Due pagine collocate a metà documento e la sicurezza è archiviata. Chi volesse sfogliare il nuovo documento di indirizzo strategico che accompagna la trasformazione digitale del Paese può andare a pagina 45 del piano triennale 2020-2022, licenziato dal Ministro per l’innovazione tecnologica e la digitalizzazione. Il piano è in corso di registrazione presso la Corte dei conti, ed è stato redatto da un ampio gruppo di lavoro formato da personale di AgID e del Dipartimento per la trasformazione digitale. La lettura del capitolo dedicato alla sicurezza non porterà via molto tempo perché consta di due pagine. Che rimandano a scadenze e verifiche future. La prima scadenza riguarda l’arrivo di Infosec 2.0 la nuova versione della piattaforma pubblica destinata alla sicurezza dei cittadini che si rivolgono alla pubblica amministrazione.
Noi non possiamo dubitare della performace della versione 2.0 di Infosec se non altro per ragioni di simpatia da omonimia.
Però possiamo dire alcune cose precise. Primo, che la nuova edizione del piano triennale rappresenta l’evoluzione dei due piani (deludenti) precedenti: laddove la prima edizione poneva l’accento sull’introduzione del modello strategico dell’informatica nella PA e la seconda edizione si proponeva di dettagliare l’implementazione del modello, il piano triennale 2020-2022 scende di livello e si concentra sulla realizzazione delle azioni previste. E’ un bene. Perché la PA è ricca di proclami strategici e povera di soluzioni operative. Dubitiamo tuttavia che le amministrazioni condivideranno lo stesso linguaggio, le stesse finalità e gli stessi riferimenti progettuali contenuti nel piano. Per alcune ragioni che possiamo brevemente riassumere: i decisori digitali nella Pa sono prevalentemente analogici; le amministrazioni hanno titolarità piena a produrre soluzioni non condivise con le amministrazioni della porta accanto; i migliori propositi non raggiungono lo scopo per la mancanza di un valido e coerente sistema sanzionatorio che di fatto consente l’impunità di ogni ritardo e inerzia.
Da questo punto di vista la continuità del piano 2020-2022 non promette nulla di buono. Ma va almeno segnalato un elemento innovativo del Piano 2020-2022 che riguarda i destinatari degli obiettivi: saranno infatti le singole amministrazioni a dover realizzare gli obiettivi elencati dal piano articolati in 200 azioni, con un forte accento sulla misurazione dei risultati. Almeno la cultura della misurazione e conseguentemente della qualità dei dati diventa uno dei punti distintivi del nuovo piano. Non ci saranno sanzioni ma almeno incoraggiamenti.
Passiamo al secondo punto. La sicurezza informatica è essenziale quanto sono essenziali servizi digitali erogati dalla Pubblica Amministrazione per il funzionamento del sistema Paese. La minaccia cibernetica cresce continuamente in quantità e qualità, determinata anche dall’evoluzione delle tecniche di ingegneria sociale volte a ingannare gli utenti finali dei servizi digitali sia interni alla PA che fruitori dall’esterno. E’ banale ricordarlo? Ma allora la necessità di contrastare tali minacce diventa fondamentale perché garantisce la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema informativo della Pubblica Amministrazione e proteggendo i dati aumenta la fiducia nei servizi digitali erogati dalla PA.
Il Piano triennale mitiga il rischio connesso alle potenziali incursioni attraverso il Cyber Security Awareness che stabilisce un livello omogeneo di sicurezza proprio nel punto di accesso ai servizi digitali contenuti nei portali istituzionali delle pubbliche amministrazioni.
Peccato che all’atto pratico il Piano si limiti a rimandare a tutti i riferimenti normativi italiani ed europei, dal decreto 7 marzo 2005 fino al Dpcm dell’8 agosto del 2019 che conteneva le disposizioni sull’organizzazione e il funzionamento dei computer security incident response team ( agosto è un mese importante per mettere in sicurezza la sicurezza). Il Piano cita tutti i regolamenti, le disposizioni, direttive, codici e leggi in vigore nella presunzione – crediamo- che un puntuale loro richiamo produca il miracolo di una puntuale applicazione.
Mentre invece non è assolutamente così.
L’idea inoltre di stabilire incrementi del 30% (target 2021) e del 40% ( target 2022) della baseline di Ciber Security Awarness è molto rassicurante ma suppone una misurazione dell’attuale livello di sicurezza che manca, in assenza del quale il 30% e il 40% di incremento non incrementano alcunchè.
Analogamente, l’obiettivo di massimizzare il numero dei Content Management System (CMS) non vulnerabili utilizzati nei portali istituzionali delle PA, rimane un proposito lodevole messo nero su bianco, in attesa dell’aggiornamento attuali Misure minime di sicurezza ICT per le pubbliche amministrazioni e il rilascio (giugno 2021) di un tool di self assessment per la security awareness della PA.
Ma c’è una buona notizia: a dicembre 2020 Babbo Natale ci porterà la nuova versione della piattaforma Infosec 2.0 e da gennaio 2021 le PA dovranno consultare la piattaforma Infosec aggiornata per rilevare le vulnerabilità dei propri asset e poi da maggio 2021 tutte le PA dovranno mantenere costantemente aggiornati i propri portali istituzionali e applicare le correzioni alle vulnerabilità. Noi siamo orientati a ritenere che la denominazione Infosec sia una garanzia: diversamente non avremmo registrato la testata con questo nome. Siamo orientati, ma non ne siamo certi.
