“La questione cybersecurity non può essere affrontata da un singolo attore. Non fa eccezione la PA. Per far fronte al meglio alle insidie poste dalla cyber-security un rapporto virtuoso tra pubblico e privato non è più rimandabile”. Ne è convinto Valerio Pastore, Fondatore e Chief Technology Officer di Boole Server, azienda specializzata nella messa in sicurezza dei file aziendali.
Anche la PA italiana sta diventando bersaglio del cybercrime?
Il fenomeno è crescente. Stando ai dati contenuti nel Report Global Digital 2018, in Italia nel 2017 sono state 43 milioni le persone “connesse”, ovvero il 73% della popolazione, con una crescita del 10% registrata rispetto all’anno precedente. Con questi numeri, di conseguenza, le PA non potevano che inserirsi nel processo di digitalizzazione del Paese, allo stesso tempo esponendosi e condividendo con i cittadini i rischi connessi alla rete. Secondo l’ultimo Rapporto del Clusit sulla sicurezza Ict, tra le tipologie di attacchi informatici più diffuse in Italia al primo posto ci sono gli attacchi malware (40%), seguiti da attacchi dovuti alle vulnerabilità dei sistemi di sicurezza vittime dei “buchi” (11%). Seguono attacchi di phishing e di social engineering (9%). E’ preoccupante inoltre il dato che il 25% crimini informatici sono perpetrati attraverso tecniche non ben identificate. Ciò che accomuna tutti questi attacchi è che spesso la breccia trovata dagli hacker per bucare i sistemi è riconducibile alla non curanza, incompetenza o poca consapevolezza degli utilizzatori e dei manutentori dei sistemi informatici. Di esempi recenti ne abbiamo diversi, dalle sottrazioni di dati subite da alcune università al caso di hacking ai danni di Siae, il cui portale pare non venisse aggiornato da mesi al momento dell’attacco, permettendo così il furto di 4GB di dati personali.
Come si può ovviare a queste problematiche?
È necessario un costante aggiornamento dei sistemi di sicurezza informatica dei portali, come costante deve essere la pianificazione degli investimenti in sicurezza informatica.
Quali rischi concreti si corrono?
Il rischio principale è che la paura degli attacchi informatici possa portare le PA italiane a non completare il processo di digitalizzazione già ben avviato e che i cittadini non possano usufruire al meglio dei servizi che la trasformazione digitale offrirebbe loro per il timore di subire attacchi informatici. Per loro natura le PA gestiscono i dati più sensibili dei cittadini ed è necessario che la stessa importanza che viene data alla digitalizzazione dei servizi e alla trasparenza, venga data anche alla protezione e al trattamento dei dati che vengono veicolati e messi a disposizione dei cittadini grazie alla digitalizzazione stessa. A oggi, infatti, il rischio è che la maggiore trasparenza delle PA si traduca in una maggiore esposizione in termini di sicurezza e di vulnerabilità agli attacchi informatici e bisogna, per questo, continuare a investire in cybersecurity. E in cultura.
Su cosa bisognerebbe investire maggiormente?
Innanzitutto sulla formazione e la preparazione del personale al quale si affida lo sviluppo e la manutenzione dei sistemi informatici, oltre che nell’implementazione di strumenti sempre più avanzati. Questi ultimi, infatti, da soli non bastano, è necessario investire nella cultura della sicurezza oltre che sull’aggiornamento dei sistemi e sulla manutenzione, che non devono essere trascurati. Rendere consapevoli gli utenti del funzionamento e dei rischi della rete è infatti il primo passo per contenere il rischio di intrusioni nei propri sistemi. Spesso la diffusione degli attacchi informatici dipende proprio dalla distrazione o dalla disattenzione di coloro che navigano e lavorano connessi alla rete e permettono, inavvertitamente, l’ingresso e la diffusione di agenti dannosi per i propri sistemi informatici, ai danni di aziende, Istituzioni. Investire sulla formazione e la cultura della sicurezza è la scelta giusta da fare e conviene ad aziende, PA e Istituzioni, evitando ulteriori esborsi, spesso gravosi per i bilanci, in caso di attacco hacker.
La PA italiana è dotata delle competenze per fare fronte alla questione cyber-security?
Le PA godono del privilegio di gestire i dati più sensibili dei cittadini e questo comporta una altrettanto grande responsabilità nel preservarli nella maniera più corretta, non solo in conformità al recente regolamento europeo in materia, Gdpr. Al giorno d’oggi la prima linea di difesa dei cittadini, prima ancora che militare, è digitale, e le pubbliche amministrazioni ne fanno parte. La strada intrapresa negli ultimi anni, in termini di investimenti e progettualità, è quella giusta, ma resta ancora tanto da fare.
