Informatica, proteggete la PA

SICUREZZA

Dossier riservato del Cnipa sulla sicurezza dell’Ict pubblico: poca prevenzione, dati sensibili a rischio

di Roberto Capelli

L’Italia è il Paese delle inaugurazioni, non delle manutenzioni. E della continua rincorsa a sanare i danni della mancata prevenzione. Questo si adatta anche al delicato e strategico settore della sicurezza dei sistemi informatici della PA. A fotografare lo scenario è il “Secondo rapporto sulla stato della sicurezza Ict delle Pubbliche Amministrazioni Centrali”, elaborato dal Cnipa, diffuso solo tra gli addetti ai lavori e di cui Il Corriere delle Comunicazioni è entrato in possesso. Elaborato sulla base di un sofisticato questionario tecnico (55 domande), il rapporto pone in evidenza “un quadro della sicurezza Ict nella Pac abbastanza confortante e sufficientemente maturo per recepire ogni indicazione per migliorare gli standard attuali scaturita da iniziative del Cnipa”. Anzi, “rispetto alle rilevazioni precedenti il miglioramento è stato netto, anche in virtù di iniziative promosse centralmente, come il progetto SPC-Sistema Pubblico di Connettività, entrato nella fase piena di esercizio”.
 

Accanto alle luci, le ombre. Come la “mancanza di piani di formazione per la sensibilizzazione dei dipendenti” delle stesse amministrazioni. Da questo derivano molti dei comportamenti errati rilevati. Ed una dicotomia: mentre la normativa sul trattamento dei dati sensibili “è stata largamente recepita anche con risultati oltre le aspettative”, il tema della sicurezza Ict “ancora stenta a trovare stabili radici nei responsabili della PA” nonostante un’intrusione in un sistema informativo pubblico possa mettere a repentaglio un’immensa quantità di dati sensibili. Per questo si suggerisce di “forzare l’adozione di policy, anche attraverso un opportuno quadro normativo, in grado di stimolare maggiore attenzione nei confronti della sicurezza legando in maniera indissolubile il trattamento dei dati sensibili e la sicurezza dell’intero sistema informativo”. Ma anche che “ogni Nazione dovrebbe dotarsi di un organismo centrale in grado di garantire un approccio comune al problema della sicurezza e dell’evoluzione dei sistemi informativi nella PA”. Il modello è il Federal Office for Information Security (BSI) in Germania. In effetti, “disporre di un modello comune per la sicurezza consente anche un puntuale monitoraggio dell’utenza che, attraverso le rivelazioni annuali, potrà ricevere indicazioni precise sui risultati dei progetti interni applicando eventuali misure correttive in grado di correggere tempestivamente eventuali scostamenti dal modello atteso”.
 

Il Cnipa, che con le ultime leggi finanziarie ha subìto tagli non lievi alle proprie risorse (mentre sarebbe opportuno aumentare le dotazioni per valorizzarne ruolo e centralità sul fronte dell’Ict), nel rapporto si è tolta un sassolino dalla scarpa facendo arrivare un messaggio non solo al ministro di riferimento, Renato Brunetta, ma a chi tiene i cordoni della borsa: “Centralizzando gli sforzi sarebbe possibile anche produrre grosse economie di scala”. Insomma, avere più efficienza, maggior sicurezza e ottenere risparmi, senza soffocare crescita e progettualità con continue sforbiciate. Il 33,9% delle Pac ha un budget per la sicurezza, ma nessuna vi dedica più del 10% del bilancio complessivo Ict. Un dato che la dice lunga sul percorso culturale da compiere non solo nei confronti dei responsabili Ict della Pac, ma del Governo. Il rapporto segnala che si usano i sistemi di backup, ma solo il 57% prevede un responsabile e gestisce le politiche con procedure documentate. Buona la diffusione e l’impiego (77%) dei sistemi di identificazione del personale che accede alle aree Ict e migliore (83%) la sicurezza perimetrale. Quasi al 100% la diffusione di firewall e su livelli elevati l’impiego di sistemi centralizzati di salvataggio di informazioni critiche. Buona la diffusione (quasi al 77%) di antivirus centralizzati o di filtri sulla posta elettronica.
 

In sostanza “le criticità convergono verso tre linee di attività da intraprendere con particolare urgenza”: 1) definizione di un piano di formazione dedicato alla sicurezza Ict con un occhio alla continuità operativa; 2) attivazione di procedure di “penetration test” standard che valutino oggettivamente il rischio di intrusione nei sistemi; 3) centralizzazione di competenze per la gestione degli incidenti e la raccolta delle statistiche reali. Infine un monito sul crescente ricorso all’outsourcing: “Risulta chiaro che prima ancora di esternalizzare un servizio così cruciale come la gestione della sicurezza Ict è indispensabile che la PA possegga forti competenze per gestire il rapporto con l’outsourcer in modo appropriato”. Il Cnipa perciò avvierà attività di formazione per garantire un livello comune di requisiti minimi per la negoziazione dei contratti.

 

16 Marzo 2009