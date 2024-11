Articolo tratto dal numero di novembre 2024 di Forbes Italia. Abbonati!

La pubblica amministrazione è nel mirino della criminalità informatica, che attacca da più fronti. Se da un lato la digitalizzazione dei servizi ha reso più efficienti e accessibili molte procedure, dall’altro ha esposto le amministrazioni a nuove e sofisticate minacce.

L’elevata concentrazione di dati sensibili, l’interconnessione dei sistemi e la complessità delle infrastrutture It rappresentano un terreno fertile per gli hacker in rete. Attacchi di varia natura, come malware, ransomware ed e-mail phishing, possono portare all’interruzione dei servizi essenziali e a gravi violazioni della privacy, con conseguente fuga di dati, senza contare i costi per ripristinare i sistemi e gestire la crisi.

L’ultimo rapporto dell’Agenzia dell’Unione europea per la cibersicurezza sulla sicurezza informatica ha evidenziato che la Pa è stata la prima vittima per numero di attacchi nell’anno passato. Ancora più interessante è il fatto che gli attacchi più frequenti (dopo il distributed denial of service, imputabile a fenomeni di ‘cyber hacktivismo’ o ‘cyber vandalismo’ fomentati dall’instabilità politica globale) sono stati il ransomware e il furto di dati.

Forbes ha intervistato Marco Gioanola, principal sales engineer di Zscaler, che si è soffermato sulle sfide della Pa in tema di sicurezza e sui vantaggi legati a un approccio zero trust.

Quali sono le maggiori sfide che i responsabili della sicurezza informatica nella Pa devono affrontare oggi?

È evidente che le minacce alla disponibilità e alla riservatezza dei dati in possesso della Pa sono tra le più gravi, in quanto riguardano i diritti dei cittadini e la robustezza delle istituzioni democratiche. Purtroppo la cronaca conferma questi dati con frequenti esempi, come il recente arresto del 24enne responsabile dell’intrusione nei sistemi informatici di vari enti dello Stato e di aziende di primaria importanza. Queste tendenze si inseriscono in un momento storico nel quale i paradigmi che hanno guidato per decenni lo sviluppo delle infrastrutture informatiche e di sicurezza vengono sovvertiti dall’adozione impetuosa del cloud computing e del telelavoro. Nonostante venga spesso percepita come un ambiente meno dinamico di quello privato, la Pa non fa eccezione. Qui i responsabili della sicurezza informatica si trovano nella scomoda posizione di dover governare dati spesso estremamente critici e sensibili che si muovono su sistemi sempre più distribuiti e fuori dal controllo dei tradizionali meccanismi di difesa perimetrale. La buona notizia è che Zscaler, azienda leader nel settore della sicurezza informatica zero trust, osserva una diffusa consapevolezza della necessità di affrontare queste sfide, alimentata non solo dagli attacchi sempre più sofisticati, ma anche dalle richieste della legislazione internazionale, non ultima la normativa Nis2, che ha recentemente iniziato l’iter di adozione.

Come l’approccio zero trust può contribuire a migliorare la resilienza di un’organizzazione?

Uno dei pilastri del nuovo modo di fare sicurezza informatica è proprio l’approccio zero trust, che prevede che ogni tentativo di connessione sia valutato singolarmente e dinamicamente rispetto al contesto (identità e localizzazione dell’utente, robustezza dell’apparato utilizzato o tipo dei dati richiesti) nel quale è stato eseguito. Questa sorta di ‘assunzione di colpevolezza fino a prova contraria’ permette di massimizzare il controllo sui dati e minimizzare i danni causati da eventuali intrusioni. Con i sistemi tradizionali, una singola intrusione attraverso una vpn apre le porte all’intera rete della vittima, mentre al contrario l’approccio zero trust prevede che la rete rimanga inaccessibile e che solo le comunicazioni uno a uno siano eventualmente permesse e strettamente monitorate. Questo approccio richiede una disponibilità di risorse computazionali fuori dalla portata dei sistemi tradizionali, oggi disponibile solo con sistemi cloud.

Quali altri benefici può portare l’adozione del modello zero trust?

Oggi strumenti come il Regolamento per le infrastrutture e i servizi cloud adottato dall’Agenzia per la cybersicurezza nazionale (Acn), ad esempio, mettono ordine nell’adozione di servizi SaaS da parte della Pa, inclusi quelli relativi alla sicurezza informatica. Zscaler si è dotata della qualificazione necessaria per apparire nel catalogo dei servizi cloud dell’Acn proprio per soddisfare la crescente volontà di adozione del modello zero trust da parte della Pa. Per il futuro prossimo, sempre più pubbliche amministrazioni locali e centrali sapranno realizzare, nei loro ambiti specifici, i vantaggi della sicurezza zero trust basata su cloud. In primo luogo, oggi è possibile rispondere a tutte le richieste relative alla conservazione e gestione dei dati da parte dei fornitori SaaS, ad esempio attraverso le opportune localizzazioni geografiche o l’implementazione di sistemi ibridi cloud-locali. Allo stesso tempo, i lavoratori della Pa potranno utilizzare strumenti informatici più snelli e affidabili degli attuali, abilitando modalità di lavoro più flessibili ed efficienti. Senza contare l’aspetto economico: infrastrutture informatiche e di sicurezza che si sono stratificate negli anni ed eccessivamente complesse possono essere sostituite con soluzioni cloud più economiche e in grado di alleggerire enormemente il carico di lavoro manutentivo necessario al personale informatico.

