Il Cyber Risk nella Pubblica Amministrazione

Nell’ultimo anno, a fronte di un esponenziale utilizzo dello smart working, sono aumentati vertiginosamente gli attacchi hacker sia verso soggetti privati che pubblici. Tra i vari settori a rischio, troviamo anche la pubblica amministrazione che non è mai stata ai massimi livelli per quanto riguarda la sicurezza informatica. Ciò è stato evidenziato anche nel documento del Centro Nazionale per l’Informatica nella Pubblica Amministrazione intitolato “Primo Rapporto sullo Stato della Sicurezza ICT delle PAC”.

Negli ultimi anni la situazione è molto migliorata anche a seguito delle diverse normative volte ad attenuare il problema della cyber security ma ad oggi non siamo ancora preparati ad affrontare il reale rischio che le PA corrono in termini di privacy.

Quali sono i rischi?

I rischi di un attacco informatico alle PA possono riguardare:

  • Privazione o furto di informazioni
  • Blocco di servizi
  • Alterazione dei livelli autoritativi
  • Distruzione dei sistemi di controllo e monitoraggio

Tali rischi si possono concretizzarsi attraverso:

  • Contagio da malware
  • Attacchi cyber
  • Furto di credenziali/identità
  • Degrado/interruzione e distruzione di servizio.

Spesso, purtroppo, l’anello debole della catena è il dipendente generico, non adeguatamente preparato sui temi della cyber security. Proprio per questo non solo servono tecnologie adeguate ma anche una cultura della sicurezza. Mentre si è spinto molto sulla cultura della digitalizzazione, poco è stato fatto per accrescere il livello di consapevolezza sui rischi che ciò avrebbe comportato. La sicurezza informatica è sempre stata affrontata con un approccio “tecnico” ma senza insegnare come prevenirli. In pratica, è come dare la patente di guida senza insegnare le regole della strada.

Cosa prevede la normativa

Come stabilito nei vari Piani Triennali per l’Informatica, le pubbliche amministrazioni dovrebbero avere una specifica attività sui temi della sicurezza ICT. Nel vigente Piano 2020-2022 vi è un capitolo dedicato: gli obblighi per la pubblica amministrazione in termini di protezione dei dati personali dovrebbero essere coordinati con la gestione della cybersecurity per evitare duplicazioni, mancato allineamento delle attività e comunque minore gestione del rischio.

Ma un elemento importante è che la sicurezza nella pubblica amministrazione non è un’opzione: la normativa europea sulla protezione dei dati personali obbliga a misure di sicurezza specifiche e rigorose con sanzioni pesanti per le inadempienze; la cosiddetta Direttiva UE NIS e il relativo Perimetro di sicurezza impongono la protezione dei propri servizi con adeguate misure di sicurezza con obblighi sulla vigilanza interna e anche in questo caso al rischio di sanzioni elevate.