Come la provincia di Gelderland aiuta 42 comuni a diventare cyber resilience.

Aumentare la cyber resilience dei comuni del Gelderland

Il crimine informatico è una sfida crescente, anche per i comuni olandesi. La provincia di Gelderland ha voluto aiutare i comuni della provincia ad aumentare la loro cyber resilience. Lo ha fatto in collaborazione con Bureau Veritas Cybersecurity. Il progetto chiamato Troy è stato un grande successo. 'Prima era difficile stimare quanti comuni avrebbero partecipato, quindi siamo molto contenti che 42 comuni abbiano aderito. Questo dimostra che l'interesse per questo tema è enorme", afferma la responsabile del progetto Marjolein Zeeman della provincia di Gelderland.

Cos'è il progetto Troje?

'Il progetto Troje è una cyber-sfida nella provincia di Gelderland', dice Marjolein Zeeman. Lavora come capo progetto per la resilienza presso la Provincia di Gelderland e supervisiona i progetti per combattere la sovversione criminale nella provincia. 'L'obiettivo principale era quello di aumentare la sensibilizzazione sulla criminalità informatica. Come tutti, vediamo che la criminalità informatica sta aumentando enormemente. Volevamo fare qualcosa al riguardo'.

Misurazione di riferimento come base

La sfida, che durerà fino alla fine del 2023, consisteva in due parti, spiega Zeeman: 'Abbiamo offerto ai Comuni che volevano partecipare - la partecipazione era volontaria - una misurazione di base. In sei aree, è stato testato il loro attuale livello di Cyber resilience. I Comuni hanno poi ricevuto delle raccomandazioni su ciò che poteva essere migliorato in base a quanto emerso". Queste misurazioni di base sono state condotte da Bureau Veritas Cybersecurity.

Floris Duvekot di Bureau Veritas Cybersecurity spiega cosa è stato misurato: 'Abbiamo misurato, ad esempio, lo stato della sicurezza tecnica e dei processi. Ma anche il modo in cui i dipendenti del Comune si occupano della sicurezza. Durante una delle misurazioni, uno dei nostri ingegneri sociali etici ha cercato di entrare nei Comuni partecipanti. Questo ci ha permesso di testare la sicurezza fisica del municipio e la consapevolezza dei dipendenti". I tre comuni che hanno ottenuto i punteggi migliori in materia di sicurezza hanno vinto un red teaming assessment - o in realtà una red cell, una versione compatta del red teaming, dice Zeeman. Questi comuni - Aalten, Arnhem e Doesburg - sono stati completamente controllati da Bureau Veritas Cybersecurity".

Un'esigenza enorme

In anticipo, Zeeman non sapeva quanti Comuni avrebbero aderito alla sfida: "La Gheldria ha 51 Comuni. Ma non si sapeva in anticipo se 1 comune o 51 comuni avrebbero partecipato", il che ha reso impegnativa la preparazione e l'offerta per il progetto. Non ci saremmo mai aspettati che 42 Comuni avrebbero aderito: si tratta di oltre l'80% dei Comuni della Gheldria. Questo indica che il bisogno in quest'area è enorme. Siamo molto soddisfatti di aver potuto aiutare così tanti Comuni a fare un passo avanti verso l'aumento della loro Cyber resilience'.

Punto di contatto: CISO

Zeeman e il suo team hanno scelto di rivolgersi ai CISO dei comuni della Gheldria come punto di contatto per il progetto. 'Sentono l'urgenza di questo problema come nessun altro. Inoltre, possono comunicarlo al meglio al resto dell'organizzazione'. Invitare personalmente tutti i CISO dei comuni è stato un lavoro intenso, ma ci siamo riusciti: 'Alla fine, abbiamo parlato con tutti i CISO 1 a 1 per rispondere alle domande. Erano anche presenti alla riunione di avvio. Quindi un grande effetto collaterale di questo progetto è stata la formazione di una rete di CISO dei comuni della Gheldria'.

Cooperazione con Bureau Veritas Cybersecurity

Dopo che la Zeeman e il suo team si sono rivolti a tutti i Comuni della Gheldria, i Comuni hanno firmato e sono stati predisposti tutti i documenti di salvaguardia e gli accordi di elaborazione, Bureau Veritas Cybersecurity si è occupato dell'implementazione del progetto. 'Mi è piaciuto molto lavorare con Bureau Veritas Cybersecurity', dice Zeeman. Il team ha gestito bene la situazione".

Il leader del progetto Floris Duvekot di Bureau Veritas Cybersecurity dice a proposito della collaborazione: 'Poiché la Provincia ha supervisionato l'inizio del progetto e ha svolto molto lavoro preliminare, i Comuni hanno avuto abbastanza tempo per presentare la domanda. Questo ci ha dato anche il tempo di preparare adeguatamente le misurazioni di base. Discutendo i progressi con la Provincia su base mensile, la collaborazione è stata molto trasparente. L'aspetto unico di questo progetto è che la Provincia non ha avuto accesso ai risultati delle misurazioni di base. Il loro ruolo era completamente facilitativo. Ho apprezzato molto la fiducia reciproca in questa collaborazione".

Fare e non fare

Zeeman riceve molte domande da altre province e organizzazioni su questo progetto. 'Di solito dico: andate avanti e fatelo. Abbiamo visto che c'è un'enorme necessità di condividere le conoscenze su questo tema". Zeeman consiglia:

• Investire in contatti personali con i CISO e le altre persone coinvolte. 'Questo richiede tempo, ma vale la pena di investire. Non dimentichi di coinvolgere anche il consiglio di amministrazione, per far sì che l'argomento risuoni davvero con questo gruppo".
• Si prenda tutto il tempo necessario. Questo è davvero necessario con un progetto così grande. Abbiamo impiegato un anno tra l'inizio e la chiusura dell'offerta. L'implementazione ha richiesto più di un anno dopo".