Cloud di Stato, una migrazione tra mille insidie

Ammonta a circa 1 miliardo di euro, a fronte dei 6 stanziati nel PNRR, la cifra destinata alla digitalizzazione di tutta la Pubblica Amministrazione del nostro Paese. L'obiettivo da raggiungere entro il 2026 è portare almeno il 75% delle PA italiane ad utilizzare servizi in cloud. .

Secondo quanto emerge dalle indiscrezioni ufficiose, le amministrazioni saranno in grado di percorrere due vie parallele: una che porta verso il cloud pubblico, dove vi sarà la possibilità di scegliere tra operatori certificati; e una che punta verso il cosiddetto PSN (Polo Strategico Nazionale), una nuova infrastruttura cloud "privata" o "ibrida", localizzata sul territorio nazionale e all'avanguardia in prestazioni e sicurezza.

Come riporta il sito del Ministero dell'Innovazione "Il processo consentirà di razionalizzare e consolidare molti dei data center oggi distribuiti sul territorio, a partire da quelli meno efficienti e sicuri. Ad oggi il 95% dei circa 11mila data center utilizzati dagli enti pubblici italiani presenta carenze nei requisiti minimi di sicurezza, affidabilità, capacità elaborativa ed efficienza".

La Roadmap

Per accompagnare la migrazione della PA al cloud centrale fornito dal Polo Strategico Nazionale, è previsto – come riferisce ancora una volta il Governo - un programma di supporto e incentivo per trasferire basi dati e applicazioni. Il piano è rivolto in particolare alle amministrazioni locali che potranno scegliere all'interno di una lista predefinita di provider certificati secondo criteri di adeguatezza, rispetto sia a requisiti di sicurezza e protezione, sia a standard di performance.

In una logica di vera e propria "migration as a service" si aiuteranno le amministrazioni nella fase di analisi tecnica e di definizione delle priorità, con l'utilizzo di risorse specializzate nella gestione amministrativa, nella contrattazione del supporto tecnico esterno necessario e nell'attività complessiva di project management per tutta la durata dellatransizione. Per facilitare il coordinamento di questa significativa mole di lavoro viene creato un team di esperti apposito a guida del MITD.

Il risultato finale consentirà alle amministrazioni di fruire delle informazioni dei cittadini in modo immediato, semplice ed efficace, alleggerendo tempi e costi legati alle numerose richieste oggi frammentate tra molteplici enti.

Lo scopo di questa attività è quello di creare una Piattaforma Nazionale Dati che offra alle amministrazioni un catalogo centrale di API (Application Programming Interface) consultabile e accessibile tramite un servizio dedicato, in un contesto integralmente conforme alle leggi europee sulla privacy, evitando così al cittadino di dover fornire più volte la stessa informazione a diversi uffici amministrativi..

Una svolta decisiva e…positiva

Si tratterà di un cambiamento radicale e cruciale per la digitalizzazione di tutto l'apparato della PA che per troppo tempo è stato carente in questo ambito;un'innovazione epocale che mira a proiettare il mondo della PA nell'era del 4.0 e della digitalizzazione.

Affinchè questa trasformazione abbia veramente successo si dovrà necessariamente guardare anche al modo in cui questi nuovi sistemi verranno implementati..

Uno sguardo alla cloud security

In termini di sicurezza si è fatto accenno ad alcuni punti, seppur ancora non ben definiti, tra questi le licenze e le chiavi asimmetriche crittografate, utilizzate per tenere al sicuro i dati di tutti i cittadini.

Il cloud – paragonato al mix di tecnologie e sistemi eterogenei attivi - è a prescindere più sicuro. Questo però non significa che non sia attaccabile dai Criminal Hacker.

Un recente sondaggio - condotto su un campione di 300 professionisti della Security e realizzato da Fugue and Sonatype - ha rivelato che il 36% di essiha avuto almeno un incidente di sicurezza collegato al Cloud, negli ultimi 12 mesi.

Certo, questa situazione è indubbiamente stata favorita dai vari lockdown e dello smart working diffuso ma – ripeto – il cloud è molto più sicuro delle tradizionali infrastrutture, sebbene non sia inattaccabile.

D'altronde la Cyber Security, per sua natura, vive di rincorsa. Per i Criminal Hacker è sempre più facile essere un passo avanti, potendo agire in un mondo senza regole.

Ma diamo uno sguardo ai punti salienti che dovranno essere affrontati quando si parlerà di Cloud Security.

Il fattore umano

È un controsenso ma la tecnologia non è solo una questione tecnica, ma anche umana.

Quando si parla di una trasformazione così importante, la tutela del dato deve essere di primaria importanza.

Logicamente un'opera così mastodontica di digitalizzazione, dovrà confrontarsi con l'enorme eterogeneità della PA e del suo personale.

A molte persone infatti verrà chiesto di uscire dalla propria area di confort e da schemi e metodologie di lavoro e interazioni, forse datate, ma comunque familiari.

Per tantissimi si tratterà di interfacciarsi con un universo differente e questo potrebbe creare una debolezza del "fattore umano" facilmente attaccabile, in particolar modo tramite il Social Engineering.

Siamo tutti a conoscenza dell'episodio che colpì il CED Lazio. In quel caso, non si trattò di un problema tecnico (almeno non unicamente) ma anche "umano", ossia le credenziali di una VPN di un dipendente compromesse e sfruttate per dare inizio all'effetto cascata.

Spesso, infatti, il Ransomware ( lo stesso tipo di malware che colpì la regione Lazio) ha bisogno dell'aiuto, spesso inconsapevole, delle proprie vittime per entrare nei computer. Questo insieme di tecniche è noto come Social Engineering.

Possiamo speculare sul fatto che le credenziali VPN sottratte al dipendente di Frosinone possano anche essere state ottenute tramite una delle svariate tecniche di Social Engineering a disposizione nell'arsenale dei Criminal Hacker.

Pensiamo adesso a quanti possibili target in più potrebbero avere i Criminal Hacker una volta completata la migrazione

Per contrastare l'insorgere di questo fenomeno la strada è duplice: investire su awareness e formazione, permettendo così al personale di riconoscere i nuovi rischi a cui sarà potenzialmente esposto. Consapevolezza e maggior formazione dovranno essere sostenute da servizi di Domain Threat Intelligence e Cyber Threat Intelligence, al fine di preventivare possibili rischi che incombono sulla PA,individuando credenziali potenzialmente compromesse tramite ricerche OSINT e CLOSINT.

Infrastrutture in essere e Insider

Un altro punto di attenzione dovrà necessariamente essere quello dei nodi di accesso al cloud. Cosa significa?

Stiamo parlando di tutti i computer ed endpoint – distribuiti nei tantissimi comuni italiani – che dovranno essere utilizzati per collegarsi al neonato cloud di Stato.

Non abbiamo alcuna certezza – data la vastità delle infrastrutture della PA – che tutti questi dispositivi siano in sicurezza.

Sarà compito della neonata ACR, e soprattutto del Polo Strategico Nazionale (PSN), assicurarsi che i nodi di accesso siano sufficientemente protetti. Il rischio concreto è che i vari dispositivi distribuiti nelle varie strutture possano essere in realtà usati come veri e propri "cavalli di troia".

La sfida sarà non solo avere un Cloud sicuro ma anche mettere in sicurezza le varie infrastrutture delle PA.

Abbiamo poi il problema degli insider: colposi e dolosi.

Se nel primo caso si tratta di arginare il rischio che un errore inconsapevole da parte di un utente esponga il cloud a Cyber attacchi; nel secondo la sfida si fa più ardua.

Molte gang di Cyber Criminali, infatti, hanno recentemente iniziato a seguire una strategia aggressiva di reclutamento di possibili insider.

Per esempio, la gang LockBit 2.0 sta attivamente reclutando insider aziendali per indurli a violare e installare ransomware sulle reti bersaglio. In cambio, a questi ultimi vengono promessi pagamenti milionari.

Anche se questa tattica può sembrare inverosimile, non è la prima volta che i Criminal Hacker hanno tentato di reclutare un dipendente per crittografare una rete.

Nell'agosto 2020, l'FBI ha arrestato un cittadino russo per aver tentato di ingaggiare un dipendente Tesla per installare malware sulla rete della Gigafactory Tesla in Nevada.

Insomma, la lista di tutti i possibili rischi a oggi non è affatto corta.

Come rispondere

Il successo del Cloud di Stato dovrà necessariamente passare anche da un framework dinamico di Cyber Security, in quanto dovrà adeguarsi alle evoluzioni delle minacce.

Bisogna impostare la difesa sui tre pilastri della Cyber Security: Sicurezza Predittiva, Preventiva e Proattiva.

La Sicurezza Predittiva lavora tramite fonti OSINT e CLOSINT per comprendere quali minacce esistono e se ci sono informazioni sulla PA che possono esporre il sistema a dei rischi. Queste

informazioni preliminari sono di rilevante importanza al fine di impostare correttamente sia la sicurezza preventiva che proattiva.

La Sicurezza Preventiva corrisponde a tutto quel mondo di analisi del rischio tecnologico, umano e di processo. Stiamo parlando di attività quali penetration test, phishing simulation attack, ransomware attack simulation, fino ad arrivare ad analisi specifiche del rischio cyber basate sui framework di sicurezza internazionali come NIST, CIS o ISO27001.

La Sicurezza Proattiva fa entrare in campo tutto il mondo del SOC e della Threat Intelligence, dove sistemi, processi e tecnologie permettono di gestire, monitorare e far emergere qualsiasi anomalia che possa registrare la propria infrastruttura, completando con la capacità di reazione, ovvero: incident response, business continuity e disaster recovery.

È importante chiarire un aspetto: tutti questi sistemi e framework se non si testano e non si mettono alla prova, rischiano di non avere efficacia.

Non abbassiamo la guardia!