Dall’entrata in vigore nel 2018 del GDPR, nella Pubblica Amministrazione ha preso il via un percorso di attuazione che non si limita solo all’adempimento di una normativa ma comprende la protezione dei dati personali dei cittadini per scongiurare il rischio di violazioni di dati o furti d’identità. Le sanzioni previste per il mancato adempimento alla normativa sono pesanti, e toccano anche il penale in caso di trattamento illecito di dati personali, di acquisizione fraudolenta, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, o false dichiarazioni e inosservanza dei provvedimenti del Garante.

Le difficoltà della PA nella gestione della riservatezza dei dati dei cittadini sono state confermate dai numeri delle sanzioni pubblicati sul sito del Garante della Privacy, tra il 2020 e il primo trimestre 2021. Oltre il 71% delle sanzioni per violazioni dei dati personali è stata erogata a Enti Pubblici e il 29% a soggetti privati. Nel dettaglio le sanzioni indirizzate ai Comuni hanno riguardato il 31% dei provvedimenti.

Che cosa deve fare la PA per evitare le sanzioni

In primis deve definire l’ufficio di competenza della materia e nominare un Data Protection Officer (DPO). Poi è tenuta alla designazione dei responsabili del trattamento e alla registrazione delle attività connesse al trattamento stesso dei dati. Ma, soprattutto, deve garantire l’integrità delle informazioni, attività altamente complessa che include la registrazione dei file di log in maniera conforme al GDPR; la conservazione dei file di accesso per un periodo di almeno 180 giorni con la garanzia che questa rimanga inalterata; la marcatura temporale di ogni file di log; il rilevamento e blocco di accessi non autorizzati; la messa in atto di adeguate misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati.

La tutela del diritto alla riservatezza dei propri cittadini passa attraverso un sistema di protezione dei dati personali che deve essere in grado di garantire il rispetto delle disposizioni e dei principi del Regolamento Europeo 679/2016 e della normativa nazionale in materia di Privacy. Questo vale anche per i Comuni di piccole dimensioni, dove però l’attuazione, risulta complicata dall’endemica carenza di personale, dalla mancanza di skill in materia e dalle ridotte risorse economiche che non consentono di tenere il passo con le sfide dell’innovazione digitale. In contesti del genere l’adeguamento alla normativa richiede uno sforzo organizzativo non indifferente ma anche la necessità di attuare misure tecniche relative alla parte IT che operino sulla sicurezza del dato.Con l’entrata in vigore del GDPR, risulta quindi evidente come il log management sia diventato uno strumento imprescindibile per le organizzazioni, incluse le Pubbliche Amministrazioni. Per log management si intende l’aggregazione, la conservazione e la registrazione a norma di legge del registro degli accessi ai sistemi informativi. Lo scopo è garantire la totale sicurezza dei sistemi stessi. Gli access log devono avere caratteristiche come l’inalterabilità e la completezza, e la possibilità di verifica della loro integrità. La raccolta dei log è importante perché serve a verificare eventuali anomalie nella frequenza degli accessi esterni e nelle loro modalità (in termini di orari, date, durata e sistemi da cui viene effettuato l’accesso).

Che approccio utilizzare

Affidarsi a soluzioni software di log management appositamente progettate e sviluppate per garantire la conformità verso i principali regolamenti in vigore che permettano di avere completa visibilità sulla postura di sicurezza delle aziende della PA e private è senz’altro il primo passo da prevedere.

HiSolution, MSP specializzato in soluzioni tecnologiche in ambito VoIP, UCC, networking, security e IT, che eroga servizi end-to-end con supporto NOC al cliente, collabora con diverse realtà della Pubblica Amministrazione proponendo soluzioni di Log Management che adottano la tecnologia SGBox con un approccio economico basato sul numero di data source gestiti e non sul traffico generato. Questo è molto importante per non avere sorprese sul costo (in caso di attacco il traffico potrebbe aumentare in modo significativo), specialmente per le Pubbliche Amministrazioni.

Inoltre, la proposta si basa sulla modularità dell’offerta che va dalla semplice raccolta di log basici, fino alla raccolta di tutti i log, alla loro correlazione attraverso motori di Threat Intelligence e alla gestione con intelligenza artificiale dei comportamenti degli utenti con attività di orchestrazione e SOAR (Incident Management e Security Orchestration, Auditing and Response). Il sistema gestisce gli ambienti multi-sede e può essere installato in sia in modalità virtuale sia on premise oppure in cloud su data center certificato AGID.

L’obiettivo è quello di supportare con puntualità le indagini sugli incidenti e la reportistica di conformità alla legge proprio perché analizza in profondità dati ed eventi che arrivano dall’intera infrastruttura IT, oltre a offrire un sistema di “alert” per tutte le attività non conformi alla sicurezza aziendale.

Spesso però l’adozione di una soluzione di log management non è sufficiente soprattutto se all’interno della struttura il personale dedicato non ha le competenze necessarie. In casi come questi, molto frequenti soprattutto nei Comuni medio-piccoli, la soluzione migliore potrebbe essere quella di affidarsi a servizi gestiti dedicati, forniti da Managed Service Provider specializzati in grado di prendere in carico la gestione e il monitoraggio di log, integrati con la capacità di rilevamento e remediation delle attività critiche che si dovessero presentare. La proposta del servizio gestito permette anche di avere report specifici per la gestione costante della sicurezza all’interno dell’azienda o della Pubblica Amministrazione.

Alessandro Pratesi è CEO di ICT Plus by HiSolution