Pa, nel 2019 colpita da 120 ‘cyberattacchi’. Esperti: “Più prevenzione”

Webinar organizzato da Anorc con la 'Dire'

ROMA – Nel 2019 la Pubblica Amministrazione ha subito 120 data breach, ovvero ‘cyberattacchi’ mirati alla violazione dei dati contenuti nelle sue infrastrutture. Di questo e della figura del DPO (Data Protection Officer) si e’ discusso nel webinar promosso e organizzato dall’Associazione Nazionale Operatori e Responsabili della Custodia di contenuti digitali (ANORC) in collaborazione con l’Agenzia Stampa Dire.

Un dibattito affrontato da un gruppo di esperti del settore, affidati alla moderazione dell’avv. Andrea Lisi (ANORC professioni): Stefania Fiduccia (DPO per Enea), Corrado Giustozzi (senior cyber security strategist e consulente per AgID), Edoardo Limone (esperto in sicurezza informatica), Stefano Mele, (presidente dell’Autorita’ per le tecnologie dell’informazione e della comunicazione della Repubblica di San Marino).

“Il tema del data breach- ha spiegato Andrea Lisi, presidente di ANORC Professioni- e’ un fenomeno che ha avuto origine negli ultimi anni e, adesso, e’ diventato di tremenda attualita’, poiche’ la frequenza con cui le pubbliche amministrazioni subiscono attacchi e’ aumentato esponenzialmente. Per questo le PA si stanno mobilitando al fine di adottare DPO interni adeguatamente formati o DPO esterni esperti nei vari settori.

A differenza di quanto e’ stato fatto in una prima fase, nella quale si faceva ricorso quasi esclusivamente a professionisti esterni che hanno consentito di avviare delle best practice di prevenzione. Oggi ci si rende conto che la funzione di un buon DPO esterno deve essere soprattutto quella di sentirsi temporaneo, in modo da aiutare la PA a costruire internamente questa figura”.

Una voce d’esempio di cio’ e’ stata quella di Stefania Fiduccia: “Ho assunto il ruolo di DPO per Enea da aprile scorso, nel pieno della pandemia. Quando nel 2018 e’ entrato in vigore il GDPR, il nostro DPO esterno era proprio Andrea Lisi (tuttora nostro consulente legale su queste materie), che ha giovato molto alla struttura lasciando un’eredita’ che abbiamo raccolto. Nel corso di due anni, dal 2018 ad oggi, in azienda ci sono stati due data breach, ma l’avere avviato un percorso di prevenzione ci ha consentito di reggere bene.

L’ultimo, in particolare, e’ stato un vero stress test, in cui abbiamo messo in atto tutti i provvedimenti previsti dal GDPR”.
Per Corrado Giustozzi, consulente di AgID ed esperto di cybersicurezza, “l’analisi del rischio rappresenta il vero cuore del data breach. Spesso valutata a posteriori, cioe’ quando vengono adottate le misure di sicurezza a seguito di un attacco, l’analisi invece deve essere fatta prima, per impedire che possa esserci un attacco.

Il legislatore europeo ha cambiato l’approccio proprio in questo senso: al centro dell’analisi del rischio ci sono le attivita’ preventive, e quindi occorre definire le misure di sicurezza come atto primo da cui scaturisce ‘l’accountability’, ovvero l’adozione di una data misura di sicurezza ritagliata in maniera precisa sull’infrastruttura”.

L’eccessiva parcellizzazione dei ruoli e degli strumenti, pero’, ha ricordato Lisi, “puo’ indurre a fare scelte non assennate. Quante volte leggiamo con approccio troppo semplicistico nei piani triennali delle Pubbliche Amministrazioni: ‘puntiamo sul cloud’? Fare eccessivo affidamento al cloud, un po’ come e’ stato per il ‘digital first’, ci penalizza: come monitoriamo e vigiliamo sulla gestione del cloud da parte di fornitori quali Amazon, Aruba ed altri? Si e’ destinati a una deriva, poiche’ si andranno a tappare eventuali buchi di controllo semplicemente con nuove norme che non possono adattarsi alle specifiche esigenze dei diversi enti”.

Successivamente e’ intervenuto anche Edoardo Limone sulle mancate analisi del rischio: “La sicurezza informatica non e’ piu’ solo un problema informatico-tecnico, ma organizzativo e di cultura. Deve tradursi in piu’ formazione per tutte la PA e necessita di un cambio di approccio piu’ organico”.

In conclusione del webinar vi e’ il pensiero di Stefano Mele (presidente dell’Autorita’ per le tecnologie dell’informazione e della comunicazione (Autorita’ ICT) della Repubblica di San Marino) sul ruolo del DPO che “deve agire a tutela della sicurezza nazionale e dei diritti dei dati, per questo il ruolo del data protection officer e’ centrale quanto quello dei conservatori: i dati dei cittadini sono troppo importanti per essere gestiti solo come sicurezza informatica”.