Attacchi informatici rivolti alla pubblica amministrazione (PA), possibili contromisure

In Italia la pubblica amministrazione (PA) è spesso ritenuta sinonimo di sistemi antiquati, processi farraginosi ed eccessiva burocrazia.

Negli ultimi tempi tuttavia, anche il settore statale è stato massicciamente investito dalla trasformazione digitale: il sistema di autenticazione SPID, il Portale “inPA” o la recentissima PDNP (Piattaforma Digitale Nazionale Dati) sono soltanto alcune delle molteplici articolazioni che oggi vanno a comporre l’ambiente cyber-fisico in cui si intrecciano diramazioni fisiche e informatiche delle amministrazioni centrali e locali.

Criticità e fronti di rischio per l’amministrazione digitale

L’informatizzazione rappresenta senz’altro una buona notizia per i cittadini, potendo rendere più semplice e veloce l’accesso ai servizi pubblici oltre che garantirne la fruibilità anche a chi risiede al di fuori dei grandi centri urbani.

Vanno però considerati due fattori critici. Il primo è la scarsa alfabetizzazione digitale degli italiani, una popolazione dall’età media avanzata che spesso fatica a comprendere e utilizzare i servizi informatici. Un problema, peraltro, non limitato agli utenti più maturi, considerando che in base ai rilievi OCSE solo il 37% delle persone tra i 15 e i 65 anni (teoricamente più agevolate in termini di familiarità con le tecnologie) sarebbe in grado di utilizzare strumenti digitali in piena autonomia. E questi bassi livelli di competenza riguardano tanto i destinatari dei servizi quanto lo stesso personale coinvolto nella loro erogazione, che in troppi casi non è stato oggetto di sufficienti interventi di aggiornamento e formazione mirata.

Il secondo fattore è dato dai rischi di tipo cyber a cui tutte le organizzazioni – pubbliche o private che siano – risultano esposte.

È infatti evidente come nelle aziende pubbliche, tanto la digitalizzazione dei servizi, quanto l’IoT, spalanchino un ampio fronte di rischio sul quale si sono velocemente concentrate le mire del cybercrime, stante l’elevatissima mole di dati, molti dei quali di natura sensibile (informazioni sanitarie, finanziarie ecc.), ed i danni che un attacco informatico può arrecare.

I principali attacchi rivolti alla PA

Proprio per il combinato disposto dei due fattori sopra citati, in particolare nell’ultimo biennio, i criminali informatici si sono concentrati sulle istituzioni pubbliche, considerandole un obiettivo primario: secondo l’ENISA il settore sarebbe infatti il più colpito in assoluto, vedendo addirittura il 75% degli enti pubblici come destinatari di un cyberattack.

A risultare maggiormente colpite sono le aree relative alla Difesa (dove si pongono anche importanti questioni di sicurezza nazionale) e agli apparati governativi. Al riguardo possono richiamarsi gli attacchi DDoS che hanno colpito diversi Ministeri (attribuiti dalla Polizia Postale al gruppo russo Killnet), o i data breach subiti da diverse amministrazioni regionali.

D’altro canto, probabilmente gli effetti più visibili sono stati prodotti da attacchi mirati a obiettivi locali ma non per questo meno impattanti, poiché in grado di interrompere il normale flusso dei servizi pubblici, con conseguenze spesso inaccettabili dal punto di vista dei cittadini. Tra i molti possono citarsi i ripetuti episodi di attacchi ad infrastrutture comunali oppure contro istituti scolastici o aziende sanitarie, i cui esiti, specie in questo ultimo caso vanno a ledere diritti primari, come il diritto all’istruzione o il diritto alla salute.

Scenari futuri e possibili contromisure

A fronte di uno scenario di rischio così ampio e diversificato, appare urgente mettere in sicurezza le banche dati, i sistemi (IT ed OT) ed i processi delle Pubbliche Amministrazioni. Uno scopo ambizioso ma raggiungibile, a patto di investire idonee risorse (ora parzialmente attivabili grazie al PNRR, che dedica alla sicurezza informatica oltre 600 milioni di euro) e di mettere in campo strategie multidirezionali.

L’introduzione delle Misure Minime AgID ha rappresentato un primo e importante passo, come l’istituzione del CERT-PA (Computer Emergency Response Team Pubblica Amministrazione) oggi confluito nel CSIRT-Italia presso l’Agenzia per la cybersicurezza nazionale.

L’istituzione dell’Agenzia per la Cybersicurezza Nazionale ha dato una ulteriore spinta sul fronte del coordinamento tra i soggetti pubblici nell’adozione di azioni comuni volte ad innalzare il livello di sicurezza e resilienza cibernetica.

Occorre tuttavia che ogni struttura pubblica si doti di strategie di difesa che tengano conto della complessità e multidimensionalità attraverso un approccio olistico al cyber risk.

In tal senso, proprio in riferimento ad uno dei due fattori di rischio citati in precedenza, appare indispensabile innalzare significativamente i livelli di competenza digitale dei dipendenti pubblici e degli utenti dei servizi, che sono in ultima istanza, entrambi, i cittadini stessi.

Se per questo è improcrastinabile una formazione digitale che parta già dalla scuola, per prendere coscienza dei rischi connessi agli strumenti digitali, portando a modelli di utilizzo consapevoli, è altrettanto importante che a tutti i livelli si promuova la cultura della cybersecurity come fattore indispensabile allo sviluppo digitale (e di conseguenza economico) del Paese.

“Credo che aziende come la nostra che operano da oltre un decennio in modo verticale e mirato in ambito di cybersecurity, non debbano solo fornire professionalità e metodologie, ma anche sentirsi chiamate a contribuire ad accrescere il livello di consapevolezza sui temi del cyber risk, a diffonderne la cultura ed a promuovere modelli virtuosi, tanto a livello di organizzazione quanto a livello individuale, perché, come amiamo ripetere, spesso il maggior fattore di rischio sta tra la tastiera e la sedia.” Michele Laurenzi – Regional Sales Coordinator di 7Layers.