Consip, prima gara strategica per la cyber security: così si rendono più sicure le PA - Cyber Security 360

L'ANALISI

Consip, prima gara strategica per la cyber security: così si rendono più sicure le PA

Consip ha pubblicato la prima gara strategica per la cyber security nelle pubbliche amministrazioni, già prevista nel Piano Triennale dell’informatica nella PA, per mettere a disposizione prodotti e servizi per la gestione della sicurezza informatica e la protezione dei dati necessari per la realizzazione dei progetti PNRR. Tutti i dettagli

12 Lug 2021
D
Edoardo De Rossi

Analista Hermes Bay

S
Alessia Sbordoni

Analista Hermes Bay

Per la prima volta la Consip ha pubblicato un bando di gara specifico per la cyber security delle Pubbliche Amministrazioni che, con un budget di 135 milioni, si inserisce nel contesto di rinnovata attenzione alla sicurezza cibernetica nazionale previsto in continuità con il Piano Triennale per l’Informatica nella Pubblica Amministrazione.

Negli ultimi anni il tema della sicurezza nell’ammodernamento degli strumenti di lavoro della Pubblica Amministrazione è di fatto diventata una necessità cui i Governi devono far fronte. La messa in sicurezza dei sistemi informatici ha, infatti, un costo minore rispetto alle spese in cui si incorre qualora le vittime di attacchi siano costrette a bloccare l’operatività dei sistemi e sostenere il ripristino delle attività.

La stessa PA è stata oggetto di un numero crescente di attacchi, specialmente col massiccio ricorso a tecnologie digitali a causa della pandemia, costringendo uffici e dipendenti a ricorrere a servizi per lo smart working e il lavoro da remoto.

Estendendo il perimetro d’attacco alle reti e ai dispositivi dei singoli lavoratori, gli attori malevoli hanno avuto ulteriori possibilità di compromissione dei sistemi informativi pubblici. Diversi comuni e uffici sono stati attaccati, costretti a blocchi operativi e hanno visto sottrarsi dati sensibili dei cittadini che sono spesso finiti anche in vendita sul Dark Web.

Questa situazione, viste anche le parole del Ministro Colao secondo cui quasi il 95% dei server della PA sarebbe a rischio, è stata forse la spinta per le iniziative normative su base nazionale che hanno portato alla creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Server colabrodo della PA, risolveremo con un grande cloud? Le sfide

Cyber security essenziale per la trasformazione digitale

La strategia per l’ammodernamento dei sistemi della PA era già stata delineata nel Piano Triennale per l’Informatica nella Pubblica Amministrazione 2020/2022, strumento essenziale per promuovere la trasformazione digitale del Paese.

WHITEPAPER
Lo Smart working nel new normal: dall’implementazione all’assistenza

Il Piano è stato realizzato sulla base delle indicazioni emerse dalla nuova programmazione europea 2021-2027, dei principi dell’e-Government Action Plan 2016-2020 e delle azioni previste dalla e-Government Declaration di Tallinn (2017-2021).

Il piano, aggiornando le tematiche individuate nei due progetti precedenti, si focalizza sulla realizzazione delle azioni previste concentrandosi su alcuni principi cardine che dovranno ispirare l’operato della PA:

  • digital & mobile first: dovrà essere previsto l’accesso in via esclusiva con sistemi di identità digitale (es. SPID);
  • cloud first: nuovi progetti e servizi dovranno privilegiare l’infrastruttura cloud;
  • servizi inclusivi e accessibili: predisposizione di API interoperabili by design che si adattino alle esigenze di tutti i cittadini;
  • sicurezza e privacy by design: i servizi digitali dovranno essere progettati ed erogati in modo sicuro e garantire la protezione dei dati personali;
  • user-centric, data driven e agile: servizi su misura per l’utente, migliorati con l’analisi di dati e utilizzo, nonché fruibili ovunque;
  • once only: le pubbliche amministrazioni dovranno evitare di chiedere ai cittadini e alle imprese informazioni già fornite;
  • dati pubblici un bene comune: patrimonio informativo della pubblica amministrazione da valorizzare e rendere disponibile in forma aperta e interoperabile;
  • codice aperto: priorità all’open source o disponibilità del codice sorgente per applicativi sviluppati per proprio conto.

Per il corretto sviluppo delle azioni appena delineate sarà essenziale che la PA si doti di strumenti informatici sicuri che consentano di proteggere adeguatamente i propri sistemi informativi. Secondo il rapporto “La spesa ICT nella PA italiana 2020” presentato da AgID, il valore della spesa ICT è tornato a crescere a partire dal 2019 con un incremento del 6,6% rispetto al triennio precedente 2016-2018, raggiungendo il valore globale di 5.959 milioni di euro e con stime per il 2020 al rialzo di un ulteriore 4.3%.

La gestione degli eventi di sicurezza nella PA

Nel solco di questo rinnovato impegno italiano si inserisce la prima gara strategica “Sicurezza On Premises – strumenti di gestione, protezione email, web e dati”, pubblicata il 1 luglio da Consip, con lo scopo di affidare a diversi operatori economici la fornitura alle PA di prodotti finalizzati alla gestione degli eventi di sicurezza e degli accessi, la protezione dei canali e-mail, dati e web, oltre ai servizi connessi.

L’accordo rappresenta il primo passo delle azioni previste dalla Consip in attuazione del già citato Piano Triennale per l’Informatica, nonché per dotare le PA degli strumenti necessari ad attuare i progetti previsti dal Piano Nazionale di Ripresa e Resilienza (PNRR).

I fondi di 135 milioni di euro saranno destinati all’aggiudicazione di un Accordo Quadro dalla durata di 24 mesi. Successivamente, l’affidamento avverrà tramite un appalto specifico che vedrà le Amministrazioni consultare gli operatori economici aggiudicatari, invitando gli stessi a partecipare alla negoziazione tramite una richiesta di offerta.

A ciò seguiranno particolari contratti esecutivi, dalla durata massima di 24 mesi, stipulati dalle stesse PA.

L’Accordo quadro prevede diverse tipologie di forniture:

  • prodotti: Security Information and Event Management (SIEM), Security Orchestration, Automation and Response (SOAR), Secure E-mail Gateway (SEG), Secure Web Gateway (SWG), Database Security (DB Security), Data Loss Prevention (DLP), Privileged Access Management (PAM), Web Application Firewall (WAF);
  • Servizi base connessi: installazione e configurazione, formazione e affiancamento, manutenzione, contact center ed help desk, hardening su client, supporto specialistico;
  • Servizi aggiuntivi: hardening su altri sistemi, data assessment, Privileged Account Assessment, servizi professionali erogati dal vendor, incident response.

Garantire l’integrità e la riservatezza delle informazioni nella PA

Tali forniture avranno l’obiettivo di contrastare le minacce cibernetiche e garantire un’interfaccia sicura alla PA col mondo digitale, in modo da garantire l’integrità e la riservatezza delle informazioni della Pubblica Amministrazione, anche per accrescere la fiducia nei servizi digitali erogati dagli uffici pubblici.

Ciò è quantomai necessario se, come evidenziato nel citato rapporto AgID, l’indice di digitalizzazione medio delle PA risulta pari a un punteggio di 51/100.

Nonostante Regioni e Province Autonome si distinguano per un indice di digitalizzazione superiore alle Pubbliche Amministrazioni Centrali, rimane un gap da colmare specialmente nell’area cyber security per via di una mancanza di processi strutturati per la protezione di dati, applicazioni e sistemi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5