Sicurezza ICT della PA: qualche considerazione sul documento dell’AGID

In un periodo in cui la sicurezza viene sempre più spesso indicata quale elemento necessario e irrinunciabile nei vari processi organizzativi delle PA (ciò risulta evidente anche in seguito all’intensificarsi del numero di attacchi informatici sempre più sofisticati andati a segno a danno degli enti pubblici), proprio al fine di fornire alle pubbliche amministrazioni un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica l’Agenzia per l’Italia digitale (AgID) ha pubblicato un vademecum contenente una serie di “Misure minime per la sicurezza ICT delle pubbliche amministrazioni“¹, con lo scopo di offrire un ausilio all’ente nel valutare se il livello di protezione offerto dalla sua infrastruttura risponda alle esigenze operative e individuare – eventualmente – gli interventi idonei per il suo adeguamento. In particolare, tali misure minime per la sicurezza sono state emanate in attuazione della Direttiva dell’1 agosto 2015 del Presidente del Consiglio dei Ministri, contenente disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, anche alla luce dei crescenti rischi cibernetici che minacciano in particolare le strutture pubbliche.

Al fine di prevenire gli attacchi cibernetici sono stati introdotti nella PA tre livelli di sicurezza, da quali si evince come l’aspetto della “prevenzione” sia fondamentale rispetto a quello di “risposta e ripristino” a fronte di un attacco o incidente informatico. Le ultime tre colonne del FNSC (Framework Nazionale di Sicurezza Cibernetica) nello specifico indicano i seguenti livelli richiesti:

– “Misure minime”, contenenti un livello al di sotto del quale nessuna PA può scendere (indipendentemente dalla sua natura e dimensione);

– “Standard”, che dovrebbe costituire una base di riferimento per la maggior parte delle PA (e alla quale comunque ispirarsi anche in assenza di misure più elevate);

– “Alto”, misure di livello elevato che costituiscono l’obiettivo a cui tendere.

Nel vademecum è stato definito un elenco di controlli – denominato AgID Basic Security Control(s) (ABSC) e ordinato sulla base dell’impatto sulla sicurezza dei sistemi – che coinvolgono, tra l’altro: l’inventario dei dispositivi, i software, la protezione delle configurazioni HD e SW (sui mobile, laptop, workstation e server), la valutazione e correzione della continuità operativa, l’uso appropriato dei privilegi di amministratore, le difese contro i malware, le copie di sicurezza e, infine, la protezione dei dati.

Tra le varie classi di misure di sicurezza prese in considerazione, infatti, vi è anche la “Protezione dei dati”, in quanto spesso l’obiettivo principale degli cyber-attacchi è proprio la sottrazione delle informazioni.

A tal riguardo è opportuno ricordare che la nuova regolamentazione europea in materia di “data protection” – Regolamento generale sulla protezione dei dati (679/2016)² da pochi mesi approvato – pone proprio la sicurezza quale presupposto di legittimità del trattamento dei dati personali³ e introduce una nuova classificazione nelle misure di sicurezza.

A differenza dell’esperienza legislativa passata, però, non avremo una classificazione delle misure di sicurezza secondo diversi livelli di adeguamento (come avviene oggi con il D.Lgs. 196/2003 che prevede una serie di misure minime, idonee e necessarie), essendo stato il tutto ricondotto a un unico concetto di “adeguatezza” (e, quindi, di idoneità) circa le misure tecniche e organizzative da adottare: in sostanza viene rimessa l’applicazione delle misure di sicurezza a un’attenta autovalutazione da parte dell’organizzazione di riferimento (PA), fatta tenendo conto di una serie di parametri (quali lo “stato dell’arte”, i “costi di attuazione”, la “natura e l’oggetto”, il “contesto” e le “finalità del trattamento”) e preceduta sempre e comunque da un’analisi del rischio per i diritti e le libertà delle persone fisiche⁴.

Pertanto, assodate le buone finalità di queste Linee Guida, sarà interessante verificare in che modo queste misure di sicurezza “minime” saranno coordinate con le nuove “misure di sicurezza” (idonee e più generaliste) introdotte dall’articolo 32 del citato Regolamento generale sulla protezione dei dati; ciò alla luce, tra l’altro, del richiamo costante ai concetti di riservatezza, integrità, disponibilità e resilienza, tutti presenti nel vademecum per le PA di AgID, e dell’attuale tendenza a considerare la sicurezza non più solo come un “prodotto”, ma un vero e proprio “processo” verificabile.

——————————————————————————-

1) Le stesse formano parte integrante delle “Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni” e delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione di prossima emanazione.

2) Pubblicata in Gazzetta Ufficiale dell’UE il 24 maggio 2016 e pienamente applicabile in tutti gli Stati membri dal 25 maggio 2018.

3) L’art. 5, paragrafo 1, lett. f) del nuovo Regolamento UE, infatti, considera la sicurezza quale presupposto del trattamento (si legge che “i dati devono essere trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”) e, quindi, se il trattamento non è sicuro si rischia di invalidare tutto il processo di corretta gestione dei dati personali.

4) Ciò è molto pericoloso in quanto nell’autovalutare l’adeguatezza dell’applicazione delle misure di sicurezza, in caso di incidente o di attacco andato a buon fine, le PA correranno sempre il rischio di soccombere anche per quanto concerne l’applicazione di una eventuale sanzione privacy.