È centrata sui temi della sicurezza la strategia “Cloud Italia” presentata a settembre dal ministro Vittorio Colao: un progetto infrastrutturale molto complesso e ambizioso. La scelta del cloud computing è indicata come l’unica strada percorribile dal piano: la “nuvola informatica” permette infatti di semplificare e ottimizzare la gestione delle risorse informatiche, nonché di facilitare l’adozione di nuove tecnologie digitali, ed è quindi un Building Block fondamentale nei processi di trasformazione in corso.

Per i lavori di realizzazione del cloud nazionale, abbiamo al momento 2 cordate:

• Cassa Depositi e Prestiti, Leonardo, Sogei e Tim hanno presentato la loro proposta di partenariato pubblico-privato, tramite la costituzione di una NewCo con le seguenti quote: 20% a Cdp, 25% a Leonardo, 10% a Sogei e 45% a TIM. Questa cordata viene al momento data per favorita in quanto il 55% della NewCo sarebbe in mano a società pubbliche, direttamente o indirettamente controllate dal Tesoro.
• Almaviva e Aruba hanno anch’esse una proposta di partenariato pubblico-privato che fa leva sugli asset e sulla complementarità delle due aziende, entrambe completamente italiane, sulla disponibilità immediata delle infrastrutture e sulla solidità finanziaria.

Il terzo raggruppamento (quello del Consorzio Italia Cloud, con Seeweb, Sourcesense, Infordata, Babylon Cloud, Consorzio Eht e Netalia, che ad agosto aveva depositato al Ministero dell’Innovazione una manifestazione di interesse per la realizzazione e la gestione del PSN) ha deciso invece di ritirarsi, “non riconoscendosi nel modello indicato, e di rimanere in attesa di conoscere le determinazioni del governo sulle procedure di assegnazione”.

Ricevute le proposte, spetterà alla PA vagliarle nei prossimi mesi e indire una gara, che è prevista entro la fine del 2021.

I principi generali da cui parte il Piano di Colao

L’autonomia tecnologica è un principio fondante del Piano,un obiettivo non facile da raggiungere, considerando l’attuale quota di mercato nei servizi di cloud computing attribuibile ad aziende europee (inferiore al 10%). Alla luce di questa situazione, i rischi che le PA italiane possano essere soggette a modifiche unilaterali delle condizioni dei servizi cloud forniti non vanno trascurati. Così come sarà difficile governare lo sviluppo di questi servizi, l’interoperabilità con un intero ecosistema alternativo di tecnologie, se la produzione del servizio è affidata a terzi, addirittura ad aziende extra UE. Da notare che il piano di Colao fa riferimento diretto a legislazioni di stati esteri che pregiudicano la sovranità sui dati strategici italiani, citando espressamente il National Intelligence Law of the People’s Republic of China, il Clarifying Lawful Overseas Use of Data Act (CLOUD Act) o il Foreign Intelligence Surveillance (FISA) USA. È quindi una presa di coscienza nazionale sul rischio che corriamo, come Paese, di perdere il controllo su informazioni critiche.

Il secondo rischio da prendere in considerazione è quello collegato al controllo dei dati: il documento riporta che bisogna “Assicurare che i dati gestiti dalla PA non siano esposti a rischi sistemici da parte di fornitori extra UE, ad esempio l’accesso da parte di governi di paesi terzi”.

Il terzo rischio è quello delle garanzie di continuità offerte dal cloud: alla necessità quindi di prevedere soluzioni (sia di tipo procedurale sia tecniche) per incrementare sicurezza, ridondanza, interoperabilità. Si afferma che bisogna “Innalzare il livello di resilienza nei confronti di incidenti, ad esempio cyber, e/o guasti tecnici, attraverso controlli di sicurezza e requisiti che garantiscano la continuità di servizio”.

Come progettare quindi un cloud nazionale accessibile e sicuro?

Gli indirizzi strategici indicati dal ministro Colao sono di fatto volti a favorire un utilizzo del cloud il più possibile sicuro, conforme alle norme europee, svincolato da interferenze esterne, disegnato per proteggere dati critici da malfunzionamenti e incidenti di cybersecurity. La soluzione individuata si basa su 3 pilastri:

Classificazione dei Dati e dei Servizi: definizione di un processo di classificazione dei dati per guidare e supportare la migrazione dei dati e servizi della PA sul Cloud.

Qualificazione dei Servizi Cloud: realizzazione di un processo sistematico di scrutinio e qualificazione dei servizi Cloud utilizzabili dalla PA.

Polo Strategico Nazionale (PSN): creazione di un’infrastruttura nazionale per l’erogazione di servizi Cloud, la cui gestione e controllo siano autonomi da soggetti extra UE.

Guardando poi nello specifico alle misure che prescrive, con riferimento alla classificazione dei dati e dei servizi gestiti dalla PA (saranno classificati in strategici, critici e ordinari), è un passaggio importante perché da qui dipende la scelta del servizio cloud specifico da utilizzare. Ad esempio, “i dati e servizi afferenti funzioni essenziali dello Stato, ovvero identificati nell’ambito del PSNC, saranno classificati come strategici, i dati sanitari dei cittadini saranno classificati come critici, mentre dati e servizi relativi a portali istituzionali delle amministrazioni saranno classificati come ordinari”. A seconda della necessità di proteggere più o meno specifici dati, questi saranno posizionati su cloud con livelli di sicurezza crescenti.

Con riferimento alla procedura di qualificazione dei servizi cloud da utilizzare, avrà lo scopo di individuare il livello di sicurezza, compliance, dettagli operativi che permettano di verificarne a priori – prima ancora dell’acquisizione del servizio da parte delle PA – la rispondenza ai bisogni effettivi. La strategia colloca già alcuni attori del mercato come “non qualificati”: sono i cloud provider (extra UE o anche UE) che non rispondono alle norme UE sulla sicurezza (GDPR e NIS) e che non si adeguano a criteri di sicurezza / a esigenze tecniche e organizzative ritenute invece essenziali. Ad esempio, cloud provider che non consentono una localizzazione dei dati critici (come i dati sanitari delle persone) entro la UE, o che non abilitano per le PA la possibilità di adottare meccanismi di sicurezza minimi (come la cifratura dei dati gestita on-premise e integrata su cloud pubblico).

Aspetti chiave per ottenere un cloud nazionale sicuro

La strategia ha il vantaggio di fare chiarezza su alcuni punti essenziali per quanto riguarda la sicurezza del futuro Cloud italiano. Poiché il passaggio al cloud è indicato come indispensabile, le infrastrutture on prem delle PA andranno progressivamente abbandonate nei prossimi anni, con un tasso di rinnovamento che sarà monitorato e che dovrà sottostare a scadenze ben precise. La migrazione non dovrà però avvenire con una perdita di controllo su dati e servizi acquisiti, ossia, una perdita di sovranità sul mondo digitale (che si sta invece già oggi realizzando in altri ambiti). La strategia parte da un’analisi dei principali rischi (Risk Assessment) che l’utilizzo del cloud comporta, nel contesto attuale, e punta ad individuare le soluzioni che minimizzano gli impatti negativi di questa scelta. La costituzione del PSN avrà proprio lo scopo di garantire servizi e infrastrutture collocati sul territorio nazionale, sotto il diretto controllo delle agenzie deputate all’innovazione e alla sicurezza per il Paese.

La scelta di garantire un monitoraggio costante non solo su infrastrutture gestite sul territorio, ma anche sui servizi erogati da cloud provider internazionali, va nella direzione di un’importante presa di controllo sulla situazione attuale. Dal punto di vista della sicurezza, sarà fondamentale che il PSN e anche la neocostituita ANC (Agenzia Nazionale di Cybersicurezza) pongano molta attenzione alle regole di ingaggio per tutti i Cloud provider, tengano presente il tema dello shared responsibility model, della trasparenza e della tempestività delle comunicazioni. Dal punto di vista della Security Governance, sarà altresì importante disporre di una struttura centrale deputata al monitoraggio continuativo e alla gestione di una cybersecurity multilivello (gestione di identità e accessi, attività di Threat intelligence, Vulnerability management, configurazione e monitoraggio delle protezioni, Incident Response).

Si tratterà quindi di una sfida complessiva molto importante per tutte le PA che parteciperanno al progetto, e che dovrebbe anche tener conto delle professionalità e misure già oggi diffuse (un po’ a macchia di leopardo) dove questi temi sono stati affrontati negli ultimi anni. Pensiamo alle tante società informatiche inhouse delle Regioni (che impiegano circa 15mila dipendenti a livello nazionale), aziende come Lepida, Liguria digitale, Insiel o CSI Piemonte, che negli anni hanno ampiamente sviluppato questi temi, proteggendo nei propri cloud i dati critici di enti pubblici, municipalizzate ed aziende sanitarie delle diverse regioni.