Negli ultimi anni la consapevolezza dei rischi che le amministrazioni pubbliche corrono senza adeguati strumenti di protezione delle infrastrutture e dei dati è fortemente cresciuta, anche a seguito della progressiva digitalizzazione di molte funzioni e servizi pubblici e, quindi, della maggiore esposizione ai rischi di attacchi informatici e più in generale di azioni di cybercrime.

Al crescere del livello di rischio, la PA italiana è posta di fronte alla necessità di dotarsi di adeguate strategie di difesa: dotare le infrastrutture fisiche (data-center) e virtuali di apparati e software per rafforzare la prevenzione dalle intrusioni informatiche; disporre di professionalità di alto livello per definire architetture e organizzazioni in grado di gestire il rischio cyber con strumenti di conoscenza in tempo reale e con azioni veloci di ripristino; confrontare le cosiddette “kill chain” – ossia quei modelli che aiutano a comprendere le azioni di un hacker per cogliere i segnali di un attacco – con le policy di sicurezza adottate dalle PA.

 

Il contesto normativo: il DL 82/2021 e l’Agenzia per la sicurezza nazionale

Anche la normativa si è andata progressivamente adeguando a queste esigenze, soprattutto nell’ottica di definire una strategia comune e coordinata tra i diversi soggetti della PA coinvolti.

Da questo punto di vista, un’importante evoluzione si è avuta dapprima con la legge 133/2019 (Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica) e poi con i suoi decreti attuativi. Tra questi in particolare il DL 82/2021, che ridefinisce l’architettura nazionale di cybersecurity e istituisce l’Agenzia per la cybersicurezza nazionale (ACN).

Tra le varie funzioni dell’Agenzia si evidenziano quelle di:

  • predisporre la strategia nazionale di cybersicurezza;
  • rappresentare un “punto di contatto unico” in materia di sicurezza delle reti e dei sistemi informativi, centralizzando funzioni in precedenza attribuite ad altri soggetti,
  • svolgere un ruolo di coordinamento tra i soggetti pubblici coinvolti in materia, promuovendo azioni comuni per il conseguimento dell’autonomia nazionale ed europea riguardo a prodotti e processi informatici di rilevanza strategica.

 

L’importanza del security-procurement

In questo contesto, assume una grande rilevanza il “security-procurement”, ossia l’acquisto da parte della PA dei beni e servizi necessari per realizzare le strategie di protezione dei propri sistemi e dati. Un compito, quest’ultimo, demandato alle centrali di committenza come Consip, che devono mettere a disposizione della PA i contratti per l’acquisizione degli strumenti di sicurezza.

Anche in quest’ambito, l’istituzione dell’Agenzia rappresenta un passo importante per orientare le strategie di approvvigionamento e attuare una strategia coordinata, anche per prevenire errori che possano portare a conseguenze gravi e compromettere la fiducia delle PA nei confronti dei soggetti che acquistano per loro conto. Nella fornitura di beni e servizi strategici, come quelli che riguardano la sicurezza della PA, infatti, devono essere ben note provenienze, caratteristiche tecniche, certificazioni e la possibilità di impiegare beni e servizi oggetto di acquisizione anche negli snodi più delicati della PA (incluse le infrastrutture critiche).

Un tema rilevante è quello della diversificazione e sostituzione di prodotti e servizi tecnologici di sicurezza informatica, sul quale è intervenuta nell’aprile 2022 la circolare n.4336 dell’ACN che, in attuazione dell’art. 29 del Dl 21/2022, ha indicato le categorie di prodotti e servizi da diversificare tra quelli volti ad assicurare la sicurezza dei dispositivi (endpoint security), ivi compresi  applicativi antivirus, antimalware ed “endpoint detection and response” (EDR) e “web application firewall” (WAF).

 

La piattaforma di eProcurement Mef/Consip

In questo contesto, Consip può offrire un contributo in una doppia veste: quella di gestore della più grande piattaforma di e-procurement nazionale e quella di centrale di committenza nazionale, incaricata di mettere a disposizione delle pubbliche amministrazioni di strumenti per l’acquisto dei beni e servizi tra cui anche quelli necessari a garantire la sicurezza di sistemi e dati.

Sotto il primo profilo, Consip ha profuso in questi anni un grande sforzo per perfezionare il modello di governance e gli strumenti di controllo e di sicurezza (fisica e informatica) della propria infrastruttura di e-procurement, che continua ad evolversi e rafforzarsi adattandosi ai cambiamenti di contesto.

Nel 2018, vi è stata la sottoscrizione di un protocollo di collaborazione fra Consip e la Polizia di stato – operativamente rappresentata dal CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale e delle Comunicazioni – per la prevenzione dei crimini informatici a tutela dell’infrastruttura informatica Consip e della piattaforma di e-procurement, che è stata riconosciuta “infrastruttura critica di interesse nazionale”. Attraverso questa intesa, è stato realizzato l’obiettivo di condividere procedure d‘intervento e informazioni utili alla prevenzione e al contrasto degli attacchi informatici di matrice terroristica e criminale che potrebbero avere ad oggetto le nostre infrastrutture.

La rilevanza del tema sicurezza per Consip si può comprendere citando un dato emblematico: nell’ultimo quinquennio (2017-2021) oltre 73 mld/€ di spesa pubblica sono transitati sulla Piattaforma digitale di eProcurement Mef/Consip e di questi 18,9 mld/€ nel solo 2021. Una piattaforma sulla quale sono abilitati ad operare oltre 100mila “centri di spesa” della PA e oltre 83mila fornitori, che, dunque, ripongono grande fiducia nell’efficienza e nella sicurezza dei sistemi su cui interagiscono.

 

Il security-procurement nell’offerta Mef/Consip

Sotto il secondo profilo, Consip mette a disposizione della PA strumenti di acquisto in grado di soddisfare le loro esigenze di approvvigionamento in materia di sicurezza.

 

Gara SPC Cloud

È ancora disponibile il lotto 2 della gara “Spc Cloud”, che ha l’obiettivo di mettere a disposizione delle PA servizi di sicurezza erogati in modalità “as a service”. Tra questi, solo a titolo di esempio, figurano prodotti e servizi come certificati SSL, Static e Dynamic Application Security test, Vulnerability Assessment, Data Loss/Leak Prevention, Database Security, Web Application Firewall e Next Generation Firewall, Secure Web Gateway.

 

Le nuove gare

Consip ha avviato tre iniziative specifiche per la cybersecurity, per un totale di circa 900 mln/, che si inseriscono nel pacchetto di gare strategiche ICT realizzate da Consip in attuazione del “Piano Triennale per l’informatica nella PA 2020-2022”, predisposto da Agid e Ministro per l’innovazione tecnologica e transizione digitale e che potranno essere utilizzate sia per i fabbisogni ordinari sia per la realizzazione dei progetti del Piano Nazionale di Ripresa e Resilienza (PNRR). Inoltre l’approccio multibrand adottato in fase di strategia di procurement fornisce un valido strumento per le PA chiamate a diversificare o sostituire prodotti e servizi tecnologici di sicurezza informatica per le categorie indicate dall’ACN.

  • Sicurezza On Premises - strumenti di gestione, protezione email, web e dati”, per la fornitura alle PA di soluzioni per la gestione degli eventi di sicurezza e degli accessi, e la protezione dei canali email, web e dati. La gara è stata aggiudicata e il contratto, del valore di 135 mln/€, è attivo
  •  “Sicurezza da remoto” che ha per oggetto la fornitura di servizi di protezione della sicurezza dei perimetri tecnologici delle infrastrutture e delle informazioni della PA, nonché di servizi volti alla misura dello stato di salute della sicurezza dei sistemi informativi e di supporto nella identificazione dei “fabbisogni”. La gara è stata aggiudicata ed è attualmente attivo il contratto per il lotto 2 del valore di 117 mln//€, mentre quello per il lotto 1 sarà attivato a breve.
  • Sicurezza ‘’on premise’’ – Protezione perimetrale, endpoint e anti APT”, per la fornitura di prodotti di sicurezza infrastrutturale (Next Generation Firewall, Network Access Control, Endpoint Protection Platform /Endpoint Detection & Response, Server Protection Platform, Protezione Anti-Advanced Persistent Threat) volti a garantire protezione dalle minacce informatiche e controllo degli accessi alla propria infrastruttura di rete. La gara è stata aggiudicata e il contratto verrà attivato a breve.