Economia - 06 febbraio 2023, 16:42

Federico Aiosa: come proteggere i dati dei cittadini con la cyber sicurezza nella pubblica amministrazione

La pubblica amministrazione raccoglie, conserva e gestisce i dati sensibili dei cittadini per lo svolgimento di varie funzioni

La pubblica amministrazione raccoglie, conserva e gestisce i dati sensibili dei cittadini per lo svolgimento di varie funzioni, ma nell'era di internet c'è un elevato rischio di attacchi.

Le informazioni interessano a molti compresi i criminali e per questa ragione servono misure di cyber sicurezza ben strutturate.

La protezione delle banche dati pubbliche è essenziale, ma oggi, secondo gli osservatori del settore, il 67% dei domini di Stato ed enti locali presenta gravi problematiche legate alla sicurezza.

Serve una strategia specifica e vanno impiegati programmi appositi per aumentare il livello di tutela dei contenuti e di tutti i dati conservati.

Le tecniche usate dai malintenzionati sono sempre diverse e più raffinate, quindi è opportuno individuare tempestivamente le minacce e prevenire le conseguenze degli attacchi informatici.

Firewall, crittografia dei dati e antivirus sono alcune delle difese che non possono mai mancare.

È utile rivolgersi ad esperti che indichino quali protezioni sono maggiormente efficaci e quali processi adottare per trasformare al meglio la PA.

Per capire meglio le minacce ed opportunità che la Pubblica Amministrazione potrebbe affrontare in relazione al tema della CyberSecurity, abbiamo chiesto a Federico Aiosa Senior Business Development Manager ed esperto nel settore delle nuove tecnologie applicate al business ed alla PA.

Quali sono le minacce per la Cyber sicurezza nella pubblica amministrazione?

“La cyber security nelle amministrazioni pubbliche richiede una gestione focalizzata sulla garanzia di riservatezza, disponibilità e integrità delle informazioni.

In questo contesto, i vari uffici devono fare i conti con le minacce degli attacchi provenienti da malware, zero-day etc., ma non solo, spesso ci siamo resi conto che l’uomo è il punto debole della catena e sarà necessario dotarlo di strumenti e formazione continua per contrastare le minacce derivanti dal Cyber Spazio.

I sistemi informatici sono vulnerabili perché non hanno difese adeguate.

Serve una modernizzazione digitale ed un cambio culturale per poter essere all'altezza delle tecniche adottate da coloro che vogliono rubare i dati.

Oggi molte reti pubbliche possono essere violate con facilità perché prive dei software più avanzati.

Non va neppure dimenticato che la gestione delle banche dati si svolge senza gli accorgimenti più elementari, come password sicure da aggiornare frequentemente.

Le recenti linee guida dell'agenda digitale hanno però aperto un capitolo nuovo”.

Perché è importante proteggere i dati sensibili dei cittadini?

“I cittadini hanno il diritto di ricevere la massima tutela in relazione ai dati sensibili.

La PA deve raccogliere le informazioni per svolgere varie funzioni, ma ha l'obbligo di fare in modo che nessuno possa accedere senza una valida motivazione e un'autorizzazione specifica.

Si tratta di ottenere la fiducia delle persone e di assicurare la privacy che meritano, così da assolvere i compiti proteggendo i cittadini stessi da qualsiasi attacco e uso fraudolento delle informazioni che li riguardano”.

Qual è la minaccia dei cyber criminali per la pubblica amministrazione?

“Il rischio principale da affrontare riguarda il furto dei dati sensibili dei cittadini.

I malintenzionati puntano alle informazioni personali per poter mettere in atto truffe, furti e altri atti criminali.

Loro accedono alle banche dati pubbliche attraverso varie tecniche utili a inserire nei computer degli enti statali e locali programmi informatici che raccolgono e trasmettono loro i dati.”

Alcuni esempi di attacchi informatici contro la PA

Nel 2019 si è verificato il caso Exodus, un programma spia inserito tra le applicazioni di Google Play Store usato dalle forze dell'ordine e dalla magistratura per intercettare i reati di terrorismo e criminalità organizzata.

Si è creato un bug che ha portato gli inquirenti a osservare e registrare persone estranee alle vicende e ai procedimenti penali.

Nell'estate del 2021 un attacco criminale ha sottratto alla Regione Lazio moltissimi dati dei cittadini con un sabotaggio del CED che ha causato la fuoriuscita delle informazioni del portale salute e della rete per la prenotazione dei vaccini.

Questi sono solo due dei tanti episodi di grande impatto accaduti.

Perché la PA è un obiettivo facile per i cyber criminali?

Da un lato i criminali digitali sono sempre più interessati ai dati della PA, infatti i siti governativi sono al primo posto della classifica per numero di attacchi.

Le tecniche si evolvono, ma gli enti pubblici non usano sistemi all'avanguardia.

La cultura della sicurezza informatica nella pubblica amministrazione

Ciò che fino ad oggi è mancata è la consapevolezza dell'importanza di attuare una sicurezza informatica all'altezza della situazione.

Serve una vera e propria cultura da diffondere all'interno degli uffici della PA.

Dai dirigenti ai dipendenti, tutti devono essere informati e pronti a lavorare per attuare le opportune difese” dice Federico Aiosa esperto del tema della trasformazione digitale per la pubblica amministrazione in Italia.

Uno dei temi che stiamo affrontando grazie all’ACN (Agenzia Cyber Nazionale) e al quadro normativo Italiano che sta dando indicazioni in merito all’approccio della Cyber Security è quello di valutare la possibilità di analizzare se all’interno dei Software già presenti presso la pubblica amministrazione esistano delle vulnerabilità non note che come ad esempio il caso LOCK4J che nel dicembre del 2021 ha creato molti problemi ai CISO e ICT Manager del mondo.

In effetti oltre agli antivirus e ai firewall installati dai tecnici, bisogna impiegare sistemi di Secure Email, Secure Password, nuove metodologie di DevSecOps e Secure Transfer al fine di rendere più resilienti e robuste le nostre infrastrutture critiche della Pubblica Amministrazione.

Esempi di buone pratiche in materia di sicurezza informatica nella PA

Le buone pratiche arrivano dalla collaborazione tra pubblico e privato, perché le aziende attive nel settore della cyber sicurezza hanno messo a punto sistemi di difesa adottati da alcuni uffici statali ed enti locali.

Si tratta di cooperazioni tra ministeri, amministrazioni regionali e università che hanno permesso di studiare apposite protezioni.

Queste esperienze hanno dato l'impulso al Polo Strategico Nazionale, che si pone l'obiettivo, anche grazie ai fondi del PNRR, di creare un'infrastruttura tecnologica per la sicurezza informatica di elevata affidabilità.

Dunque quali sono le misure tecniche per proteggere i sistemi della PA?

Con la crittografia dei dati si creano dei codici specifici per poter leggere le informazioni protette, così da consentire la lettura solo a chi è autorizzato all'accesso. Con gli antivirus e i firewall si tutelano i file delle banche dati e dei computer, evitando l'accesso ai criminali informatici.

Inoltre, ci sono sistemi di sicurezza che salvaguardano email, password e anche il trasferimento cifrato e veloce delle informazioni.