontare il problema dell’interoperabilità.

Accanto a quello delle tecnologie, in Comuni dalle dimensioni simili a quello di Arese, c’è anche il grande problema della riduzione del personale. Diventa difficile riuscire a fare investimenti che portino a un rafforzamento delle competenze all’interno con una visione strategica strutturata.

Anche se stiamo introducendo professionisti più giovani, la percezione su cosa significhi investire in sicurezza, sull’informazione e sull’informatizzazione è qualcosa di non scontato su cui lavorare, modificando la cultura della pubblica amministrazione.

Il Comune di Arese aveva già lavorato sullo smart working, aveva già un regolamento, una VPN e la possibilità di lavorare da remoto. Essendo parte di Milano Città Metropolitana, possiano appoggiarci su un sistema di 3800 km di fibra, nato per essere messo a disposizione nelle scuole superiori, che sono di diretta competenza della città metropolitana e che ha un valore di circa 800 milioni di euro. Molto spesso, però, le sperimentazioni proposte a livello tecnologico sono dirette ai Comuni di fascia media e non a quelli di fascia più ridotta, come Arese, che ha meno di 20 mila abitanti. Sarebbero opportune attività indirizzate anche ai comuni più piccoli, che spesso non sono in grado di attrezzarsi da soli e rischiano di ritrovarsi con un livello di servizi e di informatizzazione inferiore a quello richiesto dalle normative.

Davide Galimberti,
sindaco di Varese

Riflettendo, in vista dell’incontro di oggi, mi sono chiesto se le Pubbliche Amministrazioni abbiano la cultura necessaria per svoltare rispetto alle sfide derivate dalla digitalizzazione.

Quotidianamente, Comuni e Province sono impegnati a realizzare rotatorie, infrastrutture, impianti sportivi. Oggi, anche influenzati da potenziali conseguenze derivate dalla guerra tra Russia e Ucraina, è aumentata la sensibilità in ambito digital & cyber security, ma non mi sembra ci sia la forte volontà di investire in risorse, tempo, professionalità per realizzare interventi in quest’area.

Penso che dovendo scegliere tra investire sulla realizzazione di un campo di calcio, sulla manutenzione di un marciapiede o sulla digital & cyber security, tutti lascerebbero gli investimenti in tecnologie e sicurezza Ict all’ultimo posto. Serve, quindi, una maggiore consapevolezza e condivisione di tematiche, anche tra i cittadini.

Il problema digitalizzazione e sicurezza non riguarda però solo i Comuni. In ambito sanitario, per esempio, si parla molto di digitalizzazione, ma spesso mancano le competenze. Come Sistema Paese, stiamo facendo forti investimenti per cambiare le modalità di gestione della Sanità, ma il rischio è che manchino le figure professionali che aiuteranno i medici ad affrontare il cambiamento.

In rapporto al PNRR, non solo servono le risorse, bisogna valutare come applicarle.

Dal punto di vista tecnologico, dei sistemi, dei processi, c’è stata una profonda innovazione nei Comuni, ma deve essere fatto ancora molto per usare pienamente i dati di cui le Pubbliche Amministrazioni sono in possesso. C’è però ancora molto da fare a livello di interoperabilità.

Per esempio, tutti i Comuni hanno la necessità di riscuotere multe, tariffe legate a servizi scolastici e di altro genere. Se i sistemi informatici non sono adeguatamente coordinati tra loro, possono esserci rischi per i cittadini. Se una persona che deve pagare 100 euro di multa riceve in seguito analoghe comunicazioni da altri settori ed è invitato a pagare erroneamente 100 euro di multa legata a TARI o IMU, significa che il sistema è inefficace. Utile sarebbe invece disporre di un unico sistema in grado di intercettare tutti i debiti dei cittadini in modo corretto.

Il tema della gestione dei dati non può essere dissociato dalla sicurezza. Anche grazie alla spinta del PNRR, la digitalizzazione aumenterà e nei prossimi anni le PA dovranno gestire una serie di ulteriori dati sensibili (per esempio per dare più supporto a persone con problemi di salute), che dovranno essere protetti.

Molto è cambiato, a tutti livelli. Come parecchi Comuni, abbiamo informatizzato l’area dell’edilizia e dei lavori pubblici. Oggi l’incontro con un tecnico dell’ufficio edilizio o con un professionista esterno per fare un intervento di riqualificazione, può avvenire in videoconferenza. La sfida, nei prossimi anni, sarà anche individuare nuove professionalità che potranno supportare il Comune a livello tecnologico. Per essere competitivi e utilizzare bene gli investimenti del PNRR servono formazione e aggiornamento costanti.

Giacomo Angeloni,
assessore del Comune di Bergamo
e presidente di Bergamo Smart City

Nel 2014 erano 16 i sistemisti assunti per un Comune di Bergamo, una realtà che ha 121 mila abitanti. Oggi lo scenario è cambiato; il cloud computing ci sta facilitando e un CED all’interno del Comune è diventato superfluo. Già tra il 1990 e il 2015 abbiamo usato l’informatica, adesso servono persone che lavorino soprattutto sugli applicativi, che li valorizzino entro il contesto di servizi ai cittadini. Quando ci si renderà conto che tutto questo è utile e che le città e la province in ogni territorio devono far fronte comune su queste tematiche, forse saremo in ritardo. Credo che sia impensabile che il Comune di Bergamo abbia il proprio servizio di innovazione con un proprio ingegnere o specialista nel settore e che la provincia o altri enti abbiano una propria figura analoga. Sono cambiate le competenze e forse bisogna provare a condividere le risorse.

Rispetto a otto anni fa circa, la situazione è mutata e servono competenze differenti in rapporto alla gestione di un servizio. Solo otto anni fa, per fare un esempio, i comuni erano i detentori dell’anagrafe. Adesso non lo sono più perché è stata istutuita l’ANPR, l’Anagrafe Nazionale della Popolazione Residente, banca dati nazionale nella quale sono confluite le anagrafi comunali. È una grande innovazione: i dati devono essere protetti, ma non è un problema dei Comuni. Fino a pochi anni fa, il primo venerdì del mese, facevamo il backup dei registri e portavamo in banca le bobine con i dati che contenevano. Oggi non è più necessario.

Fare un confronto tra come eravamo e come siamo diventati non è facile. Secondo me è un esercizio che un amministratore deve provare a fare quotidianamente perché lo aiuta a rendersi conto che alla fine non ha buttato via il proprio tempo. Rispetto al 2014 abbiamo fatto passi da gigante enormi. A quei tempi il sistema di posta elettronica utilizzato non era aggiornato all’ultima versione e non avevamo nemmeno l’applicazione per gli smartphone, ritenuta insicura. Da questa situazione siamo passati, tra il 2016 e il 2017, ad avere la VPN (Virtual Private Network) e ci siamo totalmente spostati sul cloud. Tutto questo ha costituito un salto notevole per i nostri dipendenti.

Se non avessimo attivato tra il 2016 e il 2017 la VPN, durante il periodo Covid non avremmo potuto fare nulla. Senza la tecnologia i dipendenti non avrebbero potuto accedere alla posta elettronica del Comune; abbiamo fatto passi da gigante in un contesto complicato rispetto alla tipologia di richiesta e alla mancanza di cultura informatica negli enti pubblici.

Il PNRR è un’occasione unica; il tema importante è come innovazione e sicurezza informatica possano essere valorizzati sulle risorse disponibili. Un punto debole del PNRR è che non prevede agevolazioni sulle assunzioni. Inoltre non possiamo aumentare la quota massima di dipendenti dell’ente, che resta invariata rispetto al passato.

Un obiettivo strategico del PNRR è rimettere in linea un’Italia che, sui temi informatici, procede a due velocità. La collaborazione tra Comuni può essere una risposta vincente.

Alberto Rossi,
sindaco di Seregno

Seregno è una città con poco più di 45 mila abitanti, è la seconda città della propria provincia dopo Monza, il capoluogo. I Comuni delle nostre dimensioni sono un po’ particolari, perchè a metà tra la città e il grande paese, con l’aspirazione a servizi da città ma con dinamiche, a volte, da realtà più piccola. In un mondo che, dal punto di vista tecnologico, muta velocemente, anche il settore pubblico deve adeguarsi al cambiamento.

Sono d’accordo sulla necessità di trovare l’equilibrio tra esternalizzazione e internalizzazione. Lasciarsi prendere dallo sconforto e bloccare tutto non è la giusta soluzione; piuttosto è strategico aggiornare le persone che hanno lavorato per anni, in un Comune, sempre allo stesso modo e a un certo punto devono adeguarsi a molte trasformazioni burocratiche, normative, eccetera, mai incontrate in precedenza. Questi cambiamenti non riguardano solo il personale tecnico, coinvolgono tutti. Importante è vincere le abitudini nemiche dell’innovazione, come il “si è sempre fatto così” e il “non è compito mio”.

Un aspetto fondamentale, per evolvere davvero, è puntare sulla formazione. Prima di lavorare sui contenuti e sulle competenze, determinante è agire sui comportamenti, perchè a volte, pur con le migliori tecnologie a disposizione, un errore umano può creare problemi.

Necessario è fare cultura, per aiutare le persone a capire che, grazie alle innovazioni, lavoreranno meglio. Importante è anche sensibilizzare sul tema della sicurezza per contrastare potenziali attacchi hacker. Iniziative volte a favorire gli enti locali permettendo assunzioni di valore, potrebbero essere utili. Il Comune di Seregno, per fare un esempio, ha un saldo a quota +30 dall’inizio del mio mandato, ma ha anche 120 dipendenti in meno rispetto a venti anni fa. Nel frattempo sono aumentati gli abitanti del Comune, è cresciuta la burocrazia e pur disponendo di personale competente in termini di progettualità, non si riescono a portare avanti molti progetti per volta.

Difficile è anche assumere nuove persone con competenze tecniche, perché in genere preferiscono aziende private disposte a pagare di più.

La pandemia ci ha fatto capire che, dal punto di vista delle innovazioni tecnologiche, i Comuni non erano pronti. Questa circostanza, però, si è rivelata anche come un’occasione di accelerazione importante, in particolare in rapporto alla valorizzazione del cloud.

Aumentano le capacità digitali dei cittadini, che hanno la possibilità di sfruttare al meglio i nuovi servizi digitali pubblici. In questo modo i cittadini possono partecipare in modo competente ai processi politici, sociali, culturali ed economici e valutare le conseguenze delle proprie azioni per la creazione di una società digitale e democratica.

Churchill diceva che la democrazia è il peggior sistema possibile esclusi tutti gli altri; allo stesso modo direi che il cloud è il peggior sistema per la sicurezza, esclusi tutti gli altri, ma far passare questo concetto non è scontato.

Credo che la collaborazione tra Comuni, anche nella stessa provincia, sia fondamentale per creare valore aggiunto; se ci fosse un ente di supervisione, con competenze di tipo aggregativo sarebbe molto utile.

L’automazione e l’innovazione stanno trasformando il mondo del lavoro, contribuendo alla creazione di nuovi lavori che richiedono nuove competenze e aggiornamento continuo. Percorsi di formazione verso gli studenti ma anche formazione continua e reskilling dei lavoratori, così come forme di tutela dei lavoratori impegnati nelle nuove tipologie di lavoro, permettono di sviluppare le competenze necessarie per far fronte ai lavoratori del futuro.

Come Comune stiamo promuovendo la formazione in area tecnologica non solo internamente, ma anche all’esterno, per supportare il mondo delle imprese. In tal senso, a Seregno abbiamo aperto di recente, insieme a Fondazione Rizzoli, un ITS per formare specialisti sul cloud e sulla cyber security.

Michela Pilot,
direttore generale, Università di Bergamo

Sono stata nominata direttore generale dell’Università degli Studi di Bergamo dal 1° marzo 2020, a inizio lockdown. Il primo atto che ho firmato è stato quello di chiusura dell’Università e attivazione del lavoro a distanza. Il personale non disponeva di mezzi adatti per lavorare da casa propria. Inoltre lo strumento per collegarsi ai dati, agli archivi dell’Università era abbastanza obsoleto. E’ stato quindi necessario avviare procedure d’acquisto per dotazioni informatiche adeguate, scontrandosi con le difficoltà del lockdown (scarsità dell’offerta e difficoltà negli spostamenti).

Ma il personale amministrativo non era il solo a lavorare da remoto; tramite la creazione di comunità didattiche e digitali e l’uso di piattaforme specifiche abbiamo convertito la didattica con lezioni a distanza garantendo tutte le attività in programma.

Il principale tema di attenzione era la sicurezza rispetto al trattamento dei dati e quindi il rispetto del GDPR, con tutte le difficoltà che questo comporta.

Spesso non è possibile assecondare le richieste di stakeholders interni o esterni rispetto alla gestione di dati (per esempio mailing list di ex studenti, info di studenti) anche se a solo fine di studio e ricerca; non sempre riusciamo a far capire che il diniego rispetto a certe richieste non è mancanza di volontà ma il rispetto di una norma. A volte è solo questione di buon senso, ma è importante interrogarsi sempre prima di dare una risposta, qualunque essa sia.

La security non è un compito solo di tecnici e informatici, ma implica logiche organizzative diffuse per essere efficaci. Spesso, mancano le competenze. Nella PA assumiamo personale per attività specifiche, ma a tutti servono competenze trasversali, da acquisire grazie a momenti di formazione a carattere teorico e pratico, per saper gestire strumenti, capire il perchè del loro utilizzo, qual sia il significato dell’inserimento di un dato in un determinato database, quali siano le responsabilità e gli effetti della gestione del dato in maniera non corretta.

Nonostante la disponibilità di software specifici, spesso alla richiesta di estrazione di dati si risponde ancora con estrapolazioni in file excel; se l’operatore non capisce cosa sia la data protection è difficile mettere in atto strategie vincenti.

Non c’è un’unica tattica, un solo strumento su cui ci stiamo concentrando, ma la nostra policy è basata su più livelli. Siamo partiti con un censimento di tutti i client gestiti dall’ateneo, cerchiamo di rilasciare periodicamente gli aggiornamenti necessari. Abbiamo revocato i diritti di amministratori all’utente finale, su tutti i client, e li abbiamo ricondotti nelle mani di pochi. Abbiamo introdotto un sistema per cambiare, criptare le password periodicamente, per garantire più sicurezza. Inoltre abbiamo fatto un censimento dei server presenti in Ateneo e li abbiamo catalogati secondo il livello di rischio. In tema di firewall, usiamo tecnologie differenti, costantemente monitorate e aggiornate, in base ai servizi che dobbiamo coprire.

Inoltre, è difficile nella PA assumere tecnici informatici di qualità in quanto gli stipendi previsti dal CCNL non sono per nulla competitivi con quanto un tecnico informatico può percepire nel mondo privato.

Riccardo Smareglia,
senior Information Technology Advisor – INAF

INAF (l’Istituto Nazionale di Astrofisica, il principale ente di ricerca italiano per lo studio dell’universo) è un ente di ricerca pubblico, controllato dal MUR. Di conseguenza dobbiamo affrontare problematiche simili a quelle di Comuni e Università per la parte amministrativa, mentre per quella scientifica abbiamo problemi differenti.

Essendo un ente di ricerca, INAF deve gestire tematiche amministrative, legate alla sicurezza o all’uso dei dati sensibili locali. Ma deve occuparsi di problematiche scientifiche che devono confrontarsi e integrarsi con l’Open Science, tendenza culturale volta a rendere aperto ogni elemento della ricerca scientifica, mantenendo però ben presente il tema della sicurezza informatica e della veridicità del dato.

È vero che il caso dell’astrofisica è particolare per quanto riguarda il dato scientifico, nessuno verrà mai a lamentarsi perché abbiamo fatto una fotografia su Marte o abbiamo divulgato l’immagine di un buco nero. Se invece andiamo nei settori della geologia e della fisica nucleare, tuttavia, i problemi legati a sicurezza, brevetti o di altro genere iniziano a diventare importanti.

Anche per noi, in quanto PA, la cybersecurity è fondamentale. Essere aperti e sicuri, però, sono due cose difficili da gestire per non perdere il nostro obiettivo, che è la ricerca.

Lavoriamo tanto on premise, quindi localmente, e poco sul cloud perchè esistono vincoli, anche legati ai brevetti, che non rispettati creerebbero problemi nelle relazioni con altri Paesi in quanto i progetti scientifici in cui siamo coinvolti vedono la collaborazione a livello mondiale.

Un dipartimento di ricerca dedicato all’astronomia, a una scienza cosiddetta pura, è molto diverso da un Comune o un’Università, che ha problematiche ancora differenti, perchè deve formare gli studenti. Siamo una sorta di enclave, in cui abbiamo una parte amministrativa e una scientifica. L’elemento che abbiamo in comune con tutti è l’esigenza di segmentare i gruppi di persone in rapporto all’informatica.

Siamo passati dall’uso di carta e penna al cloud in una ventina d’anni. Non tutti comprendono questo cambiamento e mi riferisco non solo alla parte amministrativa, ma anche a quella scientifica. Quindi è importante far capire a ogni persona, in ambito lavorativo, cosa può o non può fare, perché eviti di aprire la famosa e-mail che non deve essere aperta.

Nel nostro caso la sicurezza è collegata alla rete della ricerca che è il GARR. Quindi, per certi aspetti, siamo già filtrati tramite essa. Non ci attacchiamo a un provider pubblico, ma esiste un primo sbarramento. Finora non abbiamo avuto grossi problemi di sicurezza, gli attacchi di hacker sono sempre stati tamponati. Abbiamo avuto però intrusioni, e in certi casi è stato necessario far intervenire la polizia postale.

INAF ha 17 sedi con oltre 1500 dipendenti sparsi su tutto il territorio nazionale, di conseguenza i controlli di sicurezza sono più complessi da fare rispetto a un tempo.

Credo che un lavoro importante da realizzare, per la sicurezza, sia l’alfabetizzazione e l’aggiornamento del personale. Fondamentale è far capire a ogni persona cosa può fare e cosa non può fare. E se qualcosa deve essere fatto, deve avvenire secondo determinate condizioni.

Graziella Dilli,
 responsabile ai Sistemi Informativi e Transizione Digitale – Arpa Lombardia

In ARPA Lombardia, l’agenzia tecnica della Regione che si occupa di protezione dell’ambiente, il percorso di digitalizzazione è iniziato nel 2012. Abbiamo digitalizzato tutti i procedimenti e introdotto innovazioni e da tempo stiamo investendo sulla cyber security. Anche noi, dopo l’inizio della guerra tra Russia e Ucraina, abbiamo dovuto rivedere le tecnologie per la protezione dei dati. Stiamo elaborando, inoltre, la “cloud strategy” dell’Agenzia con un progetto dedicato.

La digitalizzazione implica il ridisegno dei processi e il conseguente cambiamento nel modo di operare: questo processo, affinché abbia successo e la tecnologia sia percepita come utile per l’efficienza e l’efficacia nel quotidiano, richiede continuo e paziente affiancamento agli utenti, formazione e talvolta revisioni organizzative. La tecnologia abilita, infatti, nuovi modelli di lavoro e i nuovi modelli di lavoro nel loro evolvere e perfezionarsi richiedono ulteriore tecnologia, in un modello circolare di costante innovazione e miglioramento.

Il processo di digitalizzazione e cambiamento avviato e in corso è stato possibile grazie a due fattori a mio avviso importanti: la personale attitudine e abitudine all’innovazione formata attraverso le mie esperienze precedenti e il supporto e sponsorship della Direzione Generale per l’approvazione dei progetti e degli investimenti.

Il percorso è stato molto positivo anche per la crescita delle competenze interne, sulle quali abbiamo puntato per costruire una squadra in grado di aggiornarsi continuamente per affrontare i temi della gestione delle infrastrutture tecnologiche in outsourcing, della gestione delle postazioni di lavoro in comodato d’uso con costante rinnovo tecnologico, della partecipazione alle iniziative regionali che hanno consentito di fruire di una rete di altissima capacità, della cyber security, della dematerializzazione dei procedimenti, delle applicazioni in mobilità, del ridisegno e della gestione dei sistemi informativi dedicati alla Reti di Monitoraggio Ambientale.

Le competenze digitali, sia del personale tecnico dedicato all’informatica sia degli utenti, sono costantemente cresciute grazie anche alla collaborazione con i fornitori selezionati attraverso gare e con la società informatica della Regione.

La digitalizzazione e la costante innovazione tecnologica delle postazioni di lavoro ha consentito di procedere per passi successivi, nel 2016 con la posta e i servizi di collaboration in cloud, successivamente con la flotta di pc con la maggior parte di apparati portatili: questa progressione virtuosa, accompagnata da formazione in corso d’opera, ha permesso nel 2020, quando è arrivata la pandemia, di non interrompere le attività dell’Agenzia e di passare in modo indolore al lavoro da remoto per tutti i dipendenti. Questo passaggio, da lavoro in presenza a lavoro da remoto, pressoché immediato, è stato possibile grazie al 74% di pc portatili a disposizione degli utenti (incrementati nell’arco di dieci giorni al 94%), ai processi digitalizzati e all’estensione della VPN a più di 500 utenti contemporaneamente collegati ai servizi dell’agenzia. Forte è stata la diffusione capillare, durante la pandemia, dell’utilizzo di modalità di lavoro completamente “telematiche”: video conferenze, adozione diffusa di strumenti per la condivisone e la preparazione di documenti in team, strumenti di pianificazione e condivisione degli obiettivi e dei risultati che hanno anche aumentato l’autonomia e il senso di responsabilità, preparando la strada all’adozione del Lavoro Agile.

L’evoluzione continua, con l’attuazione progressiva della migrazione in cloud di tutti i servizi, prestando molta attenzione alla sicurezza e agli economics e con lo studio delle tecnologie e delle modalità di attuazione del nuovo fronte della sicurezza informatica, lo “Zero Trust”. L’approccio adottato sarà, ancora una volta, guidato dalla crescita delle competenze interne attraverso formazione specifica e l’affiancamento a fornitori qualificati, al fine di essere in grado di governare efficacemente progetti complessi, ma gratificanti.

L’accesso alle risorse del PNNR sarà un elemento facilitante per alcuni importanti progetti, tra cui lo Zero Trust, che l’Agenzia dovrà affrontare.

Giuseppe Vaciago,
avvocato, docente di data ethics e data protection del Politecnico di Torino

Nel contesto attuale le esigenze di cybersecurity e, più in generale, quelle di compliance iniziano a essere fortemente sentite. Servono più corsie, quasi come se si fosse su un’autostrada, per consentire agli utenti di usare un servizio digitale con facilità e altrettanta sicurezza.

Dovendo fornire un servizio all’utente, ed essendo l’autostrada con poche corsie, dobbiamo capire quali sono le priorità. A dire il vero, tuttavia, stiamo continuando ad aggiungere elementi di compliance legale che complicano le cose. Il tema del trasferimento dei dati verso gli Stati Uniti, a seguito del noto caso “Schrems”, genera un ulteriore elemento di complessità quando parliamo di cloud, perché vincola l’utilizzo di fornitori in grado di rispettare la normativa europea.

Ascoltando gli interventi riguardanti i Comuni, è, inoltre, emerso che mancano le competenze culturali anche quando sono presenti budget per acquistare strumenti tecnologici. Tutto questo dimostra l’importanza della formazione, anche se va ricordato che molto si impara lavorando direttamente sul campo risolvendo problemi operativi.

Interessante è il discorso del cambio generazionale per svecchiare l’ambiente della PA. Va, tuttavia, detto che i nativi digitali non sempre hanno una cultura della cybersecurity e della compliance aziendale, ma hanno una cultura da “end user” finalizzata a raggiungere un obiettivo il prima possibile.

Le attività di simulazione di attacchi informatici sono molto utili per sensibilizzare ai problemi di sicurezza. Bisognerebbe, però, andare oltre, verso i cittadini, perché possano capire che esiste uno scenario di rischio. Un corso di cyber security familiare, in cui si spiega quali sono i rischi della rete in azienda, della rete di casa, cosa rischiano i figli, quali sono i danni che si possono avere potrebbe aiutare più di un corso puramente aziendale, perché ogni partecipante può sentirsi maggiormente coinvolto in quanto toccato sul personale.

Il cittadino deve essere al centro di questo sistema di consapevolezza per ottenere risultati duraturi ed è importante avere un ecosistema, caratterizzato da ibridazione tra pubblico e privato. Credo che l’Università sia il luogo adatto per favorire le ibridazioni, ma i Comuni rivestono un ruolo fondamentale.

Infine, un argomento sempre più attuale riguarda il dato, soprattutto alla luce della crescita esponenziale dell’intelligenza artificiale. In questo contesto, uno strumento tecnologico di particolare importanza sono i dati sintetici. La “sintesi” del dato è un sistema per utilizzare i dati, conservandone le caratteristiche e garantendo l’anonimato. In questo modo le informazioni raccolte potranno essere utilizzate per motivi statistici, scientifici e per altri ulteriori utilizzi. I dati sintetici garantiranno anche un maggiore livello di sicurezza informatica.

L’opinione di Fortinet

Fortinet, insieme ai propri partner, come Innovery, sviluppa progetti tecnici per aiutare le organizzazioni e gli utenti finali a mettere in sicurezza le proprie infrastrutture, sempre più spesso impegnate nello spostamento delle loro tecnologie dall’on premise al cloud. Fortinet supporta le imprese in questa transizione tecnologica, nell’accelerazione digitale, tramite soluzioni che spaziano dall’on premise, al cloud, al mondo applicativo. Il portafoglio Fortinet comprende ben 60 prodotti nelle declinazioni cloud, hardware, virtuale, SaaS e PaaS. Fortinet è definito come un vendor visionario, perché arriva sempre prima rispetto ai trend di mercato.

Fare cyber security non è mai stato semplice; oggi, tuttavia, siamo arrivati a un punto in cui possiamo fare cyber security con una facilità maggiore rispetto al passato. Gli strumenti ci sono, le tecnologie sono performanti, il loro costo è accettabile.

La domanda che oggi dobbiamo porci non è se saremo attaccati ma quando; prima o poi verremo attaccati, quindi dobbiamo farci trovare pronti ed essere proattivi per bloccare le minacce. Utili sono, per esempio, gli strumenti di deception che simulano le risorse in reti di ambienti aziendali e OT; queste risorse fake sono le prime ad essere colpite se un attaccante interviene. I sistemi intercettano l’attacco e bloccano sul nascere la minaccia, correlando le informazioni sull’attacco ad altri sistemi di protezione presenti nell’infrastruttura.

Un argomento importante è quello dell’interoperabilità dei sistemi legacy. Le soluzioni Fortinet sono in grado di integrarsi con sistemi operativi e soluzioni applicative obsolete, anche di altri vendor.

Il cloud è un altro tema caldo. Oggi in molte realtò prevale una modalità ibrida, con una parte di sistemi on premise e una in cloud. Il trend di mercato è spostarsi in cloud; alcuni analisti affermano che si tornerà on premise, per via dei costi, altri affermano che si rimarrà in cloud. Fortinet punta sull’interoperabilità, per poter supportare ambienti multicloud, il cloud di più provider con cui stiamo sviluppando, in sinergia, soluzioni per la protezione delle applicazioni e degli utenti.

Un ulteriore punto di forza della nostra azienda è costituito dall’attenzione alla formazione. Attraverso il nostro Fortinet Security Academy Program forniamo agli studenti universitari gli strumenti hardware, software, documentali per potersi preparare e concludere il loro percorso di studi certificandosi sulle nostre tecnologie per essere pronti a lavorare con la sicurezza informatica e cyber security, accelerando il processo d’inserimento nel mondo del lavoro.

Quello della formazione è un tema fondamentale. Oggi abbiamo bisogno di personale con competenze tecniche, ma non sempre è facile trovarlo. Grazie al Fortinet Security Academy Program, grazie alla collaborazione con università e altri enti di formazione diamo il nostro contributo per formare i professionisti della Cybersecurity del futuro. Importante è anche formare il personale interno perché spesso gli attacchi partono proprio dall’interno, dal dipendente che clicca su qualsiasi banner o mail gli arrivi. Fortinet non solo commercializza firewall, vende anche servizi di security awareness in cloud. Per esempio forniamo servizi di simulazione di attacchi di tipo phishing. Se l’utente clicca sull’e-mail che simula questo tipo di attacco è subito reindirizzato a un corso di formazione.

La parola a Innovery

Innovery è una realtà italiana che da oltre 20 anni opera nel mondo dell’ICT. Presente in ben tre Paesi (Italia, Spagna, Messico) con oltre 400 dipendenti, Innovery opera a 360 gradi nel mondo della sicurezza, dalla cyber security alla physical security.

Con l’evoluzione delle aziende e della PA, volta ad adottare nuovi modelli infrastrutturali allineati ai loro processi di trasformazione digitale, Innovery offre soluzioni di valore per implementare ambienti di cloud ibrido, che consentono alle organizzazioni di sfruttare gli investimenti esistenti nei loro modelli data center (cloud privato) e di ottenere i vantaggi di un modello di cloud pubblico.

La digitalizzazione comporta un aumento della trasmissione dei dati, in particolare con l’emergere del cloud pubblico, ma soprattutto con l’adozione di Software-as-a-Service (SaaS), come Office 365. Innovery guida i clienti che richiedono una riprogettazione dell’architettura WAN, per esempio con soluzioni SDWAN, che sfruttano la rete WAN aziendale e la connettività verso Internet per proteggere le applicazioni e assicurare una migliore user experience nell’utilizzo delle applicazioni critiche. Innovery abilita la strategia multicloud dei propri clienti connettendo utenti e filiali al cloud in modo semplice e sicuro, attraverso un percorso diretto ottimizzato verso i public cloud e i private cloud aziendali.

Le recenti dinamiche legate alla pandemia causata dal Covid hanno evidenziato, inoltre, come sia fondamentale connettere un mix in evoluzione di persone, dispositivi e risorse, nessuno dei quali vive necessariamente in una posizione fisica fissa permanente. Infatti Gartner ha definito un nuovo paradigma, detto SASE, che offre molteplici funzionalità convergenti di sicurezza e di rete, come SD-WAN e accesso alla rete zero trust (ZTNA), sia per gli utenti onprem che accedono dalle filiali sia per gli utenti in smartworking che accedono ai servizi da remoto. Innovery propone e implementa soluzioni SASE integrate che offrono vantaggi in termini di funzionalità e protezione delle informazioni, per esempio:

• Possibilità di ispezionare il traffico crittografato SSL/TLS su scala cloud;

• Proxy in linea in grado di decodificare il traffico web e cloud (Secure Web Gateway);

• Integrazione API del servizio cloud gestito per dataatrest (Cloud Access Security Broker/CASB);

• Valutazione continua della sicurezza IaaS del cloud pubblico (Cloud Security Posture Management/CSPM);

• Protezione avanzata dei datainmotion (Prevenzione della perdita di dati/DLP);

• Condivisione di informazioni sulle minacce e integrazione con EPP/EDR (Endpoint Protection Platform/Endpoint Detection and Response), SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response);

• Accesso alla rete zero trust, in sostituzione delle VPN legacy (ZTNA).

Innovery propone anche servizi H24 di NOC (Network Operation Center) e SOC (Security Operation Center) che supportano i clienti nella cyber analysis e nella risoluzione di problemi.