L’assessore Clio Biondi ha risposto in consiglio comunale ad un’interrogazione di Pietro Staderini (Sena Civitas)
La sicurezza informatica al centro dell’interrogazione presentata in consiglio comunale da Pietro Staderini (Sena Civitas).
Partendo dai recenti articoli stampa che denunciano diversi attacchi hacker ai siti informatici di enti pubblici come il Comune di Brescia, USL Umbria 2, Agenzia territoriale per la casa di Torino, Axios la piattaforma che ospita il Registro elettronico del 40% delle scuole italiane), ha fatto presente che “il tema della sicurezza sulla mole di informazioni sensibili contenute negli archivi delle Pubbliche amministrazioni, deve essere una priorità da seguire visto che non sappiamo che fine possano fare questi dati”.
Da questa premessa ha chiesto al sindaco “lo stato di aggiornamento dell’infrastruttura informatica del Comune di Siena; chi ha la gestione degli asset di difesa o mitigazioni di eventuali attacchi hacker al sistema informatico dell’Ente e quali i livelli di difesa previsti; se sono stati eseguiti dei test di vulnerabilità e i loro risultati, e se esiste un piano di aggiornamento dei nostri sistemi informatici e l’ammontare degli investimenti previsti”.
La Pirateria Informatica è un fenomeno in costante crescita per cui “il tema della sicurezza – ha risposto l’assessore ai Servizi Informatici Clio Biondi Santi – è sempre stato una priorità dell’Amministrazione comunale con continui investimenti per aggiornare i sistemi informatici e telematici dell’ente”.
L’Agid, Agenzia per l’Italia Digitale che promuove la trasformazione digitale del Paese e della PA, attraverso il Piano triennale dell’informatica 2020/22 e il CAD (Codice dell’Amministrazione Digitale) ha infatti elaborato un programma di abilitazione al Cloud che definisce l’insieme di attività e risorse necessarie per rendere un’amministrazione capace di creare, operare e mantenere le proprie infrastrutture IT utilizzando tecnologie e servizi Cloud. A decorrere dal 1º aprile 2019, le Amministrazioni Pubbliche possono acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da Agid e pubblicati nel Catalogo dei servizi Cloud per la PA qualificati.
A seguito del censimento del patrimonio ICT della P.A. svolto da AGID, gli enti sono stati invitati ad avviare il percorso di migrazione verso il Cloud come definito dal programma nazionale.
“Il Comune di Siena ha quindi ritenuto opportuno – ha proseguito Biondi Santi – iniziare il percorso di migrazione delle infrastrutture informatiche verso il Cloud a partire dal Servizio di Disaster Recovery, già funzionante da molti anni, e ospitato presso i locali dell’ex Centro Servizi nel vicolo di San Girolamo. Si tratta di un servizio adottato per ripristinare l’accesso e la funzionalità della propria infrastruttura IT in seguito a eventi disastrosi naturali o causati dall’uomo, ed è, sicuramente, il mezzo più importante per scongiurare incidenti di tipo informatico”.
Il Servizio Reti, Infrastrutture Tecnologiche, che ha la gestione della Sicurezza Informatica dell’Ente, ha attivato la fornitura della IaaS, Infrastructure as a Service IBM Cloud Bare Metal Server con Vmware 6.5 U3 su Cloud dove è stato installato il Disaster Recovery ed è già funzionante dallo scorso 1° gennaio.
Per agevolare la Pubblica Amministrazione nella stesura dei propri piani AGID ha pubblicato delle Linee Guida “LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del comma 3, lettera b) dell’art. 50bis del Codice dell’Amministrazione Digitale”, che sono state seguite nella realizzazione del progetto di Disaster Recovery comunale.
“Obiettivo del progetto – ha evidenziato l’assessore – è stato quello di creare un sito di Disaster Recovery per l’infrastruttura VMware in Cloud che abbia un RPO (Recovery Point Objective e cioè quanto spesso viene salvata l’immagine dei dati) variabile tra i 5 minuti e le 24 ore.
Le difese perimetrali sono assicurate da un sistema di Next Generation Firewall con 2 apparati Check Point 5400. Sono inoltre state acquistate 200 licenze per client VPN in modo da permettere lo smart working in sicurezza.
Molte volte i danni di attacchi informatici dipendono da un anello debole che è il fattore umano. Quindi per contrastare agli attacchi informatici non servono solo mezzi tecnologici, ma la formazione del personale è sicuramente altrettanto importante”.
La Giunta comunale ha approvato il “Disciplinare sulle politiche di sicurezza informatica del Comune di Siena” con delibera n. 315 dell’8/8/2019 (consultabile nel portale interno dedicato alla Sicurezza informatica), che disciplina le modalità di accesso ed utilizzo degli strumenti informatici, della rete informatica e telematica ai fini di un corretto utilizzo degli strumenti stessi da parte dei dipendenti, collaboratori ed operatori a qualunque titolo del Comune di Siena. Per questo sono stati effettuati corsi di formazione a tutto il personale sulla Sicurezza informatica, sull’uso della posta elettronica e sul GDPR, volti a creare una cultura della sicurezza informatica e la tutela dei dati trattati.
“La vulnerabilità – ha concluso – è costantemente monitorata tramite log e alert che vengono attivati in caso di situazioni di pericolo. Come già detto i sistemi informatici sono costantemente aggiornati e con uno sguardo agli sviluppi futuri. Gli investimenti per il funzionamento dei servizi informatici ammontano ad un totale di circa 450.000 euro per il 2021, di questi, in particolare, 20.000 euro riguardano il sistema Firewall, 16.945,80 euro per il Cloud IBM e 6.222 per il sistema di backup Spectrum Storage Suite. Riguardo alla formazione sulla sicurezza informatica non ci sono state spese in quanto i corsi sono stati svolti dal personale del Servizio Reti”.
Staderini si è detto “soddisfatto” della risposta che “in modo approfondito e tecnico ha chiarito le mie richieste e soprattutto mi sento tranquillo, non tanto io quanto tutta la collettività, circa la sicurezza informatica dell’Ente per quanto esposto dall’assessore”.
