nel nuovo bando dell’ ANC “Interventi di potenziamento della resilienza cyber - PA Locale” si parla di regione, capoluoghi di citta metropolitane e provincie autonome.
Qualcuno mi saprebbe dire se sono inclusi anche gli enti strumentali di queste entità?
Buongiorno Andreas,
purtroppo a questa domanda non so dare risposta, ma grazie per l’avviso di cui non ero a conoscenza.
Pongo altre questioni per chi fosse interessato:
45 milioni per regioni, capoluoghi di città metropolitane e provincie autonome non sono pochini?
perché sono ancora esclusi i comuni, che sono quelli (soprattutto le amministrazioni di piccole dimensioni) ad avere minori capacità di investimento, e spesso, scarsa sensibilità verso le tematiche della sicurezza informatica (per usare un eufemismo)?
A me pare che tra il PNRR e la ancor giovane ACN, venga finora ignorata la cybersecurity delle PA locali, chiaro che la priorità è il famoso “perimetro”, giusto, ma le PA locali secondo me non devono essere ignorate.
Se poi avessi scritto inesattezze, e vi fossero invece azioni di cui non sono a conoscenza, eventuali correzioni sono molto gradite.
Questo avviso riguarda progetti specifici del valore fra 1 e 2 milioni di euro, finalizzati a:
analisi della postura di sicurezza;
miglioramento di processi e organizzazione di gestione della sicurezza;
miglioramento della consapevolezza delle persone;
progettazione e sviluppo (anche acquisto) di nuovi sistemi per la mitigazione del rischio,
con indicazione dei settori prioritari di intervento: sanità, energia, acqua potabile.
A occhio la parte piu’ “costosa” è il quarto punto.
Aritmeticamente se gli enti presentano progetti oltre la soglia minima ne restano fuori diversi, verissimo.
Sui comuni: dover predisporre un progetto specifico (anche di importo più basso) diventa difficile, quasi impossibile.
Individuare soluzioni standard come fatto per gli avvisi PNRR del DTD sembra riduttivo (non ci sono risultati puntuali da raggiungere e facilmente valutabili in tema cybersecurity). Con i comuni la questione si intreccia poi con la dismissione dei datacenter locali a beneficio di soluzioni cloud, cosa che rende un po’ più fumoso perimetro e competenze in tema di cybersecurity.
Attendiamo se ACN se ne esce con qualcosa anche per i comuni.
Opinione mia: sarebbe buona cosa per i comuni utilizzare quanto avanza dagli avvisi PNRR per la trasformazione digitale (perché avanza) per affrontare in modo strutturato almeno i primi tre punti di cybersecurity individuati da ACN (analisi postura, procedure, consapevolezza).
da tempo ormai è stato abbandonato il concetto di perimetro per andare verso lo zero-trust, poiché con la tipologia e la quantità, oltre che la qualità, degli attacchi attuali è impensabile difendere solo, appunto, il perimetro.
In un Paese con oltre 20.000 PA, trovo assurdo non valorizzare la sicurezza informatica in questi Enti, prevedendo almeno un referente ad-hoc per ognuna di esse, con competenze e formazione adeguata, oltre che con un budget destinato alla cybersecurity.
Io faccio notare che buona parte di quelle 20.000 p.a. ha poche unità di dipendenti che per forza di cose sono orientate al “core business” di quella p.a. Quindi, non c’è spazio per competenze e formazione adeguata in ambito cybersecurity. o in ambito gestione dati. o in ambito project management. o in ambito controllo di gestione. o in ambito trasformazione digitale. o in tanti altri ambiti.
Un bel problema che sta a monte… no?
Assolutamente si! Ma mentre per alcuni ambiti ci sono precisi obblighi normativi (penso alla Sicurezza sul Lavoro, per la quale i manuali sono precisi nei dettagli su come inclinare il monitor, la sedia, illuminazione…), per altri, come la cybersicurezza, non c’è molto. Dal 2017 sono state emanate le Misure Minime ICT per le PA, ma purtroppo non pare che vi sia stata molta attenzione nel verificarne il rispetto. Che, in ogni caso, avrebbe comportato il dover avere in organico delle competenze precise, che purtroppo NON pare proprio ci siano…
…tuttavia, in queste 20.000 PA son pronto a scommettere che c’è almeno un trattamento di dati personali, almeno un PC e almeno un router/stampante/dispositivo IoT. Quasi sempre non protetto, però.
Il problema sta ovviamente a monte, perché se chi dirige non ha consapevolezza del problema, in assenza di obblighi e di investimenti, le cose tenderanno ad andare sempre peggio.
Grazie Francesco,
mi ero perso la risposta, rispondo anche se a distanza di tempo: intanto grazie per i chiarimenti, concordo che i primi tre punti possono e devono essere analizzati in ogni contesto, chiaramente tenendo conto dell’annoso problema della scarsità di risorse, soprattutto per i Comuni più piccoli.
Ahimé (e ahinoi) temo che il percorso per arrivare alla valorizzazione della sicurezza informatica negli Enti pubblici sia ancora lungo, manca consapevolezza sia tra gli operatori che soprattutto tra posizioni apicali e amministratori (ovvio che è una generalizzazione, sicuramente ci sono lodevoli eccezioni).
Una persona di riferimento formata adeguatamente è indispensabile, concordo, purtroppo nel caso di Comuni piccoli diventa difficile operare in questo senso, una soluzione, oltre alle Unioni di Comuni, potrebbero essere forme associate, quanto meno per la gestione dei sistemi informativi.
Finché si continueranno a mantenere limiti assunzionali stringenti (di fatto poco è cambiato nella transizione dai blocchi delle assunzioni, al turnover parziale, ai parametri spese di personale su entrate correnti) non si va molto lontano. E anche quando si ha la fortuna di avere un funzionario per i sistemi informatici deve comunque smazzarsi magari anche Affari generali e Personale… (il paradigma seguito dovrebbe essere quello di investire su personale valido, di qualità e formato, più che pensare solo agli equilibri di bilancio…).
Non solo. Ad aggravare la situazione si procede con ondate di assunzioni di personale che vanno ad aumentare il numero di utenti senza lavorare sul personale specializzato ICT. I pochi bandi per personale tecnico informatico prevedono condizioni per le quali il privato paga due/tre volte tanto, quindi basta fare due più due…