MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Sei mesi di suggerimenti sulla cybersecurity nella PA: sette lezioni imparate
I martedì della cybersecurity/ Bilanci e propositi per il 2023: verso un cambiamento di mentalità

di LUISA DI GIACOMO*

Dopo sei mesi di questa rubrica settimanale, siamo arrivati a fine anno, che per tutti è tempo di bilanci e di propositi per l’anno che verrà. In questi mesi abbiamo affrontato molti temi legati alla sicurezza informatica della rete per gli Enti locali, con consigli pratici e piccoli “trucchi” per una gestione consapevole dei dati che transitano nella rete del nostro Comune. Con questa ultima uscita dell’anno cercheremo di riassumere in un unico articolo quanto abbiamo imparato sui vari argomenti in questi mesi di Martedì della cybersecurity, proponendoci, come obiettivo per il nuovo anno, quello di verificare le varie aree coinvolte e tentare di migliorare almeno in qualcuna, per tendere all’obiettivo finale di “sicurezza” e di minimizzazione del rischio.

Videosorveglianza

L’importanza che la videosorveglianza sta acquisendo negli Enti locali è ormai cosa nota. Ogni movimento dei cittadini, per ragioni di sicurezza, di polizia urbana o di gestione del territorio, viene tracciato e l’invasività di questo trattamento è evidentissima.
Installare un impianto di video sorveglianza a regola d’arte è di primaria importanza per i Comuni, per evitare di incorrere in salatissime multe e sanzioni, perché il Garante è sempre più attento alla violazione dei diritti e delle libertà fondamentali dei cittadini, che con questo trattamento particolare sono posti a grande rischio.
Adempimenti fondamentali da ricordare: effettuare una valutazione di impatto (DPIA) sull’impianto, requisito essenziale senza il quale l’impianto non può essere installato, redigere un regolamento specifico, nominare gli autorizzati alla visualizzazione delle immagini, predisporre una adeguata informativa, con tanto di cartellonistica in prossimità delle videocamere e stabilire con chiarezza le finalità e la retention policy dei dati, per una corretta gestione del trattamento ed il rispetto del requisito di accountability dell’Ente.

Sito internet

Vetrina del Comune e delle sue attività istituzionali, il sito internet rappresenta, anche per gli Enti locali, un veicolo di potenziali “verifiche” da parte del Garante, oltre che di ricorsi da parte dei cittadini. È essenziale che, anche se utilizzato solo per scopi “ufficiali”, il sito effettui il trattamento dei dati dei propri cittadini in modo sicuro, sia da un punto di vista sostanziale, sia da quello formale, poiché rappresenta un pessimo biglietto da visita atterrare sul sito di un Ente locale e leggere sulla barra degli indirizzi del browser “non sicuro” vicino all’indirizzo.
Adempimento fondamentali da ricordare: adottare un protocollo https tramite acquisto di un certificato SSL, affidarsi ad un fornitore compliant, debitamente nominato responsabile esterno, avere una privacy ed una cookie policy che realmente riflettano il trattamento dei dati e dei sistemi di tracciamento effettuati dall’Ente Titolare di quel sito (non vale copiare e incollare) e gestire i consensi con consapevolezza nel back end del sito stesso.

Gestione dei cookie

La tematica dei cookie e degli altri sistemi di tracciamento online è di primaria importanza e il Garante ultimamente se ne sta occupando in maniera particolarmente pressante, non solo perché i cookie tracciano il comportamento degli utenti online, ma anche perché i sistemi di tracciamento sono forieri di ransomware e altri malware.
Gestire i cookie in modo corretto vuol dire dimostrare che il nostro Ente prende molto sul serio il tema della accountability, oltre a costituire una prima barriera contro un possibile attacco dall’esterno.
Adempimento fondamentali da ricordare: conoscere quali cookie sono effettivamente presenti sul nostro sito, non installare alcun cookie di profilazione o analitico prima che venga dato il consenso, fornire un banner ed una informativa adeguati, gestire i consensi nel back end del sito con apposito registro dei consensi, da tenersi sempre aggiornato ed attivo.

Attenzione al phishing

Il phishing è uno dei modi più utilizzati e di successo con cui un attacco informatico viene sferrato ai danni di un Ente. Imparare a individuare una email sospetta, non cadere nei tranelli, non cliccare su link pericolosi e non aprire allegati potenzialmente forieri di malware o altri virus, cioè in sostanza opporre una prima barriera “umana”, costituita dalla formazione e preparazione degli utenti, agli attacchi informatici costituisce oltre la metà di una strategia difensiva di successo.
Aspetti fondamentali da ricordare: attenzione al mittente delle email, mai fornire i propri codici di accesso via email o SMS nemmeno se la richiesta sembra legittimamente provenire da un sito istituzionale, attenzione agli errori di ortografia, grammatica e sintassi nelle email mai cliccare su link all’interno di SMS e mai aprire allegati con estensioni sospette (.exe ad esempio), Nel dubbio rivolgersi sempre al proprio amministratore di sistema o al DPO dell’Ente.

Gestire un data breach

Il verificarsi di un data breach è un’eventualità che non vorremmo mai trovarci ad affrontare, eppure è statisticamente provato che prima o poi almeno una volta ci capiterà di doverlo fare. Avere una procedura a portata di mano, che sia stata preventivamente messa a disposizione di tutti i dipendenti, in modo da sapere come comportarsi in caso di incidente di sicurezza è il primo passo verso la risoluzione dell’incidente stesso, o per lo meno verso la minimizzazione del danno.
Adempimenti fondamentali da ricordare: in caso di incidente avvertire subito il proprio superiore, l’amministratore di sistema e il DPO dell’Ente. Entrare nel merito della violazione, per capire di che tipo si tratta (riservatezza, integrità, disponibilità dei dati) e valutarne la gravità per capire se necessario o meno notificare l’evento al Garante per la protezione dei dati personali ed agli interessati (adempimento che va svolto entro 72 ore dal fatto). Applicare le procedure di disaster recovery e business continuity per riprendere nel più breve tempo possibile la normale operatività dell’Ente.

Assessment cybersecurity

Sapere quali sono i punti critici dell’infrastruttura informatica della propria organizzazione e che cosa è necessario andare a verificare nella sicurezza informatica vuol dire avere già un livello di competenza adeguato a prevenire la maggior parte degli attacchi di successo.
Punti da verificare: testare la preparazione degli utenti, la manutenzione e l’aggiornamento dei software, verificare se sono presenti programmi di protezione, controllare le policy di back-up e le password policy, oltre alle altre procedure aziendali, regolamentare l’utilizzo dei device personali, gestire gli accessi alla rete con privilegi diversi a seconda delle funzioni ricoperte nell’Ente e fare in modo che tutto questo entri a fare parte di un ciclo continuo di assessment da svolgersi periodicamente all’interno del proprio Ente.

Cambiamento della mentalità

Oltre alla formazione ed alla consapevolezza, oltre alle procedure, oltre alla corretta gestione della posta elettronica ed alla predisposizione del regolamento informatico, oltre al ruolo fondamentale del DPO ed al suo coinvolgimento nelle decisioni strategiche dell’Ente, quello che veramente può e deve fare la differenza all’interno di un Ente che prende sul serio le tematiche relative alla cybersecurity ed alla protezione dei dati è un radicale cambiamento di mentalità.
Le sfide che la PA digitale propone, oggi e negli anni a venire, sono molteplici. Si tratta di un grande impegno, ma soprattutto di una enorme opportunità, per offrire ai cittadini servizi più efficienti, a costi più bassi, con maggiore soddisfazione anche per i dipendenti dell’Ente.
Questo è il momento per cambiare, con i fondi del PNRR che rappresentano il maggior investimento economico dal secondo dopoguerra ad oggi (e non è un caso che la maggioranza delle sue risorse siano dedicate a progetti digitali), con la pandemia e la guerra che ci hanno insegnato che un utilizzo consapevole e accorto della tecnologia rappresenta il nostro maggior alleato per la trasformazione della mentalità e la trasformazione organizzativa della PA, che porteranno alla vera trasformazione digitale, per una PA che serva il cittadino, non che lo ostacoli nella sua vita quotidiana.
Einstein diceva che follia è fare sempre le stesse cose ed aspettarsi un risultato diverso: il 2023, l’anno che sta per arrivare, che tra l’altro è l’anno europeo delle competenze, potrebbe davvero rappresentare una svolta per un reale cambiamento di passo nell’attività di tutti gli Enti locali.

I martedì della cybersecurityL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

www.lagazzettadeglientilocali.it