CISO del settore pubblico: l’integrità dei dati nel cloud al di là dell’architettura Zero Trust

Ogni organizzazione è esposta al rischio di minacce interne. Le organizzazioni del settore pubblico devono affrontare una forma particolare di tale rischio, le cui conseguenze si estendono ben oltre le attività interne dell'organizzazione stessa.

Un documento relativo agli appalti manomesso non solo espone un ente a rilievi di revisione contabile, ma può potenzialmente compromettere una decisione in materia di appalti che incide su centinaia di milioni di spesa pubblica. Un documento programmatico modificato non crea solo un'incoerenza interna, ma può invalidare un processo legislativo o normativo. L'integrità dei dati dei cittadini non è una questione di responsabilità commerciale. È una questione di fiducia pubblica, alla quale è legata la responsabilità democratica.

Il sito Rapporto Verizon 2024 sulle indagini relative alle violazioni dei dati luoghi la pubblica amministrazione come settore industriale in cui si registrano il maggior numero di azioni non dolose da parte di insider. In tutti i settori, il 68% delle violazioni ha coinvolto un fattore umano – errore, abuso di privilegi o ingegneria sociale – e una parte dei dati compromessi risiedeva in più ambienti cloud. Le implementazioni governative, che di norma si estendono contemporaneamente su infrastrutture sovrane on-premise e su uno o più provider di cloud pubblico, rientrano pienamente in questo profilo di esposizione multi-ambiente.

La tempistica dell'individuazione aggrava l'esposizione. Il Rapporto globale 2025 del Ponemon Institute sul costo dei rischi interni stima che il tempo medio necessario per individuare e contenere le minacce interne sia di 81 giorni, indicando gli ambienti cloud come una delle principali fonti di preoccupazione. In ambito governativo, 81 giorni di manomissioni non individuate significano 81 giorni di dati potenzialmente compromessi su cui si basano le decisioni politiche, i processi di appalto, le risposte alle interrogazioni parlamentari o congressuali e l’interazione con i cittadini. Ogni azione successiva intrapresa sulla base di dati manomessi ne eredita la mancanza di integrità.

La dimensione finanziaria aggrava ulteriormente la situazione. Gli incidenti causati da personale interno malintenzionato ammontano ora in media a $ 779.707 per evento, con costi annuali complessivi legati agli incidenti causati da insider che raggiungono $8,8 milioni per organizzazione. Per gli enti del settore pubblico, tali costi si traducono contemporaneamente in fondi pubblici e responsabilità politica.

Il meccanismo è il seguente: concettualmente diretto e crittograficamente solido. È fondamentale sottolineare che, in nessuna fase del processo, il documento dovrà mai uscire dal vostro possesso.

Per ogni documento o oggetto di dati che si desidera proteggere, viene generato un hash crittografico – un’impronta digitale univoca – a partire dal suo contenuto, utilizzando un algoritmo come SHA-256. La funzione hash accetta il documento come input e produce una stringa di output di lunghezza fissa, indipendentemente dal fatto che il documento di origine sia un briefing di due pagine o una documentazione normativa di 10.000 pagine. Ciò l'output è ricavato matematicamente da ogni singolo bit del contenuto del documento in quel preciso momento. Basta modificare un singolo carattere in qualsiasi punto — un punto decimale, una clausola, un timestamp dei metadati — e l'hash risultante è completamente diverso.

Questa impronta digitale viene quindi registrata su una blockchain: un registro immutabile e distribuito che non è controllato da nessuna singola entità. La registrazione è contrassegnata da un timestamp ed è a prova di manomissione grazie alla struttura stessa del registro. Ciò che viene scritto sulla catena è l'impronta digitale, non il documento. Il contenuto del documento, la sua classificazione, le parti coinvolte, i termini: nulla di tutto ciò viene rivelato. Il registro sa solo che, al timestamp T, esisteva un documento con esattamente questo contenuto.

La verifica è l'operazione inversa. Quando è necessario dimostrare a un revisore, a un'autorità di regolamentazione o a una controparte che un documento non è stato modificato da quando è stato sigillato, si genera un nuovo hash del documento attuale e lo si confronta con la registrazione presente sulla blockchain. La conclusione è binaria e matematicamente certa. Se gli hash corrispondono, il documento è identico allo stato registrato. In caso contrario, il contenuto è cambiato: basta che un solo carattere sia diverso in qualsiasi punto per ottenere un hash completamente diverso. Non c'è alcuna ambiguità, nessun margine di interpretazione e non ci si deve affidare alle garanzie fornite dal provider.

La resistenza alle manomissioni del registro è di natura strutturale. L’hash di ogni blocco include l’hash del blocco precedente. Alterare qualsiasi registrazione storica richiede il ricalcolo di ogni blocco successivo e il raggiungimento simultaneo del consenso su tutta la rete distribuita — cosa computazionalmente impossibile per qualsiasi catena ben consolidata. Questo non è un modello basato sulla fiducia. Si tratta di un vincolo matematico che impedisce la possibilità di modifiche silenziose e non rilevabili.

Le implementazioni nel settore pubblico prevedono in genere l’utilizzo di una blockchain autorizzata — Hyperledger Fabric è il modello di governance aziendale più diffuso — in cui la partecipazione alla rete è controllata e definita dal consorzio. Un'architettura ibrida aggiunge un secondo livello ancorando periodicamente l'hash radice della catena autorizzata a una blockchain pubblica come Ethereum. Questo impegno basato su un "hash di hash" implica che, anche se la rete autorizzata venisse compromessa, la catena pubblica fornisce una prova verificabile in modo indipendente e provvista di un timestamp globale. Il contenuto del documento rimane sempre all'interno dell'ambiente controllato: è l'hash che viene trasmesso, non il file.

È proprio questa l'architettura che Port of Trust strumenti utilizzati nella produzione. Port of Trust è il nucleo crittografico del Truth Enforcer framework - un livello di integrità basato su blockchain progettato per sigillare qualsiasi file, record o evento con un'impronta crittografica e archiviare la prova su blockchain pubbliche, senza che i dati sensibili escano mai dal vostro ambiente. Solo l'hash viene archiviato sulla blockchain. Il documento originale rimane sotto il vostro controllo. La verifica può essere eseguita in modo indipendente in qualsiasi momento - compresi gli anni successivi alla data di emissione originale - con piena trasparenza e verificabilità, senza richiedere all’ente verificatore l’accesso al sistema né credenziali. Per le organizzazioni del settore pubblico che necessitano di questa funzionalità senza i costi aggiuntivi legati a un’implementazione personalizzata, Truth Enforcer fornisce un'applicazione pronta per l'uso che consente di sigillare i file a livello operativo, con uno strumento complementare denominato "Truth Verifier" che permette a revisori, autorità di regolamentazione e organismi di controllo di verificare l'autenticità dei documenti tramite un'interfaccia accessibile al pubblico, senza necessità di accedere al sistema interno. La prova di integrità è tua. È verificabile in modo indipendente. E si trova interamente al di fuori del raggio d'azione amministrativo del tuo fornitore di servizi cloud.

La definizione dei costi relativi alla figura del CISO nel settore pubblico comporta due canali di responsabilità simultanei che non esistono nel settore privato nella stessa forma: il costo finanziario e il costo della responsabilità pubblica. Entrambe le situazioni si verificano quando la manomissione dei dati passa inosservata.

A livello finanziario, è proprio nella fase di individuazione che i costi si accumulano più rapidamente. Il Rapporto IBM sul costo delle violazioni dei dati 2024 stabilisce un premio di rilevamento pari a $980.000 tra le violazioni rese note dall’autore dell’attacco e quelle individuate internamente — il che significa che ogni giorno in più di Le manomissioni non rilevate comportano un rischio finanziario quantificabile. Considerando la finestra media di rilevamento di 81 giorni indicata da Ponemon, tale vantaggio non è puramente teorico.

A livello operativo, il rischio di responsabilità civile post-archiviazione è quello che viene sistematicamente sottovalutato nei programmi governativi basati sul cloud. I documenti conservati in archivio sono soggetti a una frequenza di monitoraggio ridotta e si presume che siano stabili. Quando tale presupposto non regge — nel corso di un’indagine delle autorità di regolamentazione, di una richiesta di accesso alle informazioni, di un’inchiesta parlamentare o della fase istruttoria di un contenzioso — la violazione dell'integrità viene scoperta nel momento peggiore possibile, con le conseguenze più gravi possibili.

Il costo di implementazione di un livello di integrità basato su una blockchain autorizzata, gestito come servizio condiviso all’interno di un’agenzia o di un dipartimento, è sostanzialmente inferiore a quello di un singolo incidente causato da un insider malintenzionato – senza nemmeno considerare l’esposizione legale, normativa, reputazionale e politica. L’argomento della sovranità aggiunge una dimensione strategica: la vostra prova di integrità risiede al di fuori del dominio amministrativo del vostro fornitore di servizi cloud, persiste indipendentemente dal contratto con il fornitore e vi accompagna in caso di rinegoziazione, migrazione o risoluzione del contratto. Si tratta di una risorsa del programma, non di un costo accessorio.

Un livello di integrità basato su blockchain è, per sua natura, indipendente dal cloud. Che i vostri carichi di lavoro siano eseguiti su AWS GovCloud, Microsoft Azure Government, un data center on-premises sovrano o una combinazione ibrida di tutti e tre, il livello di hash funziona in modo identico in tutto l’ambiente. Il principio guida non cambia a seconda dell’infrastruttura: La tua prova di integrità deve sempre essere conservata in un luogo non accessibile al tuo provider di servizi cloud.

L'implementazione in ambienti governativi trae vantaggio da una cadenza che tiene conto della classificazione. I documenti di livello OFFICIAL possono essere sottoposti a fingerprinting al momento della scrittura e verificati a intervalli prestabiliti. I documenti di livello «OFFICIAL SENSITIVE» e superiori richiedono una verifica ad ogni evento di accesso e punto di uscita, con l’hash, il timestamp e l’identità dell’utente registrati come dato aggiuntivo sulla blockchain. Gli smart contract applicano automaticamente questo flusso di lavoro: una politica definita nel codice che viene eseguita senza alcun intervento umano, trasformare la verifica dell'accesso da un'attività procedurale a una registrazione crittografica che non può essere modificata retroattivamente.

Integrazione con l'infrastruttura esistente è semplice dal punto di vista architettonico. La generazione degli hash si integra nei flussi di lavoro SIEM e SOAR esistenti come feed di telemetria aggiuntivo. Per le organizzazioni governative che gestiscono volumi significativi di documenti tramite SharePoint – che rimane la piattaforma di gestione documentale predominante nell’amministrazione centrale del Regno Unito, in Australia e nelle amministrazioni degli Stati membri dell’UE – Truth Enforcer for SharePoint integra il flusso di lavoro di sigillatura e verifica direttamente nella libreria dei documenti, senza che gli utenti debbano modificare il proprio modo di lavorare né che i team IT debbano sviluppare un livello di integrazione personalizzato. Secure Sync for SharePoint estende ulteriormente questa funzionalità nelle implementazioni multi-ambiente, consentendo la sincronizzazione basata su criteri delle raccolte di documenti tra istanze on-premise, ibride e cloud SharePoint, con controlli di filtraggio che garantiscono flussi di dati conformi alla classificazione, assicurando che solo i contenuti approvati e non sensibili transitino tra le zone di sicurezza, mentre i sigilli di integrità accompagnano il documento.

Le configurazioni di archiviazione di oggetti immutabili — S3 Object Lock, Azure Immutable Blob Storage — costituiscono un utile complemento procedurale, ma rimangono nell'ambito amministrativo del provider e non dovrebbe essere considerato un sostituto di una verifica indipendente dell'integrità. I manifesti di archiviazione strutturati come alberi di Merkle garantiscono una riconciliazione matematicamente verificabile a livello di raccolta, soddisfacendo così i requisiti relativi ai controlli di integrità in caso di ripristino a seguito di incidenti informatici, una disposizione direttamente applicabile agli enti governativi soggetti agli obblighi previsti dalla direttiva NIS2.

La questione della governance richiede un'attenzione particolare: si tratta di questioni relative alla governance del programma, non di aspetti tecnici. Chi è il proprietario del nodo blockchain? Chi definisce e verifica la cadenza delle verifiche? In che modo il rilevamento delle discrepanze di integrità si integra con il vostro piano di risposta agli incidenti esistente? Questi aspetti devono essere inclusi sia nella documentazione relativa alla vostra strategia cloud sia nel vostro quadro di gestione dei rischi di terze parti, e non devono essere risolti solo in fase di implementazione per poi non essere mai più rivisti.