Continuità operativa e Disaster recoveryProfili giuridici e metodologici

o

Roma, 25 maggio 2017 Michele Iaselli

Quadro normativo

La continuità dei sistemi informativirappresenta per le pubblicheamministrazioni e non solo, nell’ambitodelle politiche generali per la continuitàoperativa dell’ente, un aspetto necessarioall’erogazione dei servizi a cittadini eimprese e diviene uno strumento utileper assicurare la continuità dei servizi egarantire il corretto svolgimento dellavita nel Paese.

Al riguardo, più in particolare, l’articolo 50-bis del Codice dell’Amministrazione Digitaledelineava gli obblighi, gli adempimenti e icompiti spettanti alle PubblicheAmministrazioni ai fini dell’attuazione dellacontinuità operativa.In particolare, in considerazione dellarilevanza dell’argomento, DigitPA avevaelaborato delle linee guida (giunte già allaseconda versione) con l’obiettivo di forniredegli strumenti per ottemperare agliobblighi derivanti dallo stesso CADindividuando soluzioni tecniche idonee agarantire la salvaguardia dei dati e delleapplicazioni.

In seguito, inspiegabilmente, la riformaMadia (d.lgs. n. 179/2016) all’art. 64, 1°comma , lett. h) ha abrogato l’art. 50-bis delCAD creando un vuoto normativo che non èapparso chiaro nemmeno al Consiglio diStato.

Difatti, per quanto, l’art. 51 (“Sicurezza dei dati,dei sistemi e delle infrastrutture delle pubblicheamministrazioni”) del CAD, prevede che “Agidattua, per quanto di competenza, il Quadrostrategico nazionale per la sicurezza dello spaziocibernetico e il Piano nazionale per la sicurezzacibernetica e la sicurezza informatica…” e che ilmedesimo organo “coordina, tramite il ComputerEmergency Response Team PubblicaAmministrazione (CERT-PA) istituito nel suoambito, le iniziative di prevenzione e gestionedegli incidenti di sicurezza informatici” ladelicatezza della materia, forse, impone unarticolo ad hoc.

Non dobbiamo dimenticare che la continuitàoperativa comprende sia gli aspetti strettamenteorganizzativi, logistici e comunicativi chepermettono la prosecuzione delle funzionalità diun’organizzazione, sia la continuità tecnologica,che nel contesto delle pubbliche amministrazioniriguarda l’infrastruttura informatica etelecomunicativa (ICT) ed è conosciuta come“disaster recovery” (DR).La stessa assume rilevanza nell’ambitopubblicistico poiché la garanzia di continuità deiservizi e delle funzioni delle pubblicheamministrazioni è un evidente impegnoistituzionale.

La Continuità Operativa è essenzialmente ilrisultato di un processo organizzativo checomprende, come detto, tecnologie informatiche,peraltro non diverse da quelle normalmenteutilizzate nel contesto informatico. Tra i sistemi daadottare rivestono particolare importanza i mezzihardware e software per le repliche remote deidati.Anche la diffusione del cloud computing, purpresentando aspetti che vanno attentamentevalutati nel contesto delle pubblicheamministrazioni, rappresenta un’opportunità daconsiderare nella scelta delle soluzionitecnologiche.

Per i motivi sopra menzionati, quindi,anche in assenza di una chiaradisposizione normativa è evidente che lamancanza di uno specifico piano daparte di un ente pubblico atto agarantire la continuità operativa ed ildisaster recovery comporterebbespecifiche responsabilità in attuazionedei principi generali del nostroordinamento.

Ricordiamo che sono ben cinque le tipologiedi responsabilità di un dipendente pubblico:responsabilità disciplinare (art. 55 del D.lgs.n. 165/2001), responsabilità dirigenziale(art. 21 del medesimo D.lgs. n. 165),responsabilità civile, responsabilità penale eresponsabilità amministrativo-contabile.Tali responsabilità non sono tra loroincompatibili o alternative, in quanto spessola medesima condotta illecita viola diversiprecetti legislativi o contrattuali, originandoconcorrenti reazioni ad operadell’ordinamento.

Quid iuris nel caso di danni arrecati allacittadinanza per mancata adozione di unpiano di continuità operativa, conimpossibilità di fornire servizi per uncongruo periodo di tempo a seguito dimalfunzionamenti del sistema informatico?

Lo scenario è vario e poco edificante:- Possibili denunce dei cittadini- Richieste risarcimento danni- Procedimenti disciplinari- Indagini della Corte dei Conti per il

configurarsi di danno erariale (si pensianche al danno all’immagine).

E’ indubbio che alla base del concetto dicontinuità operativa e quindi di disasterrecovery sia la sicurezza informatica chenegli ultimi tempi sta assumendo, comeben noto, una particolare rilevanza.

Le pubbliche amministrazioni, dal punto divista sicurezza, possono essereconsiderate come organizzazionifortemente regolate, in considerazione delfatto che la loro attività si svolgenell’ambito e nei limiti di norme che hannovalore di legge. Il problema è che fino adoggi sono state poche le norme giuridicheche si siano occupate di cyber security.

In effetti le norme di maggiore rilevanzasono quelle contenute nel Codicedell’Amministrazione Digitale (CAD -D.Lgs. 7 marzo 2005 s.m.i.), che all’art.17 al fine di garantire l’attuazione dellelinee strategiche per la riorganizzazione edigitalizzazione dell’amministrazionedefinite dal Governo, prevede che lepubbliche amministrazioni individuinomediante propri atti organizzativi, ununico ufficio dirigenziale generaleresponsabile del coordinamentofunzionale.

Questo Ufficio sostituisce il Centro dicompetenza previsto dalla normativaprevigente e il responsabile dei sistemiinformativi automatizzati di cui all’articolo 10del decreto legislativo 12 febbraio 1993, n.39. Inoltre alla luce della recente riforma delCAD (d.lgs. n. 179/2016) lo stesso ufficiodeve assicurare la transizione allamodalità operativa digitale e i conseguentiprocessi di riorganizzazione finalizzati allarealizzazione di un'amministrazione digitale eaperta, di servizi facilmente utilizzabili e diqualità, attraverso una maggiore efficienza edeconomicità.

Naturalmente anche l'Agenzia per l'ItaliaDigitale (AgID) deve assicurare ilcoordinamento delle iniziative nell’ambitodelle attività di indirizzo, pianificazione,coordinamento e monitoraggio dellasicurezza informatica con particolareriferimento al Sistema Pubblico diConnettività.

Nei successivi articoli 50 e 51 del CAD siparla rispettivamente di disponibilità edaccessibilità dei dati al di fuori dei limiti dicarattere normativo come nel caso dellaprotezione dei dati personali, di sicurezzadei dati, dei sistemi e delle infrastrutturedelle pubbliche amministrazioni, oggiregolamentati dalle misure minime disicurezza previste dalla normativa sullaprotezione dei dati personali.

In materia, difatti, occorrono ulterioriregole tecniche che in coerenza con ladisciplina in materia di tutela della privacyintroducano elementi utili per riconoscerel’esattezza, la disponibilità, l’integrità e perverificare l’accessibilità e la riservatezzadei dati.

Proprio per questi motivi è stata pubblicatasulla G.U. (Serie Generale n. 79 del04/04/2017) la Circolare AgID del 17marzo 2017 n. 1/2017 contenente le“Misure minime di sicurezza ICT per lepubbliche amministrazioni”successivamentesostituita dalla circolare n. 2/2017 del 18aprile 2017.

Le stesse misure sono parte integrante delpiù ampio disegno delle Regole Tecnicheper la sicurezza informatica della PubblicaAmministrazione, emesso come previstodalla Direttiva 1 agosto 2015 delPresidente del Consiglio dei Ministri, cheassegna all’Agenzia per l’Italia Digitale ilcompito di sviluppare gli standard diriferimento per le amministrazioni.

Tale Direttiva in considerazione dell’esigenzadi consolidare un sistema di reazioneefficiente, che raccordi le capacità di rispostadelle singole Amministrazioni, a fronte dieventi quali incidenti o azioni ostili chepossono compromettere il funzionamento deisistemi e degli assetti fisici controllati daglistessi, sollecita tutte le Amministrazioni e gliOrgani chiamati ad intervenire nell’ambitodegli assetti nazionali di reazione ad eventicibernetici a dotarsi, secondo una tempisticadefinita e comunque nel più breve tempopossibile, di standard minimi di prevenzionee reazione ad eventi cibernetici.

In tale ottica assume rilevanza anche lanuova direttiva sullaprotezione cibernetica e la sicurezzainformatica nazionale emanata conDPCM del 17 febbraio 2017 (pubblicatosulla GU n. 87 del 13-4-2017) che si ponel’obiettivo di aggiornare la precedentedirettiva del 24 gennaio 2013 e diconseguenza anche la relativa architetturadi sicurezza cibernetica nazionale e diprotezione delle infrastrutture critiche.

L’esigenza di un nuovo provvedimento nasceinnanzitutto dall’emanazione della direttiva(UE) 2016/1148 del Parlamento europeo edel Consiglio, del 6 luglio 2016, recantemisure per un livello comune elevato di sicurezzadelle reti e dei sistemi informativi nell'Unione(c.d. Direttiva NIS) nonché da quanto previstodall'art. 7-bis, comma 5, del decreto-legge 30ottobre 2015, n. 174, convertito, conmodificazioni, dalla legge n. 198 del 2015, alfine di ricondurre a sistema e unitarietà lediverse competenze coinvolte nella gestione dellasituazione di crisi, in relazione al grado dipregiudizio alla sicurezza della Repubblica e delleIstituzioni democratiche poste dalla Costituzionea suo fondamento.

Del resto (come si è anticipato) lo stesso art. 51 delCAD specifica che l’AgID attui, per quanto dicompetenza e in raccordo con le altre autoritàcompetenti in materia, il Quadro strategiconazionale per la sicurezza dello spazio cibernetico eil Piano nazionale per la sicurezza cibernetica e lasicurezza informatica. AgID, in tale ambito:a) coordina, tramite il Computer Emergency

Response Team Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le iniziative diprevenzione e gestione degli incidenti disicurezza informatici;

b) promuove intese con le analoghe struttureinternazionali;

c) segnala al Ministro per la pubblicaamministrazione e l'innovazione il mancatorispetto delle regole tecniche da parte dellepubbliche amministrazioni.

Il piano di disaster recovery: base giuridica

Con un piano di disaster recovery siintende fornire, alle imprese di una certadimensione, servizi volti all’analisi deirischi di inoperatività del sistema EDP(informatico) e delle misure da adottareper ridurli, nonché la messa a punto delvero e proprio piano di emergenzainformatica, che ricomprende, inparticolare, procedure per l’impiegoprovvisorio di un centro di elaborazionedati alternativo o comunque l’utilizzo dimacchine di soccorso da utilizzare inattesa della riattivazione.

Il piano di disaster recovery può prevederel’impiego di un centro di back-up dei dati,ovviamente logisticamente ubicato in localidiversi da quelli dove si trova il sistemaEDP principale, ovvero la predisposizione diun vero e proprio centro di elaborazionedati alternativo, costituito presso unaconsociata o garantito da un centro diservizi esterno all’impresa.

Dal punto di vista giuridico l’accordorelativo alla predisposizione di un piano didisaster recovery può far parte di unaparticolare clausola inserita nel contrattodi outsourcing oppure può essere oggettodi un autonomo contratto che presentamolte affinità con il contratto di back‐up.

Naturalmente nel primo caso si tratta diun’operazione particolarmente complessae delicata che, se da un lato offre indubbivantaggi economici e semplificazionioperative, dall’altro pone l’utente nelrischio di non poter più controllare ilproprio patrimonio informaticosoprattutto se, in forza di successivadiversa determinazione, dovesseripristinare il proprio sistema o trasferirload altro fornitore.

Nel caso in cui le parti decidono, invece, distipulare un autonomo contratto di disasterrecovery, che prescinda da chi debba gestire ilservizio, la fattispecie negoziale in esame siinquadra nell’ambito dell’appalto di servizi o delcontratto di opera a seconda della qualità delcontraente: se si tratta di un’impresa che siimpegna a realizzare il servizio con la propriaorganizzazione di mezzi e personale ovviamentesi stipulerà un appalto, mentre se si tratta delsingolo professionista o di un gruppo diprofessionisti associati si concluderà uncontratto di opera, nel quale prevale il lavoropersonale.

Ma come viene strutturato un piano di DR?

Innanzitutto, come prima fase, ènecessario fare un elenco dei potenzialidisastri che potrebbero verificarsi sullarete.Tra le cause principali si segnalano ilmalfunzionamento dei dischi,l’interruzione temporanea delleoperazioni, i virus, gli attacchi di hackers,la distruzione fisica.

Il passo successivo nella creazione delpiano consiste nel definire le priorità perapplicazioni automatizzate, nel sensoche devono essere determinate lefunzioni del sistema da ripristinareimmediatamente dopo un disastro equelle che invece possono aspettare.

Nella stesura di questa parte del processodi pianificazione i risultati migliori siottengono quanto più onestamente idipendenti ammettano l’ importanza delleloro funzioni per l’azienda ovvero quantopiù agevolmente tale valutazione possaessere compiuta sulla base di criterioggettivi. In ogni caso il lavoro dacompiere risulta difficoltoso poiché ènecessario predisporre una catalogazionedi tutte le applicazioni, operazione nonsempre agevole.

Normalmente si distingue tra:- funzioni essenziali per attività a tempo pieno

(si tratta di operazioni che devono proseguirein modo continuativo per il buon andamentodell’azienda);

- funzioni vitali a tempo parziale (si tratta dioperazioni che devono continuare ma chehanno luogo periodicamente in specificimomenti);

- funzioni necessarie per obiettivi aziendali disecondaria importanza (sono operazioniconsiderate necessarie, ma non rappresentanoobiettivi primari);

- attività operative di routine;- attività di crescita.

Il terzo passo nella creazione delpiano di Disaster Recovery consistenell’identificare e implementaremisure preventive.Sebbene il piano servaprevalentemente per decidere comecomportarsi in caso di disastro,questo certamente non preclude lapossibilità di prendere in esamemodalità per prevenire i problemi oalleggerirne le conseguenze.

D’altra parte la conoscenza el’implementazione delle misure diprotezione dei dati sono fondamentali perl’eventuale ripristino dopo il disastro.In particolare bisogna prendere inconsiderazione le seguenti precauzioni:- il backup dei dati,- la ridondanza dei dati,- il software anti-virus,- l’energia elettrica (gruppi di continuità),- i firewall (sistemi di sicurezza contropossibili intrusioni di hackers),- un centro dati alternativo.

Il passo successivo nel processo dipianificazione consiste nello scrivere leistruzioni di ripristino, preparare, cioè, unelenco dettagliato che spieghi esattamenteche cosa fare quando un sistema qualsiasideve essere ripristinato.

Nel piano è necessario indicare le seguentiinformazioni:- persone da contattare per ciascun reparto;- modalità per recuperare i nastri di backup e

copie di altri media;- nomi e informazioni sui fornitori che possano

fornire immediatamente nuovi computeradeguati alle esigenze dell’utente;

- nomi e informazioni sui fornitori che possonooffrire consulenti in grado di eseguire leoperazioni di ripristino istruzioni per recuperarei dati dai supporti di backup;

- notizie dettagliate su come configurare leworkstation e i server da utilizzare in una LANripristinata.

Infine, come ultima fase, è necessarioperfezionare il piano, accertando altresìche il medesimo funzioni attraverso testsdi verifica e sottoponendolo a revisioneperiodica.

A conferma dell’importanza di taleadempimento per gli enti pubblici le recenti“Linee guida per la qualità dellecompetenze digitali nelle professionalitàICT” elaborate dall’AgID prevedono il“Responsabile della continuità operativa(ICT)” come importante figuraprofessionale inserita nel profilo “TechnicalManagement”.