Lo scorso 26 febbraio, l’Agenzia per la Cybersicurezza Nazionale – ACN, istituita nel 2021 con la finalità di razionalizzare e semplificare il sistema di competenze in materia di sicurezza informatica, ha pubblicato un Avviso Pubblico nazionale finalizzato alla presentazione di proposte di interventi per il potenziamento della resilienza cyber delle Pubbliche Amministrazioni, a valere sul PNRR (Missione 1, Componente 1, Investimento 1.5 “Cybersecurity” M1C1I1.5.).
L’Arpa Campania si è pertanto impegnata nella redazione di un ambizioso progetto sul tema, fortemente voluto dal Direttore Generale Stefano Sorvino. Importante sia per la tematica in sé, sappiamo di quale assoluta attualità, sia per aver contribuito a sottolineare la competenza tecnica dell’Agenzia e la sua volontà strategica di continuare ad investire sulla cybersicurezza, frutto della sinergia tra la UO Sistemi Informativi e Informatici e la Direzione Generale.
A settembre l’Arpac è stata ammessa al finanziamento statale per l’intero importo di progetto, ossia 1 milione e 263mila euro, a valere sul PNRR. Titolo del progetto: “Assessment e potenziamento della resilienza cyber di ARPAC”, che si propone di rafforzare la sicurezza informatica dell’Agenzia e la sua resilienza in caso di intrusione nei propri sistemi. Il progetto è risultato in graduatoria tra i più meritevoli: 34esimo su quasi cento progetti ammessi a finanziamento completo.
In questo particolare periodo storico, come evidenziato dai rapporti CLUSIT (l’Associazione Italiana per la Sicurezza Informatica), gli attacchi hacker ai danni delle PA sono aumentati in maniera esponenziale, e molti sono andati drammaticamente a segno!
La stessa Arpac è stata vittima di un grave attacco hacker di tipo ‘Ransomware’ nell’agosto 2022. Al quale ha però reagito subito potenziando ancor più sistemi ed apparati, attuando una politica “Zero Trust”, ossia una modalità “zero accessi”, e rilasciando solo gradualmente, su effettive necessità operative, autorizzazioni e permessi, in entrata ed uscita. Ben consapevole, però, che sul tema cybersicurezza l’impegno per migliorare è continuo, non ci si può fermare e non si può mai considerare l’obiettivo pienamente raggiunto.
Pertanto questo finanziamento, oltre ad essere un importante riconoscimento all’Agenzia per l’impegno dimostrato, rappresenta una grossa opportunità per consolidare e rafforzare ancor di più, e in modo sistematico, il livello di maturità e la postura di sicurezza dell’Ente.
Il progetto prevede, in primo luogo, una valutazione a 360 gradi delle effettive criticità in Arpac in tema di cybersicurezza, in modo da procedere poi ad eventuali interventi di ‘remediation’, finalizzati a razionalizzare le indicazioni sul superamento delle vulnerabilità individuate a livello di processi e di personale umano, mediante il ricorso a risorse consulenziali e/o risorse e servizi strumentali e tecnologici, in base ad una precisa Roadmap delle iniziative proposte.
In materia di Cybersicurezza, come noto, il fattore umano rappresenta l’anello debole della catena. Sono state pertanto previste significative attività formative per il personale tutto, a partire dal management, anche in ottemperanza alle direttive europee che, appunto, pongono la massima attenzione alla formazione del personale delle PA al fine di scongiurare eventuali, pericolose lacune individuali.
Sono previste inoltre: una accurata identificazione e messa in sicurezza di processi e procedure ad impatto critico; una migliore definizione di ruoli e responsabilità; la razionalizzazione delle utenze privilegiate, delle politiche di accesso e, in generale, dei modelli organizzativi.
Verranno anche analizzati i rischi derivanti dall’interconnessione con i servizi informatici dei fornitori, con la predisposizione di un modello di gestione del rischio cyber delle terze parti, con l’obiettivo di disciplinare la catena di fornitura per i servizi ICT dell’Agenzia e minimizzare il rischio derivante da soggetti terzi.
Sarà formalizzata una procedura sistematica di gestione dei backup e dei restore, in linea con quanto già avviato dall’Agenzia a livello operativo, con l’obiettivo, in caso di eventuali attacchi, di minimizzare il rischio di perdite di dati e di interruzione di servizi pubblici, in ottica di una valida Business Continuity.
Ultimo, ma non meno importante, l’aspetto di verifica della compliance al Regolamento Europeo inerente la protezione dei dati personali, GDPR, mediante la garanzia di gestione degli aspetti di security e privacy ‘by design’.
A fianco di tali interventi a livello di ‘Governance’, di gestione del rischio e della continuità operativa, non viene trascurata la questione inerente la gestione e risposta agli incidenti di sicurezza. Verrà quindi formalizzato uno specifico processo di rilevazione e gestione degli incidenti, che descriva il modello operativo comprensivo di ruoli, responsabilità ed attività da condurre per la gestione degli interventi di sicurezza. Il tutto sulla base degli strumenti tecnologici di monitoraggio in uso in Agenzia, con la valorizzazione quindi dell’attuale servizio di monitoraggio SOC (Security Operation Center), già attivo da tempo a protezione perimetrale di sistemi ed apparati.
