Strategia Cloud Italia è il documento con gli indirizzi del Governo per creare un Cloud Nazionale dove trasferire dati e servizi digitali della Pa italiana.
La limitazione negli spostamenti e di molti servizi pubblici provocata dalla pandemia ha fatto capire quanto è strategicamente importante avere infrastrutture digitali efficaci. Nella trasformazione digitale dei prossimi anni un ruolo centrale lo avrà il Cloud Computing. Il passaggio al cloud è fondamentale da un punto di vista tecnologico ed economico. Ma lo è ancora più per questioni di sicurezza, autonomia gestionale e pieno controllo di dati e servizi digitali nazionali.
Anche se riguarda un po’ tutti i settori, il passaggio alle tecnologie cloud interessa principalmente la PA. Parliamo di un universo di enti e soggetti pubblici più o meno grandi, che non sempre dispongono di infrastrutture adeguate. Spesso a mancare sono anche le competenze necessarie per stare al passo con la trasformazione digitale e gestire in sicurezza i propri dati.
Strategia Cloud Italia e PNRR
Proprio per questo motivo, la digitalizzazione della Pa è l’obiettivo principale del PNRR italiano (il Piano Nazionale di Ripresa e Resilienza varato da tutti gli Stati UE per superare le criticità evidenziate dalla pandemia) per dare a cittadini e imprese dei servizi di maggiore qualità, efficienza ed efficacia, oltre a creare nuovo sviluppo per l’economia digitale del Paese.
Strategia Cloud Italia favorisce l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico. Ciò avviene con un approccio cloud first e in linea con i principi di privacy e le raccomandazioni europee e nazionali. Così le infrastrutture saranno più sicure e la Pa potrà difendersi dagli attacchi, garantendo continuità e qualità nell’uso di dati e servizi.
Quali sono i tipi di cloud possibili
Ma cosa significa per una pubblica amministrazione il passaggio alla tecnologia cloud e in che modo può avvenire? I servizi cloud sono erogati da un Cloud Service Provider, che ne garantisce il funzionamento secondo livelli contrattualmente determinati. Generalmente, in base al tipo di risorse offerte, i servizi cloud si differenziano in tre modelli di servizio:
1 – Servizi sistemistici infrastrutturali, c.d. Infrastructure-as-a-Service (IaaS), per l’erogazione, ad esempio, di server virtualizzati e spazio di salvataggio dati. In questo caso la Pa (ma vale anche per un privato) trasferisce dati e servizi online su un’infrastruttura (che include l’hardware) gestita dal provider. Evitano i costi di acquisto e manutenzione e paga solo per l’utilizzo dell’infrastruttura. Trattandosi di un’infrastruttura scalabile, cioè modulabile in base alle specifiche esigenze, i costi variano in base al tipo di servizio acquistato.
2 – Servizi di piattaforme computazionali, c.d. Platform-as-a-Service (PaaS), per l’erogazione di ambienti preconfigurati e amministrati per lo sviluppo di specifiche applicazioni, ad esempio per lo sviluppo software, la gestione di dati o di applicazioni containerizzate. In questo caso il provider mette a disposizione una piattaforma, un ambiente cloud, su cui l’ente può sviluppare le proprie applicazioni. Tale piattaforma è ospitata sull’infrastruttura del provider. La differenza rispetto ai servizi IaaS è che, in questo secondo caso, non abbiamo un’infrastruttura creata e riservata esclusivamente all’ente, ma utilizzata parzialmente da quest’ultimo per la parte occupata dalla piattaforma a esso dedicata.
3 – Servizi applicativi, c.d. Software-as-a-Service (SaaS), per l’erogazione di un’applicazione agli utenti finali, ad esempio la posta elettronica o altri sistemi di collaborazione remota. In quest’ultimo caso il provider fornisce direttamente i propri software e le proprie applicazioni, a cui il cliente accede in cloud, senza dover installare nulla sui propri dispositivi.
Differenze tra cloud pubblico, cloud privato, cloud ibrido e multi-cloud
Il modello di distribuzione dei servizi cloud può essere organizzato secondo quattro modalità principali:
- Cloud pubblico: l’infrastruttura è di proprietà di un provider che, avendone il pieno controllo, mette a disposizione di utenti, aziende ed enti pubblici i propri sistemi. Questi sono distribuiti in diverse aree del mondo, con la condivisione tra i vari utilizzatori di capacità elaborativa, applicazioni e storage.
- Cloud privato: è riservato a un singolo cliente per suo utilizzo esclusivo. Può essere di due tipi: on-premise, quando è basato su infrastrutture che si trovano interamente nel dominio del cliente. Questo ne detiene il controllo e la responsabilità sulla manutenzione e la gestione della sicurezza dei dati e dei servizi ospitati. Oppure può essere gestito presso i data center di un terzo soggetto, presso cui il cliente dispone di risorse dedicate.
- Cloud ibrido: un singolo ambiente creato a partire da più ambienti connessi in cui, a seconda delle necessità, sono messe a disposizione degli utenti risorse sia di un cloud privato che di un cloud pubblico. Tale modello consente di estendere le capacità di un cloud privato per utilizzare, su richiesta, le risorse di larga scala disponibili su un cloud pubblico. Ad esempio, per gestire improvvisi picchi di lavoro e garantire risparmi di banda di trasmissione necessaria per lo scambio dei dati, rispetto a quanto sarebbe possibile con una connessione a un data center.
- Modello multi-cloud: prevede l’utilizzo contemporaneo di più cloud dello stesso tipo (pubblico o privato) offerti però da diversi fornitori e non interconnessi tra loro. In un ambiente di cloud ibrido la distribuzione dell’utilizzo di risorse computazionali tra privato e pubblico è tipicamente semiautomatizzata e trasparente all’utente. Invece un ambiente multi-cloud si presenta come un insieme di risorse computazionali distinte, potenzialmente integrabili a livello applicativo.
Quali sfide affronta la Strategia Cloud Italia
La Strategia Cloud Italia intende affrontare tre sfide:
1 – Assicurare l’autonomia tecnologica del Paese. Per governare i processi di trasformazione digitale, ha un’importanza strategica essere autonomi nel controllo delle infrastrutture digitali del cloud e conseguentemente nello stoccaggio e nell’elaborazione dei dati. Tuttavia, le aziende europee hanno meno del 10% delle infrastrutture cloud presenti sul mercato, quindi bisognerà innanzitutto creare un’industria europea autosufficiente.
2 – Garantire il controllo sui dati. Fornitori di servizi cloud extra UE potrebbero essere obbligati, dai loro Paesi, a fornire l’accesso ai dati presenti sui sistemi, inclusi dati sensibili e strategici per i cittadini e le istituzioni italiane. Perciò si dovranno stabilire in modo chiaro, attraverso una procedura di classificazione, quali dati potranno essere gestiti da un fornitore extra UE attraverso un cloud pubblico e quali dovranno essere affidati a un fornitore che soddisfi specifici requisiti di sicurezza.
3 – Aumentare la resilienza dei servizi digitali, con accorgimenti di tipo procedurale e tecnico, di sicurezza, ridondanza e interoperabilità. Per innalzare il livello di resilienza in caso di attacchi cyber o guasti tecnici, sarà necessario applicare controlli di sicurezza stratificati (come pseudonimizzazione o cifratura con gestione on-premise delle chiavi) e introdurre funzionalità per la continuità di servizio e il disaster recovery in siti distribuiti sul territorio nazionale.
In particolare, la strategia di migrazione al cloud deve procedere insieme a un processo di qualificazione dei fornitori di cloud pubblico e dei loro servizi, valutandone gli aspetti di sicurezza, ma anche quelli architetturali e organizzativi.
Quali sono le linee guida della Strategia Cloud Italia
La strategia si sviluppa lungo tre direttrici, che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud:
- Classificare dati e servizi della PA per guidare e supportare la migrazione al cloud. Regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica, la classificazione di dati e servizi li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari).
- Qualificare i servizi cloud attraverso un processo di scrutinio tecnologico. L’obiettivo è semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti considerati sono: gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; requisiti di sicurezza per la gestione dei dati; erogazione di servizi; condizioni contrattuali relative a erogazione e rendicontazione del servizio.
- Realizzare il Polo Strategico Nazionale, dedicato ai servizi strategici, sotto controllo e indirizzo pubblico. Il PSN ha l’obiettivo di dotare la PA di tecnologie e infrastrutture cloud col maggior grado di affidabilità, resilienza e indipendenza. Il Polo sarà distribuito sul territorio nazionale in siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubblici e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi.
Il Cloud vuol dire sicurezza dei dati
La tecnologia cloud ha tra i suoi obiettivi quello di mettere al sicuro i dati e i servizi nazionali dai rischi di eventuali malfunzionamenti. Malfunzionamenti che possono derivare da semplici problemi gestionali o da attacchi informatici. È chiaro, infatti, che spostare i dati dai server del singolo piccolo Comune o della singola Asl, per portarli in infrastrutture informatiche più adeguate e gestite da provider con competenze specifiche, garantirà un livello di gestione e di protezione dei dati enormemente maggiore.
