A cinque anni dall’entrata in vigore, a che punto è la Pubblica Amministrazione con la compliance al Gdpr, il regolamento europeo sulla protezione dei dati? La domanda è spinosa perché, come noto, gli enti pubblici maneggiano i dati personali e in molti casi anche i dati sensibili dei cittadini, e sono tenute a garantirne sia la riservatezza sia la sicurezza di fronte al rischio di (probabili) attacchi informatici.
Con la crescente digitalizzazione (pensiamo a piattaforme come Spid e PagoPA, o al Fascicolo Sanitario Elettronico) è cresciuto anche il rischio di attacchi DDoS o ransomware che causano interruzioni di servizi e perdita di dati. Per gli inadempienti le sanzioni previste dal Gdpr possono essere pesanti, e in Italia finora sono ricadute soprattutto sugli enti pubblici, più che sulle aziende private. Il punto di vista di Alessandro Pratesi, Ceo di Ict Plus by HiSolution.
Alessandro Pratesi, Ceo di Ict Plus by HiSolution
Dal 2018, con l’entrata in vigore del Gdpr (General Data Protection Regulation), nella Pubblica Amministrazione ha preso il via un percorso di attuazione che non si limita solo all’adempimento di una normativa ma comprende la protezione dei dati personali dei cittadini per scongiurare il rischio di violazioni di dati o furti d’identità. Le sanzioni previste per il mancato adempimento alla normativa sono pesanti, e toccano anche il penale in caso di trattamento illecito di dati personali, di acquisizione fraudolenta, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, o false dichiarazioni e inosservanza dei provvedimenti del Garante.
Le difficoltà della PA nella gestione della riservatezza dei dati dei cittadini sono state confermate dai numeri delle sanzioni pubblicati sul sito del Garante della Privacy, tra il 2020 e il primo trimestre 2021. Oltre il 71% delle sanzioni per violazioni dei dati personali è stata erogata a Enti Pubblici e il 29% a soggetti privati. Nel dettaglio le sanzioni indirizzate ai Comuni hanno riguardato il 31% dei provvedimenti.
Che cosa deve fare la PA per evitare le sanzioni previste in ambito privacy? In primis deve definire l’ufficio di competenza della materia e nominare un Data Protection Officer (Dpo). Poi è tenuta alla designazione dei responsabili del trattamento e alla registrazione delle attività connesse al trattamento stesso dei dati. Ma, soprattutto, deve garantire l’integrità delle informazioni, attività altamente complessa che include la registrazione dei file di log in maniera conforme al Gdpr; la conservazione dei file di accesso per un periodo di almeno 180 giorni con la garanzia che questa rimanga inalterata; la marcatura temporale di ogni file di log; il rilevamento e blocco di accessi non autorizzati; la messa in atto di adeguate misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati.
E i piccoli Comuni? La tutela del diritto alla riservatezza dei propri cittadini passa attraverso un sistema di protezione dei dati personali che deve essere in grado di garantire il rispetto delle disposizioni e dei principi del Regolamento Europeo 679/2016 e della normativa nazionale in materia di privacy. Questo vale anche per i comuni di piccole dimensioni, dove però l’attuazione risulta complicata dall’endemica carenza di personale, dalla mancanza di skill in materia e dalle ridotte risorse economiche che non consentono di tenere il passo con le sfide dell’innovazione digitale. In contesti del genere l’adeguamento alla normativa richiede uno sforzo organizzativo non indifferente ma anche la necessità di attuare misure tecniche relative alla parte IT che operino sulla sicurezza del dato.
L’utilità del log management
Con l’entrata in vigore del Gdpr, risulta quindi evidente come il log management sia diventato uno strumento imprescindibile per le organizzazioni, incluse le Pubbliche Amministrazioni. Per log management si intende l’aggregazione, la conservazione e la registrazione a norma di legge del registro degli accessi ai sistemi informativi. Lo scopo è garantire la totale sicurezza dei sistemi stessi. Gli access log devono avere caratteristiche come l’inalterabilità e la completezza, e la possibilità di verifica della loro integrità. La raccolta dei log è importante perché serve a verificare eventuali anomalie nella frequenza degli accessi esterni e nelle loro modalità (in termini di orari, date, durata e sistemi da cui viene effettuato l’accesso).
Affidarsi a soluzioni software di log management appositamente progettate e sviluppate per garantire la conformità verso i principali regolamenti in vigore che permettano di avere completa visibilità sulla postura di sicurezza delle aziende della PA e private è senz’altro il primo passo da prevedere. HiSolution, Msp (Managed Service Provider, ndr) specializzato in soluzioni tecnologiche in ambito VoIP, Ucc, networking, security e IT, che eroga servizi end-to-end con supporto Noc al cliente, collabora con diverse realtà della Pubblica Amministrazione proponendo soluzioni di log management che adottano la tecnologia Sgbox con un approccio economico basato sul numero di data source gestiti e non sul traffico generato. Questo è molto importante per non avere sorprese sul costo (in caso di attacco il traffico potrebbe aumentare in modo significativo), specialmente per le Pubbliche Amministrazioni.
Inoltre, la proposta si basa sulla modularità dell’offerta, che va dalla semplice raccolta di log basici, fino alla raccolta di tutti i log, alla loro correlazione attraverso motori di threat intelligence e alla gestione con intelligenza artificiale dei comportamenti degli utenti con attività di orchestrazione e Soar (Incident Management e Security Orchestration, Auditing and Response). Il sistema gestisce gli ambienti multi-sede e può essere installato sia in modalità virtuale sia on premise oppure in cloud su data center certificato Agid. L’obiettivo è quello di supportare con puntualità le indagini sugli incidenti e la reportistica di conformità alla legge proprio perché analizza in profondità dati ed eventi che arrivano dall’intera infrastruttura IT, oltre a offrire un sistema di “alert” per tutte le attività non conformi alla sicurezza aziendale.
L’opzione dei servizi gestiti
Spesso però l’adozione di una soluzione di log management non è sufficiente soprattutto se all’interno della struttura il personale dedicato non ha le competenze necessarie. In casi come questi, molto frequenti soprattutto nei comuni medio piccoli, la soluzione migliore potrebbe essere quella di affidarsi a servizi gestiti dedicati, forniti da Managed Service Provider specializzati in grado di prendere in carico la gestione e il monitoraggio di log, integrati con la capacità di rilevamento e remediation delle attività critiche che si dovessero presentare. La proposta del servizio gestito permette anche di avere report specifici per la gestione costante della sicurezza all’interno dell’azienda o della Pubblica Amministrazione.