PrivacyData ProtectionLa PA deve sostituire con urgenza software di provenienza russa

19 Maggio 2022
https://studioiadecola.it/wp-content/uploads/2022/05/1.webp
ASCOLTA ARTICOLO

Articolo pubblicato su altalex

In attuazione dell’articolo 29, comma 3, del  decreto-legge  21 marzo  2022,  n.  2, con il quale il Governo invitava le Pubbliche Amministrazioni a diversificare i prodotti e servizi tecnologici in uso in ambito cybersecurity legati alla Russia, di cui ci eravamo occupati in un precedente articolo (Il Governo invita le Pa a sostituire con urgenza software di provenienza russa), la Circolare del 21 aprile 2022, n. 4336 specifica i prodotti di quali società sostituire e fornisce alcune raccomandazioni da seguire.

Con il decreto-legge 21 marzo 2022, n. 21, recante “Misure  urgenti per  contrastare  gli  effetti  economici  e  umanitari  della  crisi ucraina”, il Governo  ha  ritenuto,  tra  l’altro,  la  straordinaria necessità e urgenza di assicurare il rafforzamento dei  presidi  per la  sicurezza,  la  difesa  nazionale,  le  reti   di   comunicazione elettronica e degli  approvvigionamenti  di  materie  prime.

A  tale riguardo, l’art. 29, comma 1,  del  medesimo  decreto-legge,  prevede che, al fine di prevenire pregiudizi alla sicurezza delle  reti, dei sistemi informativi e dei servizi informatici  delle  amministrazioni pubbliche di cui all’art. 1, comma  2,  del  decreto  legislativo  30 marzo 2001, n. 165, derivanti dal rischio che le aziende  produttrici di prodotti e servizi tecnologici  di  sicurezza  informatica  legate alla Federazione Russa non  siano  in  grado  di  fornire  servizi  e aggiornamenti ai propri  prodotti,  in  conseguenza  della  crisi  in Ucraina, le medesime amministrazioni procedano  tempestivamente  alla diversificazione dei prodotti in uso.

Il medesimo art.  29,  secondo  il  combinato disposto dei commi 1 e 3, prevede che l’individuazione dei prodotti e servizi da diversificare avvenga in relazione alle categorie indicate con circolare dell’Agenzia per la cybersicurezza nazionale tra quelle volte ad assicurare le seguenti funzioni di sicurezza:  a)  sicurezza dei  dispositivi  (endpoint  security),  ivi   compresi   applicativi antivirus, antimalware ed “endpoint detection and response” (EDR); b) “web application firewall” (WAF).

Individuazione dei prodotti e servizi oggetto di diversificazione

La Circolare del 21 aprile 2022, n. 4336, pubblicata in Gazzetta ufficiale lo scorso 26 aprile, individua i prodotti e servizi tecnologici di sicurezza informatica:

a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) della società  “Kaspersky  Lab”  e della società “Group-IB”, anche commercializzati tramite  canale  di rivendita indiretta e/o anche  veicolati  tramite  accordi  quadro  o contratti quadro in modalità  “on-premise” o “da remoto”;

b) “web application firewall” (WAF) della società “Positive Technologies”, anche commercializzati  tramite  canale  di  rivendita indiretta e/o anche veicolati  tramite  accordi  quadro  o  contratti quadro in modalità  “on-premise” o “da remoto”.

Raccomandazioni procedurali

L’Agenzia per la Cybersicurezza Nazionale suggerisce alle  amministrazioni  destinatarie  –  responsabili  nella  conduzione  delle   operazioni   di configurazione dei  nuovi  servizi  e  prodotti  acquisiti  ai  sensi dell’art. 29 del decreto-legge n. 21 del  2022,  anche  in  relazione alla precisa conoscenza dei propri asset (reti, sistemi informativi e servizi informatici) e degli impatti degli stessi  sulla  continuità dei servizi e della protezione dei dati – di adottare tutte le misure e le buone prassi di gestione di servizi informatici  e  del  rischio cyber e, in particolare, di  tenere  conto  di  quanto  definito  dal Framework nazionale  per  la  cybersecurity  e  la  data  protection, edizione 2019, realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza  di  Roma  e dal  Cybersecurity  national  lab  del  Consorzio  interuniversitario nazionale per l’informatica (CINI), con  il  supporto  dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza e nella specie raccomanda di:

  1. censire dettagliatamente  i  servizi  e  prodotti  di  cui  al punto precente 2), analizzando gli impatti  degli aggiornamenti  degli  stessi  sull’operatività,  quali  i  tempi  di manutenzione necessari;
  2. identificare  e  valutare  i  nuovi   servizi   e   prodotti, validandone  la  compatibilità  con  i propri  asset,  nonché la complessità di gestione operativa delle  strutture  di  supporto  in essere;
  3. definire, condividere e comunicare i piani di  migrazione  con tutti i soggetti interessati a  titolo diretto  o  indiretto,  quali organizzazioni interne alle amministrazioni e soggetti terzi;
  4. validare le modalità di esecuzione del piano di migrazione su asset di  test  significativi,  assicurandosi  di  procedere  con  la migrazione dei servizi e prodotti sugli asset più  critici  soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani  di ripristino a  breve  termine  al fine  di  garantire  la  necessaria continuità operativa. Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di  protezione  garantita dagli strumenti oggetto della diversificazione;
  5. analizzare e validare  le  funzionalità  e  integrazioni  dei nuovi servizi e prodotti,  assicurando l’applicazione  di  regole  e configurazioni  di  sicurezza  proporzionate  a  scenari  di  rischio elevati (quali, ad esempio, autenticazione  multi-fattore  per  tutti gli accessi privilegiati, attivazione dei soli  servizi  e  funzioni strettamente necessari, adozione di principi di “zero-trust”);
  6. assicurare adeguato monitoraggio e audit dei nuovi prodotti  e servizi, prevedendo  adeguato  supporto  per  l’aggiornamento  e  la revisione delle configurazioni in linea.

Nella predisposizione, migrazione e gestione dei nuovi  prodotti  e servizi,  l’Agenzia raccomanda l’adozione  di  principi   trasversali   di indirizzo, quali a titolo esemplificativo quello della “gestione del rischio”, in termini di identificazione,  valutazione  e  mitigazione dei rischi di  diversa fattispecie  che  concorrono  nell’attuazione della diversificazione dei servizi.

Conclusioni

Gli obblighi imposti con le norme in commento non possono essere semplicemente ricondotti ad una banale sostituzione di servizi (che già di per sé presuppone di aver in precedenza censito tutti i prodotti latu sensu legati alla sicurezza informatica in uso presso gli Uffici pubblici, comprese le sedi distaccate e i lavoratori in smart working), ma ad una revisione complessiva della strategia di cybersecurity che non può prescindere da una valutazione preliminare delle reali vulnerabilità del perimetro di sicurezza informatica per poi individuare a seconda delle peculiarità dei diversi contesti amministrativi, le soluzioni più idonee per livello di rispondenza agli standard tecnologici europei, integrabilità con gli altri sistemi in uso nell’organizzazione e non ultima la compliance con le norme comunitarie e nazionali anche in tema di trattamento dei dati.

Considerando la tassatività delle prescrizioni sopra riportate nonché l’assenza di elenchi o albi di fornitori da cui attingere per sostituire quelli di provenienza russa, appare di fondamentale importanza coinvolgere il Dpo (obbligatorio nelle P.A. ai sensi dell’art. 37 Regolamento europeo 679/2016) che con le sue competenze possa coadiuvare il Titolare del trattamento nel portare a termine  questo processo.

Allo scopo di incentivare l’attuazione delle norme in commento, il decreto 21 marzo 2022, n. 21 ha statuito, al comma 4 dell’art. 29, che non derivano effetti che possano costituire presupposto per l’azione di responsabilità di cui all’articolo 1 della legge 14 gennaio 1994, n. 20 e, al comma 2 dell’art. 29 ha previsto un meccanismo di deroga alle regole del codice dei contratti pubblici per l’acquisto dei medesimi servizi dai nuovi fornitori.