Quante lacune di sicurezza nella pubblica amministrazione

Rendere sicure le reti informatiche utilizzate dalla pubblica amministrazione proteggendo i dati gestiti da minacce ed aggressori è una delle condizioni che contribuirà alla prosperità economica di un Paese. È questo il succo di un dettagliato studio pubblicato dall’Università La Sapienza di Roma, consultabile liberamente a questo indirizzo.

Gli accademici della capitale hanno inviato un questionario a circa 300 pubbliche amministrazioni a livello nazionale, regionale e locale così da tracciare un quadro preciso sui principali problemi collegati con il tema della sicurezza informatica e con la protezione dei dati.

Dall’analisi dei dati è emersa una situazione disastrosa: solamente poche amministrazioni sono consapevoli dei rischi e delle minacce. “Gli errori e la quantità di best practices ignorate sottolineano la profonda arretratezza culturale in particolare rispetto al valore strategico (ed economico) delle informazioni che potrebbero essere trafugate dai sistemi informativi della pubblica amministrazione“, si legge nel Cyber Security Report 2014.

Con la loro indagine, gli universitari de La Sapienza hanno richiesto informazioni sul volume e sulla tipologia di dati trattati da ogni singola amministrazione, l’eventuale livello di criticità dei servizi offerti, le tecniche adoperate per la protezione dei dati, le tecnologie usate per l’autenticazione e l’accesso remoto, il livello di conoscenza rispetto alle principali tipologie di attacco, le misure per la prevenzione delle aggressioni, la formazione degli impiegati, le procedure usate per la gestione del parco software e l’applicazione di aggiornamenti, le politiche di sicurezza adottate.

Il piano nazionale per la sicurezza informatica esiste solo su carta

Il cosiddetto “piano nazionale per la sicurezza informatica” presentato ufficialmente ormai un anno fa (vedere Il piano nazionale per la sicurezza informatica diventa ufficiale) non è ancora partito. In tutti gli altri Paesi esiste un organismo nazionale (CERT) che analizza in maniera efficace le minacce informatiche e pubblica una serie di linee guida per difendersi dagli attacchi. In Italia, purtroppo, manca ancora un CERT nazionale; una lacuna davvero pesante se si pensa che una struttura del genere potrebbe aiutare a compiere davvero il salto di qualità.

Intervistato sull’argomento, Marco Giuliani, CEO dell’italiana Saferbytes, ci ha così risposto: “La situazione della PA italiana soffre purtroppo di un problema generalizzato nel nostro panorama, cioè la mancanza di sensibilizzazione e conoscenza dell’argomento sicurezza informatica. Spesso, purtroppo, l’implementazione di policy di sicurezza è carente, se non assente. L’idea di un attacco informatico non rientra ancora nella lista di possibili rischi per PMI, grandi realtà e pubblica amministrazione. Esistono gap immensi tra solide realtà – spesso private – dove la sicurezza informatica è ben implementata, ed il resto del panorama italiano, dove invece il problema è largamente sottovalutato. Solitamente si tende ad associare la sicurezza informatica ad una serie di installazioni di software, configurazione di reti aziendali, sorvolando completamente sulla formazione professionale, sulla sensibilizzazione anche delle persone che dovrebbero essere meno interessate all’argomento – quelle persone che, di solito, sono poi l’anello debole della catena durante eventuali attacchi informatici -. Mi piace sempre associare l’idea di chi utilizza Internet e chi guida per strada: non tutti devono essere dei piloti professionisti, che conoscono ogni singolo aspetto tecnico della macchina su cui siedono, ma tutti devono conoscere e rispettare le regole base della strada e devono conoscere i rischi a cui vanno incontro. “The Fappening” (Le celebrità di Hollywood fanno causa a Google) è stato un caso che ha colpito la vita privata delle persone, gli attacchi informatici di questi giorni ai media francesi sono un caso nazionale, il rischio di vedersi modificati i propri dati sanitari perché una ASL non gestisce correttamente la sicurezza web del proprio servizio online è un caso di sicurezza nazionale. Tutto corre su Internet: prima la nostra nazione se ne renderà conto, prima potremo reagire con efficacia ad eventuali attacchi informatici che, purtroppo, sono una realtà sempre più vicina“.

Nel Cyber Security Report 2014 si conclude come la pubblica amministrazione italiana debba avere la consapevolezza di gestire quotidianamente dati di grande valore. Il valore di tali dati può essere di tipo commerciale o strategico e di sicurezza nazionale (od entrambe le cose contemporaneamente). È quindi cruciale proteggere gli stessi dati da possibili attacchi, potenzialmente capaci di ledere la privacy dei cittadini, rendere i dati indisponibili, far perdere il loro valore diffondendoli e rendendoli accessibili a soggetti non autorizzati.