La cybersicurezza dei comuni lombardi è incoraggiante ma non priva di rischi. La consapevolezza della sua importanza è diffusa, ma occorre supportare gli enti locali affinché compiano un necessario salto qualitativo, anche nei confronti degli attacchi più comuni che colpiscono e mietono vittime tanto nel settore pubblico quanto in quello privato. Sono questi i risultati della ricerca coordinata da Danilo Bruschi, direttore del Dipartimento di Informatica dell’Università degli Studi di Milano, all’interno delle attività del MEIEC - Milan Economic Impact Evaluation Center dell’Ateneo milanese, in collaborazione con AnciLab, società coordinata da ANCI Lombardia per rispondere alle esigenze di sviluppo e innovazione della Pubblica Amministrazione locale. Lo studio “La Cybersecurity negli enti locali”, presentato oggi presso la Sala Napoleonica della Statale di Milano, nasce all’interno dello Spoke n. 4 del progetto del PNRR MUSA - Multilayered Urban Sustainability Action, imperniato sulle analisi di impatto economico e finanza sostenibile. 

 

“La presentazione dei dati di oggi”, ha dichiarato Carlo Fiorio, direttore del Dipartimento di Economia, Management e Metodi Quantitativi dell’Università degli Studi di Milano e del centro MEIEC “inaugura gli studi del MEIEC, finanziato con fondi del PNRR del progetto MUSA, che hanno l’obiettivo di convogliare e diffondere la cultura dell’analisi d’impatto nelle istituzioni, nelle aziende e nel Paese, affinché i decisori possano fare scelte più consapevoli”. 

 

“È molto interessante il tema del convegno di oggi, anche e soprattutto alla luce del lavoro che stiamo svolgendo in Regione Lombardia”, ha spiegato Alessandro Fermi, assessore all'Università, Ricerca, Innovazione di Regione Lombardia. “La sicurezza informatica è sempre più cruciale per tutti e anche gli Enti locali non sono immuni da rischi. È importante dunque sapere quali sono i limiti entro i quali ci si può muovere e i rischi che si corrono. Il lavoro svolto dalla Statale di Milano, in collaborazione con AnciLab, dunque, rappresenta un esempio virtuoso di come la ricerca e il mondo degli enti locali possano concretamente contribuire alla sicurezza informatica delle nostre amministrazioni. Le attività si realizzano nell’ambito del progetto Musa, che vede coinvolte tutte le università milanesi ed è un'iniziativa che la Regione Lombardia sostiene con convinzione”.

 

L’amministratore Unico di AnciLab, Alessio Zanzottera, che ha portato i saluti del Presidente di Anci Lombardia Mauro Guerra, ha sottolineato la necessità di preparare e supportare i Comuni attraverso la diffusione della cultura sicurezza informatica: “Perché la PA non sia vulnerabile, l’approccio alla sicurezza informatica non deve essere quello dell’adempimento. I dati dei Comuni sono un patrimonio importante e bisogna lavorare perché non accadano incidenti che possono creare danni a servizi e cittadini. I Comuni nei prossimi mesi dovranno guardare al digitale e all’intelligenza artificiale consapevoli delle opportunità e delle criticità che si possono presentare. La stagione del PNRR ha certamente dato una spinta importante al tema della digitalizzazione dei Comuni, ma è necessario che questo balzo in avanti sia accompagnato da percorsi adeguati di formazione che offrano al personale dei Comuni competenze adeguate”.

 

“Non si può immaginare la digitalizzazione degli enti locali senza prestare la dovuta attenzione alla cybersicurezza, presupposto indispensabile per l’affidabilità verso i cittadini. Impegnarsi in questo campo vuol dire puntare su formazione e consapevolezza, processi tecnologici e organizzativi, ambiti in cui l’ACN sta portando avanti una molteplicità di iniziative a favore delle amministrazioni centrali e locali, anche attraverso le risorse messe a disposizione dal PNRR”, Gianluca Ignagni, Capo di Gabinetto dell’Agenzia per la cybersicurezza nazionale.

 

“Il quadro che emerge dall'indagine è incoraggiante ma non rassicurante” ha dichiarato Danilo Bruschi. “Incoraggiante perché è evidente l'impegno dei comuni ad affrontare la tematica in tutti i suoi aspetti. Non rassicurante perché il gap di conoscenze non è trascurabile e da soli non possono farcela”.

 

Onelia Rivolta, Direttore di AnciLab, ha ricordato la situazione nei Comuni relativamente alle competenze del personale, in particolare in quelli con meno di 5000 abitanti che in Lombardia rappresentano oltre il 65% del totale. “Questi Comuni mediamente non hanno a disposizione un numero di dipendenti specializzato in settori specifici come quello della sicurezza informatica. Bene i regimi sanzionatori, ma il danno va prevenuto lavorando sulla formazione e su questo i Comuni vanno sostenuti”.

 

 

Grande importanza è stata data alle persone che operano degli enti locali, fondamentali per poter sviluppare una strategia di cybersecurity efficace. Più precisamente, si è analizzato quali fossero le conoscenze presenti negli enti locali sul tema cybersecurity e quale fosse il livello di preparazione nell’affrontare le sfide imminenti della digitalizzazione dei processi e del passaggio al cloud. 

 

A seguito di tre distinti focus group, mirati a valutare il livello di consapevolezza e preparazione sul tema della cybersecurity nei comuni tra il personale politico e manageriale, il personale tecnico amministrativo con mansioni informatiche e i tecnici informatici dedicati, è stato realizzato un questionario al quale hanno contribuito complessivamente più di 200 rispondenti. Le risposte sono state in seguito validate tramite un confronto con quelle fornite da 15 esperti del settore. Elemento caratterizzante dell’indagine è stato il fatto che, una volta ottenuti i risultati ed aver proceduto alla loro analisi, ne sia stata appurata sperimentalmente la loro validità, testando direttamente i siti web dei comuni attraverso una simulazione di attacchi web e attacchi di social engineering condotti dai ricercatori al fine di verificarne la robustezza.

 

Ecco i principali risultati:

• la consapevolezza del problema cybersecurity è molto diffusa tra i comuni, anche tra quelli di piccole dimensioni;

• la tipologia di competenze più diffusa è quella che privilegia gli aspetti tecnici della disciplina ed è una conoscenza tipicamente "fai da te";

• emergono deficit di formazione e competenze soprattutto nei comuni di piccole dimensioni e principalmente in relazione a temi fortemente innovativi come il cloud;

• per contro i comuni di più grandi dimensioni mostrano una maggiore fragilità rispetto agli attacchi di social engineering;

• nessuno dei siti web dei comuni che si è sottoposto al vulnerability assessment condotto dal Laboratorio Sicurezza e Reti del Dipartimento di Informatica dell’Università degli Studi di Milano ha manifestato criticità tali da poterne compromettere il corretto funzionamento, confermando il dato ottenuto analiticamente rispetto al livello di consapevolezza sul problema e in contrasto con un "sentire" diffuso;

• la simulazione di campagne di phishing, sempre condotte dal Laboratorio di Sicurezza e Reti della Statale di Milano, hanno invece messo in evidenza diverse criticità, ma non si tratta certo di una peculiarità dei comuni testati visto che di fatto stiamo parlando del principale vettore di attacchi informatici usato in questi ultimi anni e che ha mietuto vittime illustri sia in ambito pubblico che privato.