È stato presentato il progetto per il cloud nazionale dal ministro della Transizione Digitale Vittorio Colao. Si auspica che il processo di trasferimento dei dati della PA verrà portato al 75% di avanzamento entro il 2025.
Analizziamo insieme anche le perplessità in tema sicurezza nel mio articolo per Cybersecurity360
È stato ufficializzato il progetto del cloud nazionale: durante una conferenza stampa tenutasi lo scorso 7 settembre, il ministro per la Transizione Digitale Vittorio Colao ha infatti presentato la Strategia Cloud Italia, il documento di indirizzo strategico per l’implementazione e il controllo del cosiddetto cloud di Stato sul quale trasferire in assoluta sicurezza tutti i dati e i servizi strategici della Pubblica Amministrazione.
Già lo scorso mese di luglio il ministro Colao aveva svolto un incontro al Copasir, Comitato parlamentare per la sicurezza della Repubblica, per discutere del Polo strategico nazionale (PSN), che si sarebbe dovuto occupare di sviluppare il Cloud nazionale degli enti pubblici, grazie al partenariato pubblico-privato, che vedeva in prima fila Cassa Depositi e Prestiti, Sogei, Tim e Leonardo. Adesso sembra che finalmente ci sia un progetto che per il 2025 dovrebbe raggiungere uno stato di avanzamento lavori del 75%.
A presentarlo insieme a Colao c’erano anche il Sottosegretario con delega all’intelligence e alla sicurezza Franco Gabrielli, il direttore dell’Agenzia per la cybersicurezza nazionale Roberto Baldoni e Paolo de Rosa, Chief Technology Officer del Dipartimento per la Trasformazione digitale.
“È una casa moderna per i dati degli italiani. Si tratta di un risultato bilanciato, orientato a garantire al tempo stesso sicurezza e nuove tecnologie”: queste sono state le parole di Colao nel presentare i nuovi cloud che, nel caso di quelli strategici e criptati, avranno sede fisica in Unione Europa, e nel caso dei dati della Pubblica Amministrazione, non saranno accessibili a governi di Paesi terzi considerati ostili.
Un cloud nazionale in cinque declinazioni
Abbiamo usato il plurale in quanto l’Italia non avrà un solo cloud, ma ne avrà cinque, a seconda delle diverse necessità.
Il processo di trasferimento dei dati delle PA nel cloud nazionale ha alla base tre aspetti fondamentali da non sottovalutare.
Innanzitutto, con il PSN (Polo Strategico Nazionale) avremo un’infrastruttura nazionale che erogherà servizi cloud, lasciando al di fuori possibili gestioni e controllo da fornitori extra UE.
Inoltre, i fornitori saranno verificati in una sorta di percorso di qualificazione a garanzia del fatto che sicurezza, affidabilità e rispetto delle normative restino i focus di tutto il processo.
Infine, con la collaborazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la Trasformazione Digitale (DTD), si procederà alla migrazione dei dati e dei servizi della Pubblica Amministrazione, classificando i dati stessi e scegliendo, quindi, la soluzione cloud più adatta.
Le differenti classificazioni del cloud nazionale
A proposito di questa classificazione dei dati, i cinque cloud sono stati pensati proprio per rispondere a questa esigenza di suddivisione, in base al rilievo strategico per il nostro Paese e alla criticità del dato. I dati possono essere divisi, in una prima distinzione, tra quelli che provocano l’interruzione di servizi essenziali, ad esempio quelli sanitari, quelli legati alla sicurezza e quelli delle infrastrutture dell’economia, e dati dei servizi ordinari che non provocano l’interruzione di quelli essenziali.
I cinque cloud saranno così ripartiti:
- nel cloud che possiamo definire criptato, verranno convogliati dati, informazioni e infrastrutture con potentissime chiavi di protezione crittografate, con server e dati in Unione Europea: sarà l’Italia a selezionare partner tecnologici e fornitori qualificati;
- un secondo cloud sarà destinato a dati misti, sia pubblici che privati su licenza, i dati saranno in Italia e i fornitori “saranno soggetti a vigilanza e monitoraggio pubblico”;
- il terzo cloud sarà destinato ai privati, le chiavi saranno custodite in Italia e i fornitori anche in questo caso controllati;
- il quarto cloud sarà pubblico, i fornitori qualificati e i dati in Europa;
- infine, il quinto cloud sarà pubblico non qualificato e i dati potranno risiedere in server anche extra UE.
Gli obiettivi da raggiungere
Obiettivo della creazione di un cloud nazionale è portare a termine la transizione digitale e l’efficienza della Pubblica Amministrazione dal punto di vista, appunto, digitale, come prevede anche il PNRR, Piano Nazionale di Ripresa e Resilienza, approvato lo scorso 24 aprile dal Consiglio dei Ministri e che destinerà 620 milioni di euro alla cyber security delle PA, per potenziare personale e strutture, consolidare i data center, attuare la migrazione dei dati e degli applicativi informatici delle singole amministrazioni verso un ambiente cloud.
Il programma di digitalizzazione per la Pubblica Amministrazione, di cui parla il PNRR, vuole, infatti, come prima cosa, offrire efficacia, velocità e sicurezza ai cittadini e alle imprese nella fruizione dei servizi, pertanto infrastrutture, interoperabilità, piattaforme e servizi, e cyber security.
Inoltre, verranno inserite “misure propedeutiche alla piena realizzazione delle riforme chiave delle Amministrazioni Centrali, quali lo sviluppo e l’acquisizione di (nuove) competenze per il personale della PA (anche con il miglioramento dei processi di upskilling e di aggiornamento delle competenze stesse) e una significativa semplificazione/sburocratizzazione delle procedure chiave, incluso uno sforzo dedicato al Ministero della Giustizia per lo smaltimento del backlog di pratiche”.
Cloud nazionale e sicurezza
La digitalizzazione è ormai in atto da qualche tempo e sicuramente un evento storico altamente impattante e, soprattutto, quanto mai imprevedibile come la pandemia Covid-19, ne ha accelerato il processo. Ma siamo sicuri che spostare tutto in un cloud, peraltro già annunciato in Europa, cosa tecnicamente errata, può risolvere tutti i problemi?
Il tema sicurezza, personale e sociale, è sempre in prima linea, soprattutto quando si parla di dati sensibili e cloud. CSA, Cloud Security Alliance CSA, organizzazione che si occupa di best practice per un ambiente di cloud computing sicuro, e AlgoSec hanno pubblicato uno studio dal titolo “State of Cloud Security Concerns, Challenges, and Incidents”, che ha raccolto circa 1.900 interviste a professionisti della sicurezza in ambito IT proprio in merito all’impatto che questi processi possono causare.
Le preoccupazioni maggiori riguardano: la sicurezza della rete (58%), la mancanza di esperienza nel cloud (47%), la migrazione dei workload nel cloud (44%), il personale insufficiente per gestire gli ambienti cloud (32%). A subire almeno un incidente di sicurezza nell’ultimo anno è stato l’11% degli intervistati e le cause sono state principalmente: problemi causati dal provider di cloud (26%), configurazioni errate della sicurezza (22%), attacchi hacker di tipo DDoS (20%).
Cloud, business continuity e cyber resilience
Al di là di questi dati significativi, va sottolineata l’importanza del cloud a livello strategico in quanto permette, proprio in situazioni quali una pandemia, di garantire la Business Continuity.
Il cloud è un’infrastruttura che richiede un monitoraggio costante per le modifiche di configurazione e di valutazione del rischio dato. Un qualsiasi fornitore di cloud deve essere capace di gestire prontamente un attacco informatico, avere, quindi un adeguato livello di cyber resilience.
Nel caso del progetto di cloud nazionale è stato ribadito che per tutte le stratificazioni ci sarà un monitoraggio costante e i fornitori saranno scelti sulla base di requisiti rigidi, per cui il punto di partenza è promettente.
Cloud nazionale e crittografia
Le rassicurazioni degli addetti ai lavori sul livello di sicurezza che sarà garantito per il cloud nazionale non ci fanno comunque dimenticare che la diffusione di nuovi sistemi digitali e il potenziamento delle loro performance deve andare di pari passo con il rafforzamento dei sistemi di sicurezza.
La stessa crittografia end-to-end di cui disponiamo oggi non ci assicura la protezione necessaria. I sempre più frequenti attacchi cyber e i tanti strumenti creati dai criminali per commetterli ci mettono davanti ogni giorno al grande abuso che si fa delle nuove tecnologie e alla necessità crescente di combatterli per la salvaguardia della privacy delle comunicazioni e dei dati dei cittadini, in un equilibrio tra interessi pubblici e diritti fondamentali.
Ma fino a quando il sistema di crittografia a nostra disposizione continuerà a non garantirci il livello di sicurezza adeguato, dobbiamo pensare a un sistema alternativo, ad esempio la crittografia da computer quantistici.
Fonte: Cybersecurity360