Investita dal Piano Nazionale di Ripresa e Resilienza di un ruolo centrale per il rilancio della competitività del nostro Paese, la Pubblica Amministrazione locale ha intrapreso un percorso di digitalizzazione scandito da un ritmo incalzante e ambiziosi traguardi da raggiungere, allo scopo di modernizzarsi e migliorare i servizi per cittadini e imprese. Con la misura 1.2 del Piano, che prevede la migrazione verso ambienti cloud qualificati di quasi 16.500 Enti fra locali, sanitari e scolastici, il principio del cloud first per la PA introdotto dal Piano Triennale diventa obbiettivo e opportunità, sostenuto da investimenti pari a 1 miliardo di €.
In questo scenario, fin dalle prime righe del testo della misura 1.2, emerge chiaramente come la sicurezza sia uno degli aspetti più cruciali di questa trasformazione, aspetto che, in un momento storico in cui gli attacchi informatici alle istituzioni sono in continua crescita, non possiamo dare per scontato. Infatti, sebbene il cloud rappresenti un’alternativa più sicura rispetto a soluzioni On Premise, installate cioè in locale, questo non significa che sia esente da minacce e vulnerabilità.
Come evidenziato dal Rapporto Clusit 2023, nel 2022 si è registrato il più alto numero di sempre di attacchi informatici e la più elevata percentuale di crescita annua, trend accompagnati da un aumento anche della gravità degli stessi.
Il Rapporto evidenzia come, in Italia, il settore governativo e quello della sanità siano tra i principali bersagli dei cyberattacchi, con una percentuale che supera il 24 % del totale. Sebbene ripensando al 2022 molti ricorderanno episodi come il colpo subìto dalla Rete di Ferrovie dello Stato, che ha causato disservizi e ritardi in tutto il Paese, è bene sottolineare come anche gli Enti locali siano entrati più volte nel mirino di queste operazioni malevole.
In risposta alla crescente digitalizzazione del settore pubblico, nel quale la sicurezza delle infrastrutture tecnologiche e dei sistemi è un obiettivo prioritario, il quadro normativo si è evoluto. Prima della nascita dell’Agenzia per la Cybersicurezza Nazionale (ACN), istituita con il D.L. 14 giugno 2021, n. 82 a tutela degli interessi nazionali nel cyberspazio, l’Agenzia per l’Italia Digitale (AgID) aveva emanato le misure minime di sicurezza ICT per le pubbliche amministrazioni, contenute già nella prima edizione del Piano Triennale per l’informatica nella PA (2017-2019). Inoltre, con le circolari 2 e 3 del 9 aprile 2018, aveva introdotto i “Criteri per la qualificazione dei Cloud Service Provider per la PA” e i “Criteri per la qualificazione di servizi SaaS per il Cloud della PA”.
Con questi due documenti, AgID aveva indirizzato chiaramente le scelte e gli investimenti dei fornitori della Pubblica Amministrazione, prevedendo il rispetto di specifici requisiti di sicurezza ai fini della qualificazione, ma con la Strategia Cloud Italia il paradigma è cambiato.
La normativa diventa più puntuale, dettagliata e tecnica, tanto da impattare inevitabilmente e in modo significativo le infrastrutture e gli strumenti tecnologici già in uso presso gli Enti pubblici. Realizzata dal Dipartimento per la Trasformazione Digitale e dall'ACN, la strategia prevede, tra le altre cose, un nuovo percorso di qualificazione dei fornitori di Cloud pubblico e dei servizi SaaS, al via dal 1 agosto 2023, sulla base di criteri di verifica aggiornati per garantire che le caratteristiche e i livelli di servizio dichiarati siano in linea con i requisiti necessari di sicurezza, affidabilità e rispetto delle normative rilevanti.
In qualità di partner tecnologico di quasi 850 Enti locali con il gestionale SaaS cloud nativo CiviliaNext, ci siamo chiesti, già prima della partenza del PNRR, come affrontare questo percorso e i suoi impatti sul nostro sistema. Attendere l’estate 2023 e le linee guida per la nuova qualificazione per poi adeguare più in fretta possibile il software, o riconoscere la validità del disegno tracciato dalla Strategia Cloud Italia e dall’ACN, lavorando fin da subito per rafforzare ulteriormente CiviliaNext e la nostra organizzazione? Abbiamo scelto la seconda strada, perché la sicurezza informatica non può essere ridotta soltanto a una mera questione di conformità alla legge, e al crescere delle minacce devono crescere anche le misure per contenerle.
Come suggerisce la parola stessa, il SaaS è un Software ma soprattutto un Servizio, e uno degli aspetti più vantaggiosi di questo modello per un Ente locale è proprio quello di delegare al proprio partner tecnologico i costi e la responsabilità legati alla gestione e alla manutenzione dell’infrastruttura, dal punto di vista del suo aggiornamento e della sua sicurezza.
Questo significa che i Comuni non devono fare nulla per proteggere i propri sistemi? Certamente no. Questo significa che la scelta del fornitore per la migrazione al cloud è solo una questione di fiducia? Certamente no, ma in parte sì! La qualificazione AgID e la futura al vaglio di ACN, e più in generale la normativa, hanno lo scopo di definire i requisiti e gli standard che ogni fornitore deve rispettare per poter collaborare con la PA. Tuttavia, la sicurezza informatica è anche intrinseca nel modo di lavorare di un’organizzazione, nel modo in cui si approccia all’innovazione e all’evoluzione normativa, come quella a cui abbiamo assistito dalla nascita della Strategia Cloud Italia e dell’ACN: è anche da questi aspetti che può nascere la fiducia di cui parliamo.
In Deda Next crediamo ancora fermamente nel filo conduttore che da oltre un decennio, a partire dall’Agenda Digitale del 2012, guida questa evoluzione alla base delle iniziative per la PA digitale. Un disegno dimostratosi, secondo noi, logico e coerente nei fatti, seppur con qualche discontinuità. È per questo che CiviliaNext è stato il primo gestionale SaaS ad ottenere la qualificazione AgID nel 2018, perché poggia le sue basi proprio su questi principi: nasce in cloud, non è stato semplicemente adattato alle nuove normative. Ed è per questo che oggi lavoriamo scrupolosamente affinché sia sicuro e continueremo a farlo in futuro.
Un SaaS sicuro è innanzitutto protetto dagli attacchi informatici. Non esiste una misura in grado di garantire questa protezione, bensì essa è frutto di una strategia costruita con un approccio, strumenti, competenze, monitoraggio: CiviliaNext è basato esclusivamente su servizi di tipo Platform as a Service (PaaS) che offrono diverse garanzie, tra cui l’assenza di macchine fisicamente attaccabili e l’accesso, senza disservizi, alle ultime versioni dei software di sistema con i fix di sicurezza gestiti dal CSP (Cloud Service Provider). Vengono inoltre verificate regolarmente le vulnerabilità del sistema verso attacchi malevoli con i più avanzati test, da persone con competenze certificate. In corrispondenza di queste analisi, ma in generale sempre, qualsiasi intervento si renda necessario viene eseguito e rilasciato in tempo reale per tutte le utenze, senza impatti sull’operatività degli Enti. Un ruolo importante nel proteggere il sistema viene inoltre garantito dall’autenticazione multi-fattore e dalla possibilità di integrare sistemi terzi di autenticazione: è infatti frequente che le amministrazioni dispongano di propri sistemi di accesso.
La protezione dai cyberattacchi è un aspetto di assoluta rilevanza, ma la sicurezza di un Software as a Service va anche oltre: significa, per citare alcuni tra gli aspetti più importanti, protezione dei dati e trattamento conforme al GDPR, continuità del servizio, anche in caso di incidenti o disastri, e pieno controllo sulle operazioni effettuate.
I Comuni custodiscono un’enorme mole di dati, relativi al territorio, ai servizi, ai cittadini, e dunque spesso sensibili: un patrimonio fondamentale che sta alla base dell’attività amministrativa degli Enti stessi. Questo è uno degli aspetti più importanti da tutelare sotto molti punti di vista, dalla sicurezza del database e dello storage che li ospitano alla loro accessibilità e portabilità, fino alla privacy e alla protezione dalla loro perdita. Grazie alla sua architettura, in CiviliaNext le informazioni di ciascun Ente sono isolate e protette. I Comuni restano titolari dei dati, ai quali hanno sempre accesso attraverso apposite API di integrazione.
Anche la privacy è tutelata in tutte le fasi, dallo sviluppo all’utilizzo del sistema, che è limitato da permessi e ruoli precisi e controllati, fino alla localizzazione degli stessi, confinati nel territorio europeo: CiviliaNext nasce infatti conforme al GDPR. Inoltre, attraverso una strategia di tracciatura e conservazione inalterabile dei log, garantisce agli amministratori dell’Ente di avere sempre il pieno controllo delle operazioni effettuate dal sistema. Questo consente di individuare accessi non autorizzati a una rete o a un archivio, o a ricostruire agevolmente le dinamiche di eventuali violazioni, anche involontarie.
Gli Enti sono liberi da preoccupazioni relative alla possibile perdita dei dati o interruzione del servizio, perché CiviliaNext utilizza sistemi di back-up nativi e integra funzionalità di disaster recovery, che consentono di ripristinare l’operatività anche in situazioni di emergenza a seguito di incidenti naturali o attacchi malevoli.
In aggiunta, la continuità operativa è garantita dalla disponibilità del servizio certificata del 99,95%, e dalla sua scalabilità: grazie al sistema di monitoraggio attivo delle risorse, la sua capacità può aumentare in base al carico richiesto in maniera pressoché immediata. Questo è uno dei principali vantaggi del cloud, perché non obbliga all’installazione di nuovo hardware di archiviazione presso l’Ente, ma prevede solo un aumento del canone.
In questo articolo abbiamo sostenuto che la sicurezza informatica è anche intrinseca nel modo di lavorare di un’organizzazione: che cosa significa? In questo ci viene in aiuto la gestione della qualità, intesa, semplificando, come l’insieme di tutte le attività e misure adottate per far sì che in ogni processo aziendale vengano rispettati elevati standard: questi criteri sono disciplinati dalle norme ISO, ampiamente riconosciute a livello internazionale, come anche da AgID e ACN.
In Deda Next ci impegniamo costantemente per il continuo rinnovo delle certificazioni che garantiscono l’elevato livello del nostro sistema di gestione per la qualità (ISO 9001), del nostro sistema di gestione per la sicurezza delle informazioni (ISO 27001) e la sua conformità agli standard 27017, 27018, che ne garantiscono l’aderenza a criteri specifici di protezione e rispetto della privacy per i dati nel cloud. Abbiamo inoltre un’organizzazione orientata all’erogazione di servizi IT, certificata ISO/IEC 20000-1: questo garantisce agli Enti che lavorano con noi la nostra capacità di fornire il nostro servizio in modo vantaggioso, assicurando la massima aderenza agli SLA concordati.
Ora che la massiccia migrazione al cloud è in corso, i Comuni possono fare scelte consapevoli dal punto di vista della sicurezza, sia aspettandosi che il proprio partner tecnologico possa, se richiesto, dimostrare la propria aderenza alla normativa, sia superando il punto di vista della compliance in favore di una visione più ampia sul modo di lavorare, di evolvere e pensare di un’azienda.