Entra nel vivo la fase operativa per la realizzazione di un sistema di sicurezza nazionale in Cloud per la PA del nostro paese. Una trasformazione digitale che nei prossimi cinque anni coinvolgerà tutti gli enti della PA centrale e locale, dai ministeri alle regioni alle città metropolitane, che prevede la fornitura di servizi di sicurezza e professionali per la creazione del Cloud nazionale dei servizi digitali della PA. La gara Consip del valore complessivo di 600 milioni è stata vinta a giugno del 2016 per il Lotto 2 SPC Cloud security dal raggruppamento d’imprese composto da Leonardo, Fastweb e IBM. Il tema è quanto mai attuale e urgente, visto che entro fine anno le PA sono chiamate a stilare piani dettagliati di Cybersecurity per far fronte alla crescente minaccia cyber. Per fare il punto sul progetto Cloud Security nella PA abbiamo parlato con Marco Pennarola, Manager of Mktg Product Dev.&Go to Market di Fastweb.
Key4biz. Qual è il ruolo di un telco provider in ambito sicurezza?
Marco Pennarola. Una telco ha da sempre l’esperienza di gestire una rete end-to-end. Noi, in quanto operatore infrastrutturato portiamo in ambito security tutti i nostri asset e il nostro know-how in collaborazione con i nostri partner IT. Come telco provider abbiamo nel nostro Dna il controllo della rete e dell’accesso, gestiamo in sicurezza un’infrastruttura critica per il Paese – come appunto una rete TLC – e abbiamo puntato poi su anche su altre infrastrutture IT come il Cloud e il DataCenter. Siamo quindi in grado di vedere tutto il ciclo della sicurezza end-to-end, dalla rete al Cloud. Inoltre, gestiamo da sempre volumi enormi di dati e questo è un vantaggio non da poco anche nel mondo della sicurezza delle aziende e della PA, dove è sempre più importante correlare i dati generati dall’azienda con quelli provenienti dal web in un’ottica di vera e propria security intelligence.
Key4biz. Il 2016 è stato un anno nero per la cybersecurity. Quali sono i pericoli maggiori e i trend di sviluppo delle minacce informatiche in Italia e in particolare nella PA?
Marco Pennarola. Nel commentare le evoluzioni delle minacce informatiche si potrebbero individuare molteplici fattori e aspetti, alcuni molto specifici e di dettaglio. Se analizziamo i vari mercati, il settore che nel 2016 ha registrato il maggior incremento nel numero di attacchi è la Sanità (+102%). In generale, nel contesto PA, le minacce sono in aumento, pur senza registrare particolari trend differenzianti rispetto al resto del mercato.
Per fornire un quadro di alto livello, possiamo rifarci ai dati di sintesi riportati nel Report 2017 del Clusit al quale Fastweb contribuisce da alcuni anni con le statistiche che rileva annualmente sugli attacchi informatici.
La principale matrice di tali attacchi ha origine nel Cybercrime (72%): questo dato – in costante aumento – è la causa principale della diffusione delle varie tipologie di malware; è sempre più frequente una vera e propria commercializzazione di malware, utilizzati da terze parti per ottenere un beneficio economico (e talvolta– nel mercato privato – anche per danneggiare un concorrente). Tra questi i ransomware, la vera piaga del 2016, che ha registrato un aumento del 50% rispetto all’anno precedente in termini di numero di infezioni rilevate.
Key4biz. E ancora?
Marco Pennarola. Un ulteriore fenomeno in crescita è rappresentato dagli attacchi a saturazione di banda (DDoS), per i quali il nostro SOC (Security Operations Center) ha rilevato una crescita del 100% anno su anno in termini di potenza: il valore medio di un attacco è passato infatti da 3 Gbps del 2014 a 6 Gbps nel 2015 fino ad arrivare ad 11 Gbps lo scorso anno.
Un altro dato significativo riguarda le tipologie di attacco rilevate: circa il 56% si basa su tecniche già note e che potrebbero essere quindi mitigate adottando dei livelli minimi di sicurezza. Per difendersi dal rimanente 44% di attacchi “non noti” è richiesto un approccio più avanzato e investimenti più importanti.
Key4biz. Come si diffondono gli attacchi?
Marco Pennarola. Tra i diversi vettori d’attacco utilizzati, la mail è il principale: al netto dei messaggi di spam, circa il 1,5% delle mail contiene link malevoli o malware, che nel 10% dei casi non sono ancora riconosciuti dai motori antispam e anti-virus dei principali vendor. In sostanza, se riceviamo 70 email al giorno, una è infetta.
Key4biz. C’è consapevolezza nella PA italiana dei rischi legati alla sicurezza dei dati dei cittadini?
Marco Pennarola. La consapevolezza non è ancora particolarmente rilevante, rispetto alla crescita degli attacchi, che diventano sempre più numerosi e sofisticati. Talvolta il tema della sicurezza si pone solo dopo incident che hanno messo in evidenza eventuali debolezze in termini di protezione. Quanto meno, il susseguirsi di casi di infiltrazioni e data breach pubblici stanno contribuendo ad aumentare la consapevolezza di tutti. In ambito PA tale tendenza al cambiamento è dimostrata dagli interventi appena varati da Agid e dal Governo, non ultimo l’emissione dei Requisiti minimi di Sicurezza per la PA.
Key4biz. Quali le contromisure più urgenti da adottare, soprattutto nella PA?
Marco Pennarola. Un passo molto importante in ambito PA è rappresentato dalle linee guida che definiscono quali sono le direttive minime da seguire e quali soluzioni da utilizzare. Naturalmente si tratta di un processo che richiederà tempo, ma ora gli strumenti a disposizione della PA sono molteplici, e altri ancora verranno introdotti a breve: si pensi ad esempio a soluzioni per fronteggiare anche attacchi di nuova generazione, un fenomeno in crescita che richiede soluzioni dedicate.
Key4biz. C’è un gap di competenze nella PA?
Marco Pennarola. In parte sì, e un elemento particolarmente rilevante su cui agire è quello della formazione e dell’innalzamento della cultura in termini di cybersecurity. E’ necessaria una chiara consapevolezza dei rischi e delle responsabilità al livello dei singoli dipendenti e non solo degli “addetti ai lavori” (es. IT manager): l’anello debole rispetto ai rischi sulla sicurezza resta ancora oggi il fattore umano. Per quanto riguarda le competenze specifiche sulle tecnologie avanzate di sicurezza e sull’evoluzione delle minacce informatiche, la PA si potrà avvalere del know-how dei partner tecnologici aggiudicatari della gara SPC Cloud – Lotto2.
Key4biz. Fastweb, insieme a Leonardo e Ibm, si è aggiudicata la gara Consip per la Cloud Security della PA. A che punto è la fase di implementazione del progetto?
Marco Pennarola. Terminati i collaudi, la convenzione è attiva da fine 2016. Le prime attivazioni sono state realizzate nei primi mesi del 2017 e possiamo dire che il livello di conoscenza sta aumentando gradatamente e la convenzione inizia ad essere effettivamente utilizzata. Tale trend è dimostrato anche dal crescente interesse che stiamo registrando da parte delle varie istituzioni. Naturalmente c’è ancora molto da fare, soprattutto in termini di conoscenza dei servizi e degli strumenti da utilizzare per la sottoscrizione dei servizi stessi. La diffusione di tali informazioni passa anche da iniziative come quella organizzata ieri da AGID e CSA, che contribuiscono a diffondere una cultura della sicurezza. Tra l’altro, come Fastweb stiamo organizzando anche eventi locali ad hoc in alcune regioni per promuovere misure adeguate di sicurezza: in primo luogo SPC Cloud Lotto 2, ma anche altre convenzioni che prevedono, tra i vari servizi, soluzioni di IT Security.
Key4biz. Quali gli ostacoli più significativi per la PA legati alla sicurezza in Cloud?
Marco Pennarola. Per anni uno dei freni legati all’adozione del paradigma Cloud è stata la diffidenza delle aziende nei confronti degli aspetti di sicurezza e del mancato controllo della gestione dei dati. Analogamente un timore sui rischi della sicurezza ha talvolta frenato l’adozione di soluzioni che abilitano la trasformazione digitale della PA e migliorano i servizi al cittadino – si pensi ad es. alla diffusione del WiFi. E’ importante diffondere una cultura legata alla valorizzazione dei vantaggi che l’adozione di soluzioni di sicurezza in Cloud potrà comportare.
Key4biz. Quali sono i principali vantaggi del Cloud?
Marco Pennarola. In primo luogo, la flessibilità e l’aggiornamento costante: le soluzioni in cloud si basano su infrastrutture resilienti e sempre aggiornate, in grado di scalare e di garantire elevati livelli di servizio. Poi, la resilienza e la sicurezza intrinseca: le piattaforme tecnologiche utilizzate sono robuste e ridondate, gestite da personale specializzato. Ad esempio, Fastweb eroga i propri servizi Cloud da un Data Center localizzato in Italia, certificato Tier IV e si avvale di team di specialisti in ambito Security e Cloud (SOC e Competence Center) dedicati alle aziende del pubblico e del privato. Poi c’è il Time-to-market: velocità di attivazione e in generale dell’intero processo dal design al delivery all’operation/upgrade. Altri vantaggi sono legati alla velocità di attivazione dei servizi e alla sostenibilità del modello di business, in particolare i bassi investimenti iniziali.
Tutti questi aspetti liberano l’azienda e le PA da una serie di attività, anche complesse, e garantiscono un livello di servizio sempre alto – aspetto non scontato vista la continua evoluzione dei modelli di business, delle tecnologie e – purtroppo – anche delle minacce.
In definitiva, il Cloud con i suoi livelli di sicurezza e ridondanza risponde a tutte le esigenze della PA in maniera strutturata. Naturalmente è importante affidarsi a Cloud Security Provider che garantiscano un servizio di livello adeguato, sulla base di:
– Localizzazione delle infrastrutture (es.: territorio Italiano vs globale)
– Certificazioni (ISO 27001, 27018, etc.)
– Capacità di integrazione e di garantire Service Level Agreement adeguati, in un’ottica di controllo end2end della qualità (non solo infrastruttura di DC, ma anche collegamento alla rete)
– Competenze del provider in ambito IT Security.
Key4biz. Nell’ambito del progetto Spc Cloud Lotto 2 quali servizi saranno messi a disposizione delle Pubbliche Amministrazioni?
Marco Pennarola. I servizi previsti dalla convenzione si possono raggruppare in diverse aree e toccano diversi ambiti dell’IT Security. Naturalmente ogni amministrazione avrà la possibilità di combinare tali servizi in base alle specifiche esigenze e fabbisogni.
Le principali tematiche trattate sono le seguenti:
- Gestione delle identità (utile soprattutto nella protezione degli accessi a servizi digitali esposti da portali pubblici, nonché per consentire l’utilizzo di strumenti di autenticazione quali SPID)
- Validazione Digitale dei documenti (timbro e firma digitale)
- Gestione della vulnerabilità e Security Assessment (sia a livello di codice sorgente che di applicazioni Web e Mobile)
- Strumenti di Data Loss Prevention (DLP) e soluzioni per la protezione dei database
- Sicurezza Perimetrale (con servizi di protezione della navigazione, ma anche di Next Generation Firewall e, persino, di Web Application Firewall)
- Servizi professionali (consulenza, formazione, etc.)
- Monitoraggio degli eventi di Sicurezza
Un elemento molto importante e positivo è inoltre la presenza di servizi di sicurezza anche in altre convenzioni della PA (ad es: SPC Connettività, SGM, Desktop Outsourcing, Videosorveglianza): ciò rappresenta un’ulteriore conferma della centralità che oggi riveste l’IT Security per la PA.
Key4biz. C’è forse un diverso approccio o grado di consapevolezza al tema security fra ministeri e altri enti della PA locale?
Marco Pennarola. Riallacciandosi a quanto detto in precedenza, rispetto all’entità dei rischi e dei trend in corso, il livello di consapevolezza – seppur in crescita – non è ancora sufficientemente elevato, e questo non solo nella PA. Eventi come quello di oggi a Roma, e come altri che Fastweb sta organizzando in alcune regioni, sono molto utili proprio perché contribuiscono a diffondere una cultura della sicurezza. Il ruolo di operatori come Fastweb è proprio quello di “informare”, quindi diffondere consapevolezza, e “formare”, quindi condividere best practice e/o supportare attivamente nella gestione della security con le migliori expertise presenti sul mercato. Naturalmente le diverse dimensioni e gli ambiti d’azione che caratterizzano Ministeri e PA Locale portano a dover considerare diversi tipi di rischi e quindi di risposte/stili di protezione. In tal senso, pur partendo da esigenze di base spesso similari, il livello di complessità delle soluzioni utilizzate e gli approcci applicati possono variare sulla base delle dimensioni (es. PAC vs PAL) e del settore (es: Sanità, Comuni, Education,..) e al grado di esposizione della singola istituzione.
Key4biz. Alcuni grandi progetti del piano Crescita Digitale, in primo luogo l’Anagrafe Unica e lo Spid, stentano a decollare. Qual è la posizione di Fastweb al riguardo? Come migliorare le cose?
Marco Pennarola. In progetti di queste dimensioni e portata, la chiave del successo sta nel trasferire al cittadino ed alle aziende un beneficio di semplificazione tangibile. Elementi che possono aver rallentato l’adoption sono rappresentati da un’offerta frammentata (con diversi soggetti che erogano identità digitali con processi differenti), con costi futuri per il cittadino non noti a priori e con la facoltà lasciata al cittadino stesso di scegliere molteplici meccanismi di autenticazione. E’ comunque fisiologico che l’execution di un progetto sfidante come SPID richieda del tempo e che la sua adozione sarà supportata progressivamente dalla chiara percezione da parte del cittadino che tale strumento porterà nella sua relazione con la PA ed i servizi erogati.