Stormshield per lo smart-working nella PA

Il ricorso allo smart-working è uno dei segni più visibili di una trasformazione digitale che si fa garante di nuove opportunità per enti della Pubblica Amministrazione. Se da un lato ha permesso di dare una risposta operativa ai vincoli imposti dall’emergenza sanitaria, lo ha fatto tuttavia a spese della tutela di dati, postazioni di lavoro e reti, concretizzandosi per i responsabili IT in un vero e proprio salto dalla padella nella brace in termini di gestione del rischio informatico e di garanzia della privacy sia dei cittadini, sia degli stessi dipendenti.
“Partiamo da un presupposto: con le dovute eccezioni, l’urgenza e la cybersecurity non sono mai andati a braccetto”, afferma Alberto Brera, Country Manager di Stormshield per l’Italia, azienda del Gruppo Airbus specializzata nella tutela di dati, workstation e reti informatiche. “Il ricorso affrettato al telelavoro ha esteso la fruibilità dei servizi digitali appannaggio della PA alle abitazioni dei singoli dipendenti, ma anche la superficie di attacco, trasportando le vulnerabilità intrinseche della PA nelle abitazioni dei dipendenti e viceversa”. Il tutto in un contesto in cui si è registrato un livello di adesione allo smart working molto alto, nell’Amministrazione Centrale e regionale mentre meno rilevante nei piccoli enti.

Ma quando la cybersecurity passa in secondo piano rispetto alla garanzia di continuità di servizi essenziali per la popolazione, non meraviglia che nei recenti decreti e nell’intento espresso di recente dalla ministra della PA, Fabiana Dadone, di rendere strutturale lo smart working per almeno il 40% dei dipendenti pubblici, non ci sia alcuna indicazione in merito al livello minimo di sicurezza dei dati della PA e tutela della privacy dei funzionari. Tanto che lo stesso Garante della Privacy ha dovuto ribadire quanto sia necessario evitare un “uso improvvisato dello smart-working”, sottolineando altresì che “la traslazione on-line di pressoché tutte le nostre attività comporta, se non assistito da adeguate garanzie, l’esposizione a inattese vulnerabilità in termini non solo di sicurezza informatica ma anche di soggezione a ingerenze e controlli spesso più insidiosi, perché meno percettibili, di quelli tradizionali”.

Pubblica Amministrazione e Shadow-IT

“In effetti, l’uso incontrollato di questa formula lavorativa, ha generato in questo periodo da un lato un estremo sovraccarico di reparti e fornitori IT, chiamati ad adeguare in fretta e furia l’infrastruttura alle nuove esigenze, e dall’altro una ricerca di soluzioni estemporanee per fare nel minor breve tempo possibile da casa quello che facevano in ufficio, per lo più in barba alle policy di sicurezza aziendale”, conferma Alberto Brera, che fa notare la totale carenza di preparazione su entrambi i fronti (datori di lavoro e utenti) foriera di sperimentazioni, condotte in maniera inaccurata con dati spesso non protetti o mal configurazioni anche gravi, pur di garantire ai dipendenti accesso alle risorse aziendali a colpi di “Shadow IT”, con tutte le conseguenze del caso sull’in- tegrità dei dati e dei sistemi informativi, in un contesto che ha privato i dipartimenti IT della PA del proprio potere decisionale.
La scarsa attenzione per la cybersecurity non è scevra da conseguenze in termini di accresciuta esposizione a malware e altre minacce informatiche, basti considerare l’incremento esponenziale di phishing, malspam e trojan veicolati tramite messaggi a tema covid19 segnalato dalla stessa Polizia Postale.

Un eventuale keylogger non rilevato dall’antivirus sul computer per- sonale dell’utente o una campagna di phishing riuscita sono sufficienti per carpire le credenziali di accesso alla rete dell’ente a cui lo “smart worker” si collega con il suo PC domestico.

“Il ricorso al lavoro agile, come sperimentato in questo periodo, assottiglia ulteriormente la linea di demarcazione tra lavoro e vita privata. La sfida per la PA consiste nel garantire un ambiente a prova di data leak, limitando lo scambio di dati da e verso sistemi di terze parti”, sottolinea Brera.

Il modello “zero trust” nella Pubblica Amministrazione: possibile soluzione?

“Pur essendo pienamente d’accordo con il Garante in merito al monitoraggio invasivo delle attività dell’utente tramite dispositivi forniti dal datore di lavoro, riteniamo comunque essenziale tracciare parallelismi tra l’inattesa crisi sanitaria e la limitazione dei diritti infor- matici dei dipendenti”, afferma Brera. La decisione del governo di imporre un lock-down della popolazione è una misura restrittiva, basata sulla necessità di garantire la sicurezza collettiva. Questo approccio potrebbe essere una soluzione anche per quanto riguarda la sicurezza informatica?
Noi di Stormshield siamo dell’avviso che occorra adottare modelli “zero trust” che prevedano sia la cifratura trasparente e costante dei dati “end-to-end”, indipendente dalla piattaforma di archiviazione utilizzata e dall’uso di VPN, sia una modalità di accesso ristretto alle risorse di rete, autorizzato per un dato utente in base al suo ruolo, a orari prestabiliti, al dispositivo impiegato, alle applicazioni utilizzate. Tutti fattori che consentono di tutelare i dati ma anche la privacy degli utenti, delimitando chiaramente gli orari di lavoro, riducendo l’utilizzo di piattaforme per uso personale non contemplate dalle policy azien- dali, controllando approfonditamente tutto quanto passa attraverso il perimetro aziendale, anche esteso, a livello di conformità ai protocolli di comunicazione, e bloccando tale flusso in tempo reale in caso di anomalie.

Infine, oltre alla protezione contro minacce informatiche e comportamenti anomali del flusso di dati, è fondamentale introdurre una serie di restrizioni anche sulle postazioni di lavoro “agile” dei dipendenti. Ma questo deve necessariamente aver luogo nell’ambito di un approccio che attribuisca grande importanza alla sensibilizzazione dei dipendenti sulla necessità di una “igiene digitale” insieme a una maggiore responsabilizzazione degli gli utenti.
“Lo smart working, concesso in situazioni di normalità, può davvero garantire un maggior equilibrio tra vita privata e professionale. Questa è l’occasione per valutare modelli e strumenti adeguati a modificare a lungo termine il modo in cui gestire l’operatività della Pubblica Amministrazione, e stavolta, speriamo, secondo i migliori principi della security by design” conclude Alberto Brera.