Cybersecurity nella PA, ora gli incidenti vanno segnalati entro 24 ore
Il governo italiano ha deciso di inasprire gli obblighi di notifica delle violazioni per la PA. Nel Consiglio dei Ministri del 22 luglio, il Sottosegretario alla Presidenza del Consiglio Alfredo Mantovano ha infatti svolto un’informativa in merito agli obblighi delle Pubbliche Amministrazioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.
Le amministrazioni centrali, regioni, province autonome e amministrazioni locali saranno tenute a notificare gli incidenti a carico delle proprie reti e a nominare un referente per la cybersicurezza. I termini per la tempestiva segnalazione degli incidenti sono stati ridotti da 72 a 24 ore, cui segue entro 72 ore dall’impatto la notifica di tutti gli elementi informativi disponibili.
Sono state inoltre dettate norme specifiche per il rafforzamento della sicurezza dei dati attraverso la crittografia, che si rifanno alle recenti linee guida stabilite dalla Divisione Scrutinio Tecnologico e Crittografia del Servizio Certificazione e Vigilanza dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Il rapido avanzamento delle tecnologie disponibili e i progressi della ricerca scientifica generano continuamente nuove sfide per la crittografia moderna, per cui algoritmi attualmente ampiamente utilizzati potrebbero essere dismessi perché vulnerabili a nuovi attacchi, o semplicemente perché divenuti deboli a seguito della produzione di computer più potenti e dotati di tecnologie più moderne.
In molti contesti, tuttavia, la sostituzione di un algoritmo crittografico o la necessità di un aumento delle dimensioni dei parametri da adoperare non sono recepiti prontamente dai fornitori dei servizi informatici, per cui algoritmi oramai meno sicuri continuano a essere utilizzati anche per lungo tempo prima di essere sostituiti da altri più moderni. Questo scenario può portare a gravi conseguenze, come furti di identità o di denaro, oppure, più in generale, a una compromissione della sicurezza dei dati.
Le linee guida di ACN forniscono raccomandazioni sugli algoritmi migliori da utilizzare secondo le valutazioni dell’Agenzia, che tengono in considerazione gli ultimi sviluppi della ricerca scientifica e le soluzioni adottate a livello internazionale. Tali raccomandazioni, ove possibile, sono complete dei parametri minimi consigliati per la loro esecuzione.
Rimanendo sempre nell’ambito dei rischi informatici, il Garante per la protezione dei dati personali ha avviato accertamenti sulle conseguenze che il recente blackout dei sistemi informatici causato da un software di CrowdStrike potrebbe aver prodotto sui dati personali degli utenti italiani, in particolare nell’utilizzo dei servizi pubblici. Il Garante si riserva ulteriori interventi qualora si ravvisassero specifiche violazioni che possano riguardare gli utenti italiani.