Con il PNRR la Pubblica Amministrazione locale si prepara per una massiccia migrazione al cloud: i Comuni possono fare scelte consapevoli in tema di sicurezza
Investita dal Piano Nazionale di Ripresa e Resilienza (PNRR) di un ruolo centrale per il rilancio della competitività del Paese, negli ultimi due anni la Pubblica Amministrazione locale ha intrapreso un percorso di digitalizzazione scandito da un ritmo incalzante e ambiziosi traguardi da raggiungere. Un percorso che ha come fine ultimo la costruzione di una PA moderna, più vicina ai cittadini e alle imprese, che metta davvero al centro le loro esigenze. Tra i passi individuati per raggiungere questo scopo, uno dei più centrali è la migrazione al cloud.
All’interno della misura 1.2 del PNRR, infatti, il principio del cloud first per la PA – già introdotto dal Piano Triennale – diventa obiettivo e opportunità, con un investimento previsto di 1 miliardo di euro per sostenere la migrazione verso ambienti cloud qualificati di quasi 16.500 enti fra locali, sanitari e scolastici.
In questo scenario, emerge chiaramente come la sicurezza sia uno degli aspetti più cruciali della trasformazione digitale: un aspetto che, in un momento storico in cui gli attacchi informatici alle istituzioni sono in continua crescita, non può essere dare per scontato. Sebbene il cloud rappresenti un’alternativa più sicura delle soluzioni On Premise, installate cioè in locale, questo non significa infatti che sia esente da minacce e vulnerabilità.
La PA al centro del mirino
Nel 2022 si è registrato il più alto numero di sempre di attacchi informatici e un aumento della loro gravità, evidenzia il Rapporto Clusit 2023. E proprio il settore governativo e quello della sanità sono tra i principali bersagli, con una percentuale che supera il 24% del totale.
Ad essere vittima dei cyberattacchi, però, non sono soltanto le grandi istituzioni. Sebbene, ripensando al 2022, vengano subito alla mente episodi come il colpo subìto dalla rete di Ferrovie dello Stato, che ha causato disservizi e ritardi in tutto il Paese, anche gli Enti locali sono entrati più volte nel mirino di operazioni malevole.
La sicurezza delle infrastrutture tecnologiche e dei sistemi informatici della PA è quindi oggi un obiettivo prioritario, a cui puntano le più recenti evoluzioni del quadro normativo.
Un nuovo paradigma per garantire la sicurezza del cloud
Già prima della nascita dell’Agenzia per la Cybersicurezza Nazionale (ACN), istituita nel 2021, l’Agenzia per l’Italia Digitale (AgID) aveva emanato le misure minime di sicurezza ICT per le pubbliche amministrazioni, contenute nella prima edizione del Piano Triennale per l’informatica nella PA. Inoltre, nel 2018, aveva introdotto i “Criteri per la qualificazione dei Cloud Service Provider per la PA” e i “Criteri per la qualificazione di servizi SaaS per il Cloud della PA”, con cui aveva indirizzato chiaramente le scelte e gli investimenti dei fornitori della Pubblica Amministrazione, prevedendo il rispetto di specifici requisiti di sicurezza ai fini della qualificazione.
Con la Strategia Cloud Italia, però, il paradigma è cambiato. La normativa diventa più puntuale, dettagliata e tecnica, tanto da impattare inevitabilmente e in modo significativo sulle infrastrutture e gli strumenti tecnologici già in uso presso gli enti pubblici. Realizzata dal Dipartimento per la Trasformazione Digitale e dall’ACN, la strategia prevede, tra le altre cose, un nuovo percorso di qualificazione dei fornitori di Cloud pubblico e di servizi Software as a Service (SaaS), al via dal 1° agosto 2023, sulla base di criteri di verifica aggiornati per garantire che le caratteristiche e i livelli di servizio dichiarati siano in linea con i requisiti necessari di sicurezza, affidabilità e rispetto delle normative.
Per i fornitori di servizi SaaS si è quindi aperta una fase di riflessione su come affrontare al meglio questo percorso. Attendere l’estate 2023 e le linee guida per la nuova qualificazione, per poi adeguare velocemente i software, o riconoscere la validità del disegno tracciato dalla Strategia Cloud Italia e dall’ACN, lavorando fin da subito in quella direzione per rafforzare ulteriormente le proprie soluzioni?
La risposta a questa domanda dipende da come viene considerato il tema della sicurezza: un puro adempimento normativo, o una necessità primaria, a cui rispondere non solo attraverso un’evoluzione tecnologica, ma anche attraverso un approccio più ampio, che riguarda tutto il modo di lavorare di un’azienda?
Cloud e sicurezza: andare oltre l'adempimento normativo
Come suggerisce la parola stessa, il Software as a Service è un Software ma soprattutto un Servizio, e uno degli aspetti più vantaggiosi di questo modello per un Ente locale è proprio quello di delegare al proprio partner tecnologico i costi e la responsabilità legati alla gestione e alla manutenzione dell’infrastruttura, dal punto di vista del suo aggiornamento e della sua sicurezza.
Questo significa che i Comuni non devono fare nulla per proteggere i propri sistemi? Certamente no. Questo significa che la scelta del fornitore per la migrazione al cloud è una questione di fiducia? Non soltanto, ma in parte sì! La qualificazione AgID, quella futura al vaglio di ACN, e più in generale la normativa, hanno lo scopo di definire i requisiti e gli standard che ogni azienda deve rispettare per poter collaborare con la PA.
Tuttavia, la sicurezza informatica non può essere ridotta ad una mera questione di conformità alla legge. È anche intrinseca nel modo di lavorare di un’organizzazione, nel modo in cui questa si approccia all’innovazione e all’evoluzione normativa, percependola come uno stimolo per potenziare e migliorare le soluzioni che mette a disposizione dei propri clienti: è anche da questi aspetti che può nascere la fiducia di cui stiamo parlando.
Che cosa significa, per i Comuni, avere un SaaS sicuro?
La sicurezza di un Software as a Service è il risultato di una strategia ampia e sistemica, capace di indirizzare i molteplici aspetti che contribuiscono alla sua protezione.
Innanzitutto, un SaaS, per essere sicuro, deve essere protetto dagli attacchi informatici. Non esiste però un’unica soluzione in grado di assicurarne la protezione: essa è frutto di un approccio fondato su conoscenza, strumenti, competenze, monitoraggio. Un SaaS basato esclusivamente su servizi di tipo Platform as a Service (PaaS), per esempio, offre diverse garanzie, tra cui l’assenza di macchine fisicamente attaccabili e l’accesso, senza disservizi, alle ultime versioni dei software di sistema con i fix gestiti dal Cloud Service Provider (CSP). La verifica regolare delle vulnerabilità, l’autenticazione multi-fattore e la possibilità di integrare sistemi terzi di accesso sono altri importanti elementi che concorrono nel potenziare la sicurezza dal punto di vista informatico.
Anche se la difesa dai cyberattacchi è un aspetto di assoluta rilevanza, la sicurezza di un Software as a Service deve però andare oltre: significa protezione dei dati e trattamento conforme al GDPR, continuità del servizio, anche in caso di incidenti o disastri, e pieno controllo sulle operazioni effettuate.
I Comuni custodiscono un’enorme mole di informazioni, spesso sensibili, relative al territorio, ai cittadini e ai servizi: un patrimonio di grande valore, che sta alla base dell’attività amministrativa. Questo vasto capitale di dati, di cui – vale la pena sottolinearlo – gli Enti restano titolari anche dopo la migrazione in SaaS, è proprio è uno degli aspetti più importanti da tutelare, sotto molti punti di vista: dalla sicurezza del database e dello storage che lo ospita, alla accessibilità attraverso apposite API di integrazione, fino alla privacy e alla protezione dalla sua perdita. Per questo motivo la conformità al GDPR è fondamentale, non solo per l’utilizzo del software, ma anche nel suo sviluppo. Cruciali sono inoltre il controllo degli accessi e delle operazioni effettuate e l’introduzione di sistemi di back up nativi e di funzioni di disaster recovery, che liberano gli Enti dalla preoccupazione di perdere dati o di subire interruzioni del servizio grazie alla possibilità di ripristinare l’operatività anche in situazioni di emergenza.
Infine, uno dei principali vantaggi dati dal cloud è la continuità operativa, garantita sia dalla disponibilità del servizio, che deve essere certificata tramite appositi Service Level Agreement (SLA), sia dalla sua scalabilità. Per aumentare la capacità di storage, infatti, il cloud non obbliga all’installazione di un nuovo hardware di archiviazione presso l’Ente, ma prevede solo un aumento del canone in base al carico richiesto.
Cogliere il cambiamento come un'opportunità
In Deda Next crediamo fermamente nel filo conduttore che, da oltre un decennio, guida l’evoluzione alla base delle iniziative per la PA digitale. Un disegno dimostratosi logico e coerente nei fatti, seppur con qualche discontinuità.
È per questo che CiviliaNext è stato il primo gestionale SaaS ad ottenere la qualificazione AgID nel 2018, perché poggia le basi proprio su questi principi: nasce in cloud, non è stato semplicemente adattato alle nuove normative. Ed è per questo che continuiamo a lavorare scrupolosamente per potenziarne la sicurezza, nella consapevolezza che, al crescere delle minacce, devono crescere anche le misure per contenerle.
Già prima della partenza del PNRR ci siamo chiesti come affrontare le nuove direttive che vedevamo arrivare in termini di sicurezza. E abbiamo scelto sin da subito di cogliere questo cambiamento come un’opportunità per rendere il nostro software ancora più solido. Il nostro approccio, però, va ben oltre lo sviluppo di un gestionale sicuro a livello tecnologico e aderente alle normative. La sicurezza di una soluzione, infatti, è strettamente legata all’affidabilità del fornitore che la offre: non solo dal punto di vista della competenza, ma anche del rispetto di elevati standard nella gestione dei processi e dell’organizzazione.
In Deda Next ci impegniamo costantemente per il continuo rinnovo delle certificazioni che garantiscono il livello del nostro sistema di gestione per la qualità, del nostro sistema di gestione per la sicurezza delle informazioni e la conformità agli standard 27017, 27018, che ne assicurano l’aderenza a criteri specifici di protezione e rispetto della privacy per i dati nel cloud. Abbiamo inoltre un’organizzazione orientata all’erogazione di servizi IT, certificata ISO/IEC 20000-1: questo garantisce agli Enti con cui lavoriamo la nostra capacità di fornire il servizio in modo vantaggioso, assicurando la massima aderenza agli accordi sui livelli di servizio concordati.
Una visione di lungo periodo
Ciascuno degli aspetti citati in questo articolo non rende, da solo, un Software as a Service sicuro: è il loro insieme che contribuisce a farlo. La sicurezza di una soluzione, infatti, sta tanto nella tecnologia, nella conformità alla legge e nelle certificazioni di compliance, quanto nella visione e nell’approccio all’innovazione di chi la sviluppa.
Ora che la massiccia migrazione al cloud è in corso, i Comuni devono fare scelte consapevoli dal punto di vista della sicurezza, verificando l’aderenza alla normativa delle soluzioni scelte, che deve essere dimostrabile, e valutando l’affidabilità del proprio partner tecnologico anche in base al suo modo di porsi verso l’evoluzione del mercato.
