La sicurezza dei dati e delle infrastrutture informatiche è un problema che preoccupa tutti (o, almeno, dovrebbe farlo), ma che assume una rilevanza maggiore quando parliamo di Pubblica Amministrazione.
Sia chiaro, proteggersi da eventuali attacchi hacker è un imperativo a cui nessuno può sottrarsi. A meno che, ovviamente, non si scelga di aprire le porte (informatiche, s’intende) ai cybercriminali.
Tuttavia, un conto è se a finire sotto attacco sono i Pc e le infrastrutture di singoli cittadini o di aziende private, un altro è se l’attacco cyber mette fuori uso i servizi erogati dal sistema sanitario nazionale o da una pubblica amministrazione centrale o locale.
Indice dei contenuti
Una strategia nazionale per la sicurezza dei dati della PA
La difesa dei dati pubblici ha, quindi, un’importanza cruciale, ma il tema va affrontato sapendo che il più delle volte la PA è fatta di Comuni o altri enti che non hanno risorse o competenze necessarie per proteggere bene i dati che gestiscono.
A porre rimedio a tali limiti ci ha pensato nel 2021 Strategia Cloud Italia, realizzata dall’Agenzia per la Cybersicurezza Nazionale (ACN) e il Dipartimento per la trasformazione digitale. Si tratta di un atto con cui l’Italia si è data delle regole per creare un cloud nazionale su cui trasferire i dati di tutte le PA del Paese.
In questa strategia un ruolo importante è riconosciuto alle aziende private specializzate in servizi cloud, che al termine di un percorso di qualificazione possono diventare fornitori delle PA e ospitare i dati di queste ultime sui loro data center.
La strategia, infatti, si sviluppa lungo tre direttrici principali:
– classificazione dei dati e dei servizi, definendoli ordinari, critici o strategici in base al danno che una loro compromissione potrebbe provocare al Paese;
– qualificazione dei servizi cloud, svolta dall’ACN per regolamentare, da un punto di vista tecnico e amministrativo, l’acquisizione da parte delle PA di servizi cloud da fornitori privati;
– creazione di un Polo Strategico Nazionale, un’infrastruttura composta da 4 data center nazionali con massimi standard di sicurezza, chiamata a ospitare dati e servizi critici e strategici di tutte le PA centrali, delle ASL e delle principali PA locali.
L’ACN e i dati critici
Con la Determinazione 307/2022, l’ACN ha definito i requisiti per poter erogare su cloud i servizi che prevedono la gestione di dati e flussi attraverso soluzioni software. Come visto, l’Agenzia ha suddiviso i tipi di dati gestibili dalle PA in tre differenti livelli:
- strategico: servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
- critico: servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
- ordinario: servizi la cui compromissione non provoca un pregiudizio per il benessere economico e sociale del Paese.
I dati critici, ad esempio, comprendono le informazioni raccolte e generate da sistemi medicali in ospedali, cliniche e centri medici, o anche da soluzioni di raccolta di dati biometrici impiegate in processi di identificazione.
Quali sono i requisiti per la qualificazione di un provider di servizi cloud
Per poter erogare soluzioni cloud verso le Pubbliche Amministrazioni, un provider deve qualificare i propri servizi, inviando apposita richiesta ad ACN. In caso di esito positivo, l’Agenzia concede la qualifica al servizio e inserisce la soluzione nel Cloud Marketplace, la piattaforma online che contiene il catalogo dei servizi cloud qualificati acquistabili dalle PA.
I requisiti richiesti ai provider privati per ottenere la qualificazione riguardano: sicurezza del servizio, capacità di elaborazione, affidabilità dell’infrastruttura e scalabilità, oltre al possesso di numerosi standard di qualità. Tra gli standard richiesti ci sono: ISO 9001, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 22301 e ISO 20000.
Namirial Archive, la soluzione qualificata ACN di Namirial
Namirial Archive è la suite di Namirial dedicata alla gestione documentale, conservazione digitale, workflow e fatturazione elettronica. Il modulo di conservazione digitale, definito Long-Term Archiving (LTA) consente la conservazione a norma di documenti informatici nativi digitali o digitalizzati dal cartaceo. Il sistema è conforme al quadro normativo di riferimento e a tutte le norme di settore in merito a formazione, tenuta e conservazione dei documenti. Namirial Archive, inoltre, garantisce autenticità, integrità, leggibilità, affidabilità e reperibilità dei documenti, dalla presa in carico dal produttore fino a tutto il periodo di conservazione.
La soluzione implementa un processo di conservazione basato sulla gestione e produzione dei pacchetti informativi previsti dalle norme e dal modello di riferimento OAIS (ISO 14271).
ACN ha qualificato Namirial Archive con livello QC1 (dati ordinari) e QC2 (dati critici). Questo risultato è un ulteriore riconoscimento per Namirial, già iscritta nell’elenco dei conservatori qualificati AgID.
Le caratteristiche di Namirial Archive
In caso di oggetti informatici contenenti dati sensibili che, in accordo alla normativa, necessitano di un particolare trattamento, il servizio di Long-Term Archiving implementa ulteriori misure di sicurezza. In particolare, la soluzione prevede l’uso di crittografia avanzata, insieme a controllo degli accessi e verifica dell’identità dell’utente con autenticazione a doppio fattore.
Namirial Archive consente, infatti, di cifrare i documenti oggetto della conservazione, insieme all’indice contenente i metadati associati, grazie a una chiave crittografica di tipo AES-256 dedicata al titolare dei documenti (azienda o PA).
Inoltre, il servizio ha una serie di plug-in che permettono di connettersi alle più diffuse soluzioni in ambito medicale – come PACS (Picture Archiving and Communication System), RIS (Radiology Information System) e HL7 (Health Level 7) – e di conservare formati di immagini diagnostiche, come DICOM (Digital Imaging and Communications in Medicine).
