MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Cybersecurity, le best practice da adottare per minimizzare il rischio
I martedì della cybersecurity/ Prevenzione, reazione, miglioramento: la mappa delle indicazioni utili per le pubbliche amministrazioni

di LUISA DI GIACOMO*

Il report Clusit 2022 ha evidenziato un aumento degli attacchi informatici negli anni 2018-2021 del 32% annuo: rispetto ai 7144 attacchi gravi censiti nel mondo nello stesso periodo, oltre 900 hanno colpito l’Europa e quasi 200 l’Italia, dati che dimostrano come il nostro Paese sia diventato un bersaglio frequente ed esposto. Il documento di sicurezza nazionale del Dipartimento delle Informazioni per la Sicurezza (DIS) evidenzia come l’80% di questi attacchi sia rivolto verso le PA. In informatica il rischio zero non esiste e spesso si tratta solo di una questione di tempo. La migliore arma che si può adottare in questi casi è la prevenzione, una serie di best practice da adottare per minimizzare il rischio ed il danno.

Prima di un attacco: la prevenzione

La regina di tutte le misure di sicurezza è la prevenzione. Un protocollo di cybersecurity degno di questo nome dovrebbe prevedere quanto meno i seguenti punti:

Assessment iniziale della situazione, con mappatura della rete e delle misure di sicurezza già esistenti;
Analisi dei rischi misurati secondo lo stato dell’arte, ed elaborazione di un mitigation plan per la minimizzazione del rischio, con investimenti ed implementazione delle misure di sicurezza, laddove non adeguate;
Compliance al GDPR. Su questo tema si potrebbe aprire un capitolo a parte, e molti amministratori locali storcono il naso quando si parla di “legge sulla privacy”, considerandola come un inutile tributo da pagare alla burocrazia, ma non bisogna dimenticare che proteggere i dati e la loro integrità e riservatezza vuol dire evitare di incorrere in sanzioni e responsabilità personali. Viceversa, adoperarsi per l’adeguamento al GDPR senza prevedere una adeguata strategia di sicurezza informatica, vuol dire effettuare un adeguamento zoppo, dunque i due elementi devono andare di pare passo, necessariamente;
Formazione del personale e sensibilizzazione della dirigenza dell’ente locale: il fattore umano rappresenta il primo fattore di rischio e di ingresso di minacce all’interno del perimetro informatico, dunque investire in formazione resta una pratica virtuosa da cui non si può prescindere;
Redazione delle procedure: proceduralizzare le misure di prevenzione adottate nell’ente vuol dire non solo renderle fruibili a tutti e di facile consultazione, ma dà anche l’idea della consapevolezza della proprietà in merito all’importanza del tema. Permette inoltre di monitorare più facilmente la situazione e di agire più tempestivamente in caso di necessità;
Assessment continui e test: le procedure vanno testate e i sistemi di sicurezza continuamente aggiornati. Effettuare periodicamente audit, assessment e vulnerability test è un ottimo modo per verificare che le misure adottate siano funzionali e correggere il tiro in caso di risposta negativa.

Durante un attacco: la reazione

In caso di attacco di successo, bisogna sapere come agire e farlo in fretta.
Se si è lavorato bene in prevenzione e sono state adottate le procedure necessarie, è il momento di tirare fuori dal cassetto la procedura da seguire per la gestione del data breach, ed applicarla. Sapere chi fa cosa e come lo fa è il solo modo per reagire in maniera proattiva ad un evento che avremmo sperato di non dover gestire mai.
La procedura di data breach, che comprenderà anche il registro delle violazioni, dirà quali soggetti dobbiamo coinvolgere nell’incidente, se necessario comunicare la violazione al Garante ed agli interessati e fornirà le linee guida da seguire durante l’attacco.
Fondamentale è coinvolgere sempre il DPO nominato dall’Ente, che è il soggetto deputato non solo a coordinare le procedure, ma anche a tenere i rapporti con il Garante e con gli interessati.
Inoltre, la procedura per il disaster recovery, che preveda il data set minimo da ripristinare, il tempo massimo entro cui il danno potrebbe diventare irreversibile, e le metodologie per il recupero dei dati, ci guiderà, nell’imminenza dell’attacco, in modo da assicurare la minor interruzione aziendale possibile e ripristinare lo status quo senza (troppi) danni.

Dopo un attacco: il miglioramento e la (nuova) prevenzione

Se un attacco ha avuto successo non vuol dire che siamo stati poco efficienti, ma sicuramente qualcosa non ha funzionato nella nostra strategia preventiva.
Se si è trattato di un errore umano, dovremo rivedere la parte della formazione e sensibilizzazione del personale, se l’attacco è arrivato tramite una compromissione di credenziali di accesso dovremo rivedere la nostra password policy (e naturalmente cambiare tutte le password, ma questo in ogni caso), se si è trattato di una vulnerabilità nel sistema, investire in sicurezza.
La nuova valutazione dei rischi e le nuove misure di sicurezza andranno nuovamente testate, le procedure aggiornate, il personale nuovamente edotto.
E così avanti, all’infinito, in una guerra continua che va di pari passi con lo sviluppo della tecnologia, ma che non può e non deve vedere gli Enti locali nemmeno un passo indietro, poiché ne va dell’efficienza dell’amministrazione e dunque, in ultima analisi, sono poi i cittadini a farne le spese.

>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.

L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.