Lo scoppio del conflitto militare in Ucraina ha determinato la necessità, per le Pubbliche Amministrazioni, di diversificare i prodotti e i servizi tecnologici di sicurezza informatica al fine di migliorare le armi di difesa dinanzi ai nuovi rischi internazionali. A sostenerlo è la circolare dell’Agenzia per la Cybersicurezza Nazionale relativa all’art. 29 co. 3 del dl 21 marzo 2022, n. 21, recante Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina.
Nel dettaglio, la circolare prevede che le amministrazioni sostituiscano le soluzioni di fornitori legati alla Russia, poiché gli stessi potrebbero non riuscire a fornire servizi e aggiornamenti ai propri prodotti.
Quindi, il documento invita le PA a analizzare gli impatti degli aggiornamenti degli stessi sull’operatività, quali i tempi di manutenzione necessari, e individuare nuovi servizi e prodotti e farne una valutazione, consentendo sia che siano compatibili con i propri asset, che la coerenza della complessità di gestione operativa delle strutture di supporto in essere.
Ancora, il documento invita ad occuparsi della definizione, della condivisione e della comunicazione dei piani di migrazione, e validare i modi per effettuare gli stessi su asset di test significativi, assicurandosi di procedere con la migrazione dei servizi e prodotti sugli asset più critici soltanto dopo la validazione di alcune migrazioni e con l’ausilio di piani di ripristino a breve termine al fine di garantire la necessaria continuità operativa.
Infine, l’Agenzia suggerisce di condurre analisi e validazioni delle funzioni e integrazioni dei nuovi prodotti e servizi scelti, assicurando l’applicazione di regole e configurazioni di sicurezza proporzionate a scenari di rischio elevati. Tra i principali vengono citati i sistemi di autenticazione multifattore per ogni accesso privilegiato, l’attivazione delle sole funzioni necessarie e l’adozione dei principi di zero-trust.
Per tutti i nuovi prodotti e servizi dovrà infine essere garantito un attento monitoraggio e audit, con previsione di un adeguato supporto per gli aggiornamenti e le revisioni delle configurazioni.
