logo-poc logo-upi logo-dipartimento-funzione-pubblica
Piattaforma Collaborativa Pi.Co.
Piattaforma Collaborativa Pi.Co.
Unione delle Province d'Italia
Cerca
Blog

Pubblicate le Linee guida ACN sulla protezione delle Banche dati

Andrea Susa
Data di Pubblicazione1 Anno Fa

Negli ultimi anni, i casi di accesso non autorizzato e utilizzo improprio di banche dati critiche hanno sollevato importanti preoccupazioni sulla sicurezza informatica. Il documento "Linee Guida per il Rafforzamento della Protezione delle Banche Dati", pubblicato dall'Agenzia per la Cybersicurezza Nazionale (ACN), nell'ambito delle attività di supporto alle Pubbliche Amministrazioni per l'incremento della resilienza digitale, offre un quadro delle principali azioni necessarie per migliorare la protezione di queste risorse essenziali. Questo articolo esplora le principali criticità, il contesto normativo e le misure di mitigazione suggerite.

Contesto e Criticità

Le banche dati rappresentano un elemento cardine nell’infrastruttura digitale di un’organizzazione, soprattutto quando custodiscono informazioni sensibili o strategiche, come nel caso delle Pubbliche Amministrazioni. Negli ultimi mesi, come evidenziato anche dal rapporto Clusit 2024 sulla PA, di cui avevamo già trattato in questo blog, si sono verificati diversi episodi di utilizzo improprio di banche dati di rilevanza nazionale. Tra le tecniche illecite più comuni vi sono:

  • Corruzione di pubblici ufficiali per ottenere informazioni riservate;
  • Installazione di software per il controllo remoto (RAT) su server e postazioni di lavoro;
  • Complicità dei gestori dei sistemi IT, utilizzati per accedere ai dati sensibili.

Questi incidenti evidenziano debolezze non solo tecniche, ma anche organizzative e di governance. È emerso, ad esempio, un eccessivo affidamento su sistemi non conformi ai principi di security-by-design e una gestione insufficiente della supply chain.

Le principali criticità identificate includono:

  • Permessi eccessivi: Accessi non limitati al principio del minimo privilegio;
  • Inadeguatezza dei sistemi di monitoraggio e prevenzione;
  • Formazione insufficiente del personale coinvolto nella gestione delle informazioni sensibili.

Questi fattori, combinati con vulnerabilità tecnologiche, amplificano i rischi di violazioni.

Il quadro normativo

Il rafforzamento della sicurezza informatica in Italia si basa su normative recenti e consolidate, tra cui:

  • Perimetro di sicurezza nazionale cibernetica: Introdotto dal Decreto Legge n. 105/2019;.
  • Regolamento Cloud: Regolamenta la classificazione e gestione sicura dei dati e servizi digitali della pubblica amministrazione;
  • Legge n. 90/2024: Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici;
  • Direttiva NIS2 e d. lgs n.138/2024;
  • D. lgs n. 82/2005 (art. 51).

Queste normative forniscono il quadro legale necessario per affrontare le minacce in un contesto sempre più complesso. Anche se, come già detto anche in altri articoli su questo blog, le Province non sono nell'ambito di applicazione delle normative sopra riportate, tuttavia queste, come le altre linee guida proposte, posso e dovrebbero essere un punto di riferimento per incrementare la resilienza digitale di tutte le PA.

Approccio proposto dalle Linee Guida: azioni di contrasto

Le azioni proposte, basate sul Framework Nazionale per la cybersecurity e la data protection (FNCN), sono le seguenti.

Analisi e gestione del rischio

La base della sicurezza è conoscere i rischi per poterli gestire. La gestione del rischio è l'attività fondamentale della cybersecurity.

Controllo degli Accessi

Un accesso controllato e monitorato è essenziale per prevenire l’utilizzo improprio delle banche dati. Le principali misure includono:

  • Identità digitali individuali: Non condivisibili e dotate di privilegi minimi;
  • Autenticazione multifattore (MFA): Proporzionata alla criticità dei dati;
  • Audit periodici: Per verificare e aggiornare privilegi e credenziali;
  • Protezione fisica: Misure come sorveglianza 24/7 e accessi monitorati agli edifici.

Sviluppo Sicuro di Sistemi e Applicazioni

Il principio di security by design richiede che la sicurezza sia integrata fin dalle prime fasi di progettazione. Le migliori pratiche comprendono:

  • Separazione degli ambienti di sviluppo, test e produzione;
  • Adozione di protocolli di cifratura per proteggere i dati in transito;
  • Test di sicurezza approfonditi per identificare vulnerabilità.

Gestione del Ciclo di Vita

Ogni sistema deve essere gestito lungo l’intero ciclo di vita, dalla progettazione alla dismissione. È fondamentale:

  • Conservare registri aggiornati delle attività di manutenzione;
  • Testare ogni aggiornamento in ambienti di prova prima del rilascio;
  • Adottare procedure per la dismissione sicura dei dispositivi di memorizzazione.

Sicurezza nella Supply Chain

I fornitori rappresentano spesso una vulnerabilità. È indispensabile:

  • Valutare i rischi di ogni fornitore e stabilire audit periodici;
  • Limitare i permessi dei fornitori ai soli sistemi necessari:
  • Assicurarsi che i contratti includano requisiti di sicurezza specifici.

Monitoraggio e Auditing

Un sistema di monitoraggio efficace consente di rilevare tempestivamente comportamenti anomali. Misure chiave includono:

  • Inventari aggiornati dei flussi informativi;
  • Sistemi centralizzati per la raccolta e l’analisi dei log;
  • Strumenti di rilevamento delle intrusioni (IDS) e gestione eventi (SIEM).

Formazione del Personale

La consapevolezza dei rischi è un prerequisito per un sistema sicuro. È necessario:

  • Formare il personale sui principi base della cybersicurezza;
  • Verificare l’acquisizione delle competenze tramite test specifici;
  • Introdurre programmi di sensibilizzazione per proteggere le informazioni riservate.

Misure di Sicurezza Supplementari

Le linee guida prevedono un elenco dettagliato di misure selezionate per rispondere alle criticità evidenziate. Tra queste:

  • Protezione dei log di sistema: Conservazione sicura per almeno 24 mesi.
  • Cifratura e backup dei dati: Per proteggere le informazioni anche in caso di compromissione.
  • Test di penetrazione periodici: Per identificare vulnerabilità in tempo utile.

Conclusioni

Queste Linee Guida, come le altre già emesse da ACN relative al rafforzamento della resilienza ICT offrono un buon punto di partenza di un percorso di incremento della cybersicurezza delle PA, utilizzando il FNCN come framework di riferimento. 


 

Commento (0)

Altri Articoli Blog

thumbnail

Nasce la Commissione von der Leyen bis: la centralità del Rapporto Draghi nelle prospettive europee 2024-2029

Giovanni Bursi
04 dic
0
thumbnail

I REQUISITI SPECIALI PREVISTI DALL’ART. 100 DEL CODICE DEGLI APPALTI E I LIMITI DEL POTERE DISCREZIONALE DELLE STAZIONI APPALTANTI.

Andrea Gandino
10 dic
2
Blog