Forse non tutti sanno che nel 2016 è stata aggiudicata la più grande gara europea relativa alla realizzazione della nuova piattaforma digitale nazionale, secondo il paradigma cloud computing, per la Pubblica Amministrazione italiana denominata “SPC Cloud”[1]
La gara SPC Cloud è di fatto un passo importante nell’attuazione della strategia ICT nazionale come indicato nel documento “Strategia per la crescita digitale 2014-2020” della Presidenza del Consiglio[2] .
In particolare, il progetto, del valore complessivo di quasi 2 miliardi di euro, è stato suddiviso in 4 lotti, due dei quali riferiti alla realizzazione dell’infrastruttura e servizi IaaS, PaaS e SaaS (Lotto 1, valore di 500 Milioni di euro) e sulle soluzioni e servizi di sicurezza (Lotto 2, valore di 600 Milioni di euro)
Perché è importante far conoscere ad un ampio pubblico questo progetto?
In primo luogo perché si tratta di un progetto di trasformazione, coordinata, delle infrastrutture e servizi ICT di tutta la PA (locale, regionale, centrale,…) secondo un’architettura e linee guida definite secondo il paradigma Cloud Computing . Consip (Centrale di committenza nazionale degli acquisti nella PA)[3], Agid (Agenzia per l’Italia Digitale) ed i fornitori aggiudicatari del contratto hanno predisposto dei siti web specifici (“Portali di governo e gestione della fornitura”) [4] [5] in cui vengono descritte tutte le informazioni del contratto quadro, in particolare le descrizioni tecniche dei servizi offerti ed i relativi listini prezzi.
La “trasparenza” degli aspetti tecnico-commerciali è sicuramente una novità per questo tipo di contratti per la PA e consente a tutti gli attori del mercato, non soltanto i referenti del contratto, di conoscere sia come viene descritto un servizio innovativo “security as a service” sia come quotarlo.
Da questo punto di vista i contenuti dei due portali possono offrire un insieme di “best practice” su come costruire ed offrire un servizio cloud computing e quindi consentire sia agli operatori dell’offerta di migliorare le proprie proposizioni tecnico-commerciali sia al mercato della domanda di utilizzare le stesse informazioni come “benchmark” per capire meglio come definire dei requisiti tecnici per le proprie esigenze e percorsi di trasformazione in cloud di servizi e infrastrutture.
Ma facciamo un breve focus sul portale di governo e gestione della fornitura dei servizi di “sicurezza as a service”, area di interesse della nostra Rubrica.
Nell’ambito del Contratto Quadro vengono erogati le seguenti categorie di servizi di sicurezza[6]:
In particolare, le soluzioni tecnologiche proposte in modalità as a service sono suddivise nelle seguenti sotto-categorie:
In ognuna delle sotto-categorie sono stati predisposti dei datasheet strutturati nel modo seguente:
Le soluzioni vengono erogate attraverso “Centri Servizi” di proprietà del Fornitore, dislocati su sedi (data center) ubicate sul territorio comunitario e certificate ISO 27001. Il Fornitore del servizio è inoltre tenuto a trattare, trasferire e conservare le eventuali repliche dei dati conservati dai suddetti Centri Servizi sempre all’interno del territorio comunitario.
Il servizio proposto consente alla PA di proteggere le applicazioni web da attacchi esterni agendo da filtro del traffico dati a livello applicativo, superando quindi le caratteristiche dei classici Intrusion Detection System (IDS).
Il servizio si compone delle seguenti funzionalità:
L’architettura di riferimento è la seguente:
L’architettura è dislocata presso:
Presso il Centro Servizi sono dislocati:
Spesso evidenziamo le difficoltà (abitudine Italica!) del mercato della sicurezza informatica nazionale legate alla indisponibilità di budget sufficienti e progetti sfidanti/innovativi. Il progetto SPC Cloud, nonostante sia stato gestito come un “classico” contratto quadro ICT della Pubblica Amministrazione, si sta rivelando invece un ottimo “esercizio”, prima di tutto per i fornitori, nel presentare servizi di cloud security ” trasparenti” (in termini di SLA, costi, …) , disegnati per rispondere alla maggior parte delle esigenze di sicurezza di clienti piccoli , medi e grandi (con riferimento rispettivamente alla Pubblica Amministrazione Locale, Regionale e Centrale).
L’aspetto interessante del modello di erogazione utilizzato è la somiglianza al nascente modello Cloud Access Security Broker (CASB), di cui abbiamo già parlato in un recente articolo della nostra rubrica, che costituirà nei prossimi anni un importante modello di business nel mercato Security as a Service (o SecaaS).
Tutte queste informazioni sono accessibili liberamente da tutti gli operatori del mercato (cittadini inclusi) e quindi a supporto di una migliore conoscenza e (ri)utilizzo delle migliori best practice di cloud security.
Infine, CSA Italy ed Agid hanno deciso di avviare una collaborazione volta alla realizzazione di una serie di seminari specifici su SPC Cloud (il primo dei quali si svolgerà il prossimo 13 Aprile a Roma[8]) a supporto di una più ampia ed efficace divulgazione delle potenzialità ed opportunità offerte da questo progetto non solo per la Pubblica Amministrazione ma anche per l’intero mercato ICT (e Cloud) nazionale.
[1] http://www.consip.it/news_ed_eventi/2016/7/notizia_0019
[2] http://www.agid.gov.it/sites/default/files/documenti_indirizzo/crescita_digitale_nov_2014.pdf
[5] https://www.spc-lotto2-sicurezza.it/
[6] https://www.spc-lotto2-sicurezza.it/wps/portal/spc_pdg/contratto_quadro/!ut/p/z1/
[7] https://www.spc-lotto2-sicurezza.it/wps/PDGWCMJSPs/jsp/html/PdfSchedaServizio.jsp?codice=L2.S3.7
[8] http://cloudsecurityalliance.it/workshop-csa-agid-spc-cloud-e-la-sicurezza-del-sistema-cloud-computing-nazionale-13-aprile-roma/
A cura di: Alberto Manfredi
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…