Cybersecurity per la PA: le strategie di Elastic

La trasformazione digitale, con la diffusione di modelli di lavoro flessibili e servizi basati sul cloud, ha ampliato la superficie di attacco e ridotto l’efficacia delle tradizionali strategie di cybersecurity, rendendo più difficile per i team IT e di sicurezza proteggere le infrastrutture e i sistemi delle proprie organizzazioni. Fra queste, il settore pubblico è particolarmente appetibile per i cybercriminali per via della grande quantità di dati sensibili che gestisce (relativi, ad esempio, a sanità, istruzione, identificativi dei cittadini, ecc.). L’ambito della cybersecurity riguarda infatti, intrinsecamente, il problema della gestione dei dati e una strategia di difesa efficace deve basarsi prevalentemente sulla capacità di raccoglierli, visualizzarli, analizzarli e di poter agire su di essi con massima tempestività, in modalità predittiva e con un approccio zero trust. Per questo motivo le piattaforme unificate rappresentano, ad oggi, uno strumento fondamentale per superare la logica della gestione in silos e permettere analisi complete, efficaci ed efficienti.

Attacchi alle PA: numeri in crescita

Negli ultimi anni, la pubblica amministrazione italiana è stata esposta a un numero crescente di attacchi informatici. Questo aumento è stato particolarmente marcato nel triennio 2021-2023, con un incremento di oltre sette volte nel numero di attacchi rispetto agli anni precedenti. Gli attacchi sono caratterizzati da un aumento in termini di frequenza e gravità. Secondo i dati forniti dal Rapporto Clusit di metà anno aggiornato a ottobre 2024, dall’addendum 2024 su ICT con focus su Italia e PA e dalle informazioni più recenti rilasciate dal report mensile di CSIRT Italia sull’analisi e l’andamento della minaccia cyber di dicembre 2024 aggiornato al 16 gennaio 2025, le principali minacce informatiche includono:

• Criminalità informatica.
• Attivismo politico-ideologico: nel 2023 si è registrato un picco di attacchi dimostrativi verso obiettivi governativi, motivati da eventi geopolitici. Questi attacchi spesso assumono la forma di attacchi DDoS (Distributed Denial of Service).
• Furto di identità (Identity Theft): gli incidenti basati su furto d’identità sono in aumento, con un numero maggiore di incidenti nel primo semestre del 2024 rispetto agli anni precedenti.
• Phishing e Social Engineering: questi attacchi rimangono una minaccia sostanziale, sfruttando la vulnerabilità del fattore umano.
• Malware: gli attacchi malware sono diffusi e rappresentano una minaccia significativa.

Incrementi degli attacchi

• Aumento generale: gli attacchi significativi verso la PA sono aumentati di circa sei volte tra il 2019 e il 2023, passando da meno di dieci a quasi sessanta.
• Incremento nel triennio 2021-2023: si è registrato un aumento di oltre sette volte nel numero di attacchi alla PA in questo periodo.
• Confronto con altri settori: la pubblica amministrazione è stata colpita dalla nuova ondata di attacchi con un anno di anticipo rispetto ad altri settori, ma attualmente sembra crescere a un ritmo leggermente inferiore rispetto ad altri ambiti, probabilmente a causa del maggior profitto che le organizzazioni criminali possono trarre da altri bersagli.
• Incremento rispetto al totale degli attacchi in Italia: gli attacchi verso le pubbliche amministrazioni rappresentano circa il 15-30% del totale degli attacchi in Italia, con un picco nel 2021.

Si tratta di dati che impongono una seria riflessione sulla crescente esposizione delle pubbliche amministrazioni alle minacce informatiche, evidenziando la necessità di implementare strategie di difesa più robuste e aggiornate per proteggere i dati sensibili e garantire la continuità operativa dei servizi pubblici.

Cybersecurity, un modello proattivo

La trasformazione digitale è un imperativo per la modernizzazione della PA, ma introduce nuove vulnerabilità. Sistemi legacy, mancanza di competenze e l’adozione di tecnologie cloud aumentano la superficie d’attacco, rendendo necessaria l’implementazione di soluzioni di sicurezza sempre più avanzate.

Normative come il GDPR e la Direttiva NIS2 impongono standard stringenti per la protezione dei dati e la resilienza informatica, stabilendo requisiti rigorosi per rafforzare a livello europeo la sicurezza delle infrastrutture digitali essenziali, tra cui quelle della pubblica amministrazione. In questo contesto, l’obiettivo di Elastic e quello di supportare la PA nell’ottemperare a questi obblighi, offrendo strumenti di governance e tracciabilità dei dati affidabili ed evoluti.

Per rafforzare le misure di cybersecurity è essenziale superare l’approccio reattivo. Per questo Elastic adotta un modello proattivo, basato su intelligenza artificiale e analisi dei dati, che permette di identificare e mitigare le minacce prima che possano causare danni significativi, offrendo una piattaforma di sicurezza integrata, progettata per soddisfare in particolare le esigenze della pubblica amministrazione. Grazie a funzionalità avanzate come il monitoraggio continuo e il rilevamento delle minacce, Elastic aiuta gli enti pubblici a proteggere i dati sensibili, garantendo al contempo conformità normativa e operatività. Alcuni elementi che possono fare la differenza:

• Un approccio aperto: favorisce la collaborazione e la trasparenza. Consente di identificare e correggere le vulnerabilità più rapidamente, offrendo una maggiore protezione rispetto ai sistemi chiusi.
• Le community e le risorse open source: permettono di condividere best practices e soluzioni concrete, rafforzando la risposta alle minacce.
•  Soluzioni SIEM (Security information and event management) che integrino funzionalità di machine learning, analisi comportamentale e automazione delle risposte agli incidenti. Un SIEM che permette di centralizzare la visibilità di tutte le fonti di dati.

La proposta Elastic

Elastic Security è una soluzione completa e modulare progettata per rispondere alle crescenti esigenze di sicurezza informatica della pubblica amministrazione. Integra funzionalità di Security Information and Event Management (SIEM) con capacità avanzate di threat hunting, analisi predittiva e gestione degli incidenti. Le principali caratteristiche della piattaforma sono:

• Il monitoraggio in tempo reale degli eventi di sicurezza: consente di visualizzare, analizzare e correlare dati provenienti da diverse fonti per identificare comportamenti sospetti o anomalie.
• Il rilevamento avanzato delle minacce: sfrutta algoritmi di machine learning per individuare attacchi complessi e persistenti, anche quando mascherati o frammentati.
• L’automazione delle risposte agli incidenti: riduce i tempi di reazione attraverso workflow automatizzati e playbook preconfigurati, alleviando il carico operativo dei team IT e di sicurezza.
• Scalabilità e integrazione: è progettata per adattarsi a infrastrutture esistenti, con compatibilità verso sistemi legacy e ambienti cloud, garantendo una gestione centralizzata ed efficace delle minacce.

Elastic offre diverse soluzioni per migliorare la sicurezza informatica nel settore pubblico, consentendo alle organizzazioni di proteggere i dati, le infrastrutture critiche e i cittadini. Ecco alcuni dei modi in cui contribuisce a supportare e implementare la cybersecurity per le pubbliche amministrazioni:

Visibilità unificata dei dati: la piattaforma Elastic permette di centralizzare tutti i dati rilevanti per la sicurezza, inclusi quelli provenienti da cloud, endpoint, reti e utenti, indipendentemente dal volume, dalla varietà o dalla velocità. Questa visibilità completa riduce i punti ciechi e i silos di dati, permettendo ai team di sicurezza di rilevare le minacce più rapidamente. La capacità di ricerca cross-cluster di consente di analizzare i dati da diverse posizioni senza doverli replicare o trasferire: una soluzione che si rivela particolarmente utile per gli enti pubblici con dati distribuiti.

Rilevamento e risposta alle minacce avanzati: offre funzionalità di rilevamento e risposta alle minacce basate sull’apprendimento automatico, le analisi comportamentali e le analisi statistiche. La piattaforma include regole di rilevamento predefinite, create e gestite da esperti di sicurezza, che consentono di identificare strumenti, tattiche e procedure degli avversari. Inoltre, permette di automatizzare l’analisi, la prioritizzazione degli avvisi e le azioni di risposta, riducendo il carico di lavoro degli analisti e accelerando i tempi di risoluzione degli incidenti

Automazione e orchestrazione: Elastic Security offre funzionalità di orchestrazione e automazione della sicurezza (SOAR) integrate o si integra con strumenti SOAR di terze parti. Ciò consente di automatizzare i flussi di lavoro di risposta agli incidenti, come l’isolamento degli endpoint o la sospensione dei processi, riducendo al minimo l’impatto delle minacce. L’integrazione con altri sistemi, come i sistemi di ticketing, semplifica la collaborazione tra i diversi team.

Ricerca e analisi potenti: la piattaforma Elastic è basata sulla potenza della ricerca, consentendo di cercare e analizzare rapidamente grandi volumi di dati, anche quelli archiviati a lungo termine, senza perdita di efficienza. Gli analisti possono eseguire ricerche strutturate e non strutturate su tutti i livelli di dati, incluse le archiviazioni a basso costo, e visualizzare i risultati in modo intuitivo. Questo è particolarmente importante per la caccia alle minacce e la risposta agli incidenti, poiché consente di identificare le attività degli attaccanti anche se si protraggono per mesi o anni.

Scalabilità e flessibilità: la piattaforma è progettata per scalare in base alle esigenze delle organizzazioni, consentendo di gestire grandi quantità di dati e un numero crescente di utenti. La flessibilità della piattaforma consente di supportare implementazioni on-premise, nel cloud e ibride, nonché di adattarsi a diversi ambienti e casi d’uso.

Formazione e comunità: Elastic offre risorse di formazione gratuite e accesso a una vasta comunità di utenti, dove è possibile condividere best practice, casi d’uso e suggerimenti per la risoluzione dei problemi. Si tratta di un aspetto particolarmente importante per le organizzazioni del settore pubblico, che spesso devono affrontare carenze di competenze e budget limitati.

Elastic aiuta le organizzazioni del settore pubblico a centralizzare i dati, automatizzare i processi e collaborare in modo efficace, migliorando il loro approccio alla sicurezza e riducendo il rischio di violazioni, puntando a offrire soluzioni di cybersecurity complete, flessibili e scalabili che consentano alle organizzazioni del settore pubblico di proteggere i propri dati e le proprie infrastrutture da minacce sempre più sofisticate.

Il futuro della sicurezza informatica nella PA

Fra le tendenze emergenti per la sicurezza informatica nel futuro della pubblica amministrazione spiccano senza dubbio l’intelligenza artificiale e il machine learning, attraverso strumenti di IA predittiva in grado di consentire una gestione a 360° delle minacce informatiche. L’AI e l’ML sono fondamentali per l’identificazione di anomalie e per la threat hunting. Elastic offre funzionalità ML predefinite e facili da usare che accelerano l’individuazione di minacce senza la necessità di competenze specialistiche. L’AI generativa può essere usata per migliorare l’esperienza dei cittadini e la produttività dei dipendenti del settore pubblico, garantendo a tempo stesso la privacy e la sicurezza dei dati quando si utilizzano modelli specifici. Elastic offre strumenti per una gestione centralizzata di dati e modelli AI, garantendo trasparenza e controllo.

Con un approccio basato su innovazione, compliance e proattività, Elastic si propone di aiutare gli enti pubblici a proteggere dati, infrastrutture e cittadini, promuovendo una trasformazione digitale sicura e sostenibile.