10 minute read
INFRASTRUTTURE
MISSIONE AUTONOMIA PER IL CLOUD NAZIONALE
La “migrazione” dei servizi della Pubblica Amministrazione centrale e locale è inevitabile, ma dovrà avvenire senza mettere a repentaglio il controllo e la sicurezza dei dati.
Per la Pubblica Amministrazione italiana il cloud è un passaggio obbligato, inevitabile. Nei prossimi anni le infrastrutture on-premises, cioè i data center interni, dovranno essere progressivamente abbandonate, con un tasso di rinnovamento che sarà monitorato e che dovrà sottostare a scadenze ben precise. La cosiddetta “migrazione” in cloud non dovrà però avvenire con una perdita di controllo su dati e servizi acquisiti, una perdita di sovranità sul mondo digitale (fatto che oggi, invece, si sta realizzando in altri ambiti). La nuvola italiana avrà bisogno innanzitutto di una cosa: la sicurezza, affiancata a garanzie di controllo sui dati. È questo il tema al centro del piano Strategia Cloud Italia presentato a inizio settembre dal ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao. La strategia parte da un’analisi dei principali rischi che nell’attuale contesto l’impiego del cloud comporta e punta a individuare le soluzioni che minimizzano gli impatti negativi di questa scelta. La costituzione del Polo Strategico Nazionale avrà proprio lo scopo di garantire servizi e infrastrutture collocati sul territorio nazionale, sotto il diretto controllo delle agenzie deputate all’innovazione e alla sicurezza per il Paese. La scelta di garantire un monitoraggio costante non solo su infrastrutture gestite sul territorio, ma anche sui servizi erogati da cloud provider internazionali, va nella direzione di un’importante presa di controllo sulla situazione attuale. Il riferimento diretto a legislazioni di dati esteri che pregiudicano la sovranità sui dati strategici italiani (vengono citati direttamente la National Intelligence Law della Repubblica Popolare Cinese, il Clarifying Lawful Overseas Use of Data Act, meglio noto come Cloud Act, e il Foreign Intelligence Surveillance statunitensi) è la presa di coscienza nazionale sul rischio che corriamo come Paese di perdere il controllo su informazioni critiche.
Autonomia, controllo e continuità
Oggi è acceso il dibattito su chi si aggiudicherà i lavori di realizzazione dei data center e l’erogazione dei servizi, considerate le risorse in gioco: 1,9 miliardi di euro messi a disposizione dal Piano Nazionale di Ripresa e Resilienza (Pnrr), divisi tra infrastrutture e processi di migrazione. Ma a prescindere da questa questione, le indicazioni giunte da Colao indicano alcuni principi generali importanti. Il primo è l’autonomia tecnologica, indicata come un obiettivo non facile da raggiungere, considerando che i fornitori di servizi di cloud computing europei hanno attualmente una quota di mercato inferiore al 10%. Alla luce di questa situazione, i rischi che le PA italiane possano essere soggette a modifiche unilaterali delle condizioni dei contratti non possono essere trascurati. Così come sarà difficile governare lo sviluppo di questi servizi, la loro interoperabilità con un intero ecosistema alternativo di tecnologie, se la produzione dei servizi stessi è affidata a terzi, addirittura ad aziende non europee. Il secondo elemento da prendere in considerazione è il controllo dei dati: il documento ministeriale riporta che bisogna “assicurare che i dati gestiti dalla PA non siano esposti a rischi sistemici da parte di fornitori extra Ue, ad esempio l’accesso da parte di governi di Paesi terzi”. Il terzo rischio
è quello delle garanzie di continuità offerte dal cloud: è necessario quindi prevedere soluzioni procedurali e tecniche per incrementare sicurezza, ridondanza, interoperabilità. Si afferma che bisogna “innalzare il livello di resilienza nei confronti di incidenti, ad esempio cyber, e/o guasti tecnici, attraverso controlli di sicurezza e requisiti che garantiscano la continuità di servizio”.
I pilastri della strategia italiana
Come progettare, quindi, un cloud nazionale accessibile e sicuro? Gli indirizzi strategici indicati da Colao sono volti a favorire un uso del cloud il più possibile conforme alle norme europee, svincolato da interferenze esterne, disegnato per proteggere dati critici da malfunzionamenti e incidenti di cybersecurity. La soluzione individuata si basa su tre pilastri. Il primo è la classificazione dei dati e servizi, che saranno suddivisi fra “strategici” (cioè di impatto diretto sulla sicurezza nazionale, come il bilancio dello Stato), “critici” (rilevanti per la società, per esempio quelli relativi a salute dei cittadini e al benessere economico e sociale) e “ordinari” (se vengono a mancare, non causano l’interruzione di servizi essenziali). Questa classificazione è un passaggio importante perché da essa dipende la scelta dello specifico servizio cloud da utilizzare. A seconda dell necessità di proteggere più o meno specifici dati, essi saranno posizionati su cloud con livelli di sicurezza diversi. Il secondo pilastro è la realizzazione di un processo sistematico di scrutinio e qualificazione dei servizi cloud utilizzabili dalla Pubblica Amministrazione. Tale procedura avrà lo scopo di individuare il livello di sicurezza e compliance, dettagli operativi che permettano di verificarne a priori (prima ancora dell’acquisizione del servizio da parte delle PA) la rispondenza ai bisogni effettivi. La strategia colloca già alcuni attori del mercato come “non qualificati”: sono i cloud provider, europei e non, che non rispondono alle norme Ue sulla privacy (il Gdpr) e sulla sicurezza delle infrastrutture e delle reti (la direttiva Nis) e quelli che non si adeguano a criteri tecnici e organizzativi ritenuti essenziali. Per esempio, operatori che non consentono una localizzazione dei dati critici (come quelli sanitari) all’interno dell’Unione Europea, o quelli che non permettono alla Pubblica Amministrazione di adottare meccanismi di sicurezza minimi (come la cifratura dei dati gestita on-premise e integrata su cloud pubblico). Il terzo, fondamentale, pilastro della strategia è la creazione del Polo Strategico Nazionale (Psn), cioè dei data center da cui i servizi saranno erogati: la loro gestione e controllo dovranno essere autonomi dalle ingerenze di soggetti non europei.
IDENTIKIT DEL POLO STRATEGICO NAZIONALE
Per portare in cloud i dati e i servizi critici e strategici delle circa duecenti amministrazioni centrali italiane, delle Aziende Sanitarie Locali e delle principali amministrazioni locali (Regioni, città metropolitane e comuni con più di 250 mila abitanti) servirà innanzitutto una cosa: un’infrastruttura pronta a ospitarli. Non un unico data center ma un insieme di data center, che dovranno essere distribuiti sul territorio nazionale “presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti”, ha spiegato il ministero per l’Innovazione tecnologica e la transizione digitale, Vittorio Colao, sottolineando che il Polo Strategico Nazionale (Psn) dovrà innanzitutto “garantire la sicurezza e l’autonomia tecnologica sugli asset strategici per il Paese”. La sua creazione avverrà sotto la guida del Dipartimento per la trasformazione digitale, mentre la gestione dell’infrastruttura sarà affidata a “un operatore economico selezionato attraverso l’avvio di un partenariato pubblico-privato”. Non sarà questa, tuttavia, l’unica futura “casa” dei dati della PA italiana. La strategia annunciata da Colao prevede che le sotto la gestione diretta del Psn finiscano le infrastrutture che attualmente assicurano l’erogazione dei servizi strategici delle PA centrali. Quelle che, invece, veicolano i servizi ordinari degli enti pubblici dovranno essere razionalizzate e modernizzate: bisognerà dismettere i data center obsoleti e spostare i servizi su differenti infrastrutture, più sicure ed efficienti. V.B.
I PUNTI CHIAVE DEL PIANO
• Classificazione dei dati e dei servizi: definizione di un processo di classificazione dei dati per guidare e supportare la migrazione dei dati e servizi della PA sul cloud. • Qualificazione dei servizi cloud: realizzazione di un processo sistematico di scrutinio e qualificazione dei servizi utilizzabili dalla PA. • Polo Strategico Nazionale: creazione di un’infrastruttura nazionale per l’erogazione di servizi, gestita e controllata senza l’interferenza di soggetti extra Ue.
Elena Vaciago
PROMESSE AMBIZIOSE NEL FUTURO DELLA PA
Marcello Fausti
La Strategia Cloud Italia avrà successo? Con Marcello Fausti, head of cybersecurity di Italiaonline, abbiamo discusso dei punti di forza e di debolezza del progetto.
Per rendere più moderna ed efficiente la Pubblica Amministrazione, secondo molti osseratori il cloud computing è l’unica strada percorribile: la cosiddetta “nuvola informatica” permette di semplificare e ottimizzare la gestione delle risorse informatiche nonché di facilitare l’adozione di nuove tecnologie digitali, ed è quindi un building block fondamentale nei processi di trasformazione in corso. Ma come poter garantire la sicurezza ai dati e ai servizi che la PA italiana porterà in cloud? La strategia scelta dal governo ha buone probabilità di successo? E quali sono i punti critici? Ne abbiamo discusso con Marcello Fausti, head of cybersecurity di Italiaonline.
Su quali principi si basa la strategia lanciata dal ministro Colao?
L’idea di base della Strategia Cloud Italia è quella di disegnare e realizzare alcuni “contenitori cloud”, caratterizzati da diversa collocazione e livelli di sicurezza, verso cui trasferire i dati della Pubblica Amministrazione in base alla loro importanza, sensibilità, criticità o strategicità. Più il dato è importante e più blindato sarà il contenitore destinato ad accoglierlo. A questa logica sono asserviti i tre pilastri della Strategia: la classificazione dei dati da migrare in cloud; la scelta di quattro diverse tipologie di configurazione cloud, ciascuna asservita a uno specifico cluster di dati; la scelta di una governance forte incarnata dal Polo Strategico Nazionale, che vede la compresenza del Ministero per l’Innovazione Tecnologica e dell’Agenzia Nazionale per la Cybersicurezza nella definizione delle linee guida e nella validazione degli interventi.
Questo approccio sarà facile da gestire oppure no?
Tutto sommato è un’idea relativamente semplice, in cui l’adozione di controlli di sicurezza è guidata principalmente dall’impatto potenziale della perdita o compromissione dei dati della PA in luogo di un ragionamento basato sul rischio, che chiama immediatamente in causa anche riflessioni sulla probabilità che si verifichi un evento avverso, sugli agenti di minaccia e sulle vulnerabilità. È sostanzialmente come acquistare un armadio con serratura in cui riporre i giocattoli dei bimbi e tre casseforti con livello di robustezza crescente in cui riporre le nostre cose in ordine di valore. Ovviamente, nell’ultima custodiremo i gioielli di famiglia.
A che cosa dovranno fare attenzione il ministero e l’Agenzia per la Cybersicurezza Nazionale per garantire sicurezza e resilienza?
Sposando l’idea della semplicità (perché è probabilmente l’unica applicabile a un contesto così complesso) dal
punto di vista della sicurezza credo che il Polo Strategico Nazionale e l’Acn debbano porre estrema attenzione nella definizione delle regole di ingaggio con i soggetti, qualificati e no, che faranno parte della strategia cloud. Mi riferisco, in particolare ai temi dello shared responsibility model (modello di responsabilità condivisa, n.d.r.), della trasparenza e della tempestività delle comunicazioni in caso di problemi. Oggi nel cloud pubblico queste garanzie non sono sempre semplici da ottenere. Dal punto di vista della sicurezza sarà altrettanto importante che un sistema così articolato sia supportato da un’organizzazione centrale collocata all'interno del Polo Strategico Nazionale, incaricata di effettuare i monitoraggi real-time dei file di log, di presidiare la gestione delle identità e dell’accesso, di eseguire le attività di threat intelligence, di configurare e monitorare i sistemi di protezione volumetrici e applicativi (L3 e L7) e di supportare la gestione delle vulnerabilità. Insomma, tutte quelle attività che di solito sono svolte dalle strutture di cybersecurity ma che, data l’importanza della sfida, vedrei concentrate in un punto diverso dai singoli soggetti qualificati e affidatari di una porzione (piccola o grande che sia) del Cloud Nazionale.
C’è qualche criticità a livello di realizzazione?
Il progetto delineato nella strategia nazionale è molto ambizioso. È un progetto di infrastrutturazione di elevata complessità tecnologica che si pone degli obiettivi temporali molto sfidanti. Dominare la complessità tecnologica nel rispetto dei requisiti di sicurezza obbligatori non sarà sufficiente a garantire il successo del progetto. Parallelamente alla realizzazione dell’infrastruttura e alla messa a punto dei suoi meccanismi di gestione, sarà necessario investire tempo e risorse per garantire che i piani di migrazione vadano a buon fine nei tempi previsti e senza impatti o con il minor impatto possibile. Questa mi sembra la sfida più rilevante. E.V.
UNA “CASA” PIÙ MODERNA E SICURA
I lockdown del 2020 non hanno fatto che accentuare la tendenza globale alla migrazione in cloud già in atto, specialmente nel settore privato ma anche in quello pubblico. E in effetti anche nella Pubblica Amministrazione italiana ci sono stati esempi virtuosi di adozione rapida dello smart working di massa, come quelli dell Ministero del Lavoro e di Istat. Ma c’è stato anche l’episodio non edificante del collasso del portale dell’Inps, che nel "click day" 1° del aprile 2020 non ha retto il peso di un traffico in entrata superiore alle previsioni. Questo squarcio sulle magagne dell’IT della Pubblica Amministrazione, d’altra parte, è un po’ il segreto di Pulcinella. Il censimento 2018-2019 di AgID, l’Agenzia per l’Italia digitale, già aveva evidenziato carenze nei requisiti minimi di sicurezza per il 95% dei data center della Pubblica Amministrazione sui 1.252 analizzati. Per uscire da questa situazione ora le risorse non ci mancano: per il piano Strategia Cloud Italia ci saranno a disposizione 6,7 miliardi di euro del Pnrr, che dovranno servire a realizzare “una casa moderna per i dati degli italiani”, per citare le parole di Colao, “una casa flessibile, con stanze diverse, ma tutte con lo stesso livello di sicurezza”.
