Una mattinata in redazione dedicata alla sicurezza informatica. Con l’obiettivo di capire quale sia la situazione della PA italiana e quali possano essere le ricette per aiutare i dirigenti responsabili nei ministeri e nei grandi enti. Perché secondo i rapporti degli esperti del settore, tra gli altri del Clusit e di Cisco, mai come oggi sono aumentati gli attacchi. E colpire le amministrazioni dello Stato vuol dire colpire i servizi ai cittadini. Una soluzione fra tutte emerge: la collaborazione tra le istituzioni. Un invito a guardarsi a vicenda e mettere a fattor comune, quando possibile, le risorse informatiche e le competenze. Con l’ottica di razionalizzare l’apparato informatico certamente, ma soprattutto di collaborare, perché nel settore della cybersecurity i “cattivi” fanno gioco di squadra e rimanere isolati è pericoloso.
Il primo passo per capire cosa fare viene dalla comprensione di cosa sta succedendo. Per questo Cisco Systems ha presentato in apertura del forum in redazione il suo ultimo report annuale sulla sicurezza informatica. Simone Posti e Marco Mazzoleni di Cisco hanno indicato le aree di criticità dello “stato di infezione persistente”e sottolineato le tendenze del mercato sia nella gestione del rischio sia nell’approccio al fenomeno: il report di Cisco contiene un “Manifesto” della security che indica tre aspetti chiave: persone, processi e tecnologia. La sicurezza informatica diventa sempre più importante soprattutto nell’ottica dell’Internet delle Cose, che vedrà nei prossimi anni 54 miliardi di oggetti connessi.
Dello stesso avviso è anche Gabriele Faggioli, legale esperto di internet privacy e sicurezza informatica del Politecnico di Milano e presidente del Clusit, Associazione italiana sicurezza informatica. “La percezione del rischio reale è molto bassa e l’aspetto del danno è ritenuto ancora di secondo piano. Soprattutto, non c’è ancora una stima sui costi della sicurezza”. In compenso, però, tra gli aspetti positivi c’è lo sforzo del legislatore. “Anche se la normativa complessiva sembra essersi fermata quella settoriale è mirata e sta toccando le aree dove ci sono criticità e rischi maggiori”.
L’eterogeneità del quadro è significativa. Non tutti gli attacchi hanno obiettivi economici. E non tutti i bersagli sono uguali. “Le violazioni informatiche – dice Flavio Ercolani, cto di Anas – non ricadono solo nell’ambito dei reati economici, ma anche in quelli sociali”. È il tema del vandalismo, degli attacchi per provocare l’interruzione di servizio, di tutte le attività senza fini di lucro che possono però creare danni alla società. “Per la tipologia della nostra attività – dice Ercolani – ne vediamo molti di più di questo secondo tipo. È un aspetto di cui si parla poco, ma i rischi sono altissimi. In Italia se n’è sempre parlato poco e forse la prima normativa che ha aiutato il settore è stata quella sulla privacy”
Il tema della privacy è molto sentito, sia perché ci sono aspetti connessi alla regolamentazione e alla sua attuazione che possono essere affrontati, a partire dall’evoluzione delle norme nel tempo e dalle prescrizioni del Garante, sia perché le attività di sicurezza possono comportare il trattamento di dati degli utenti della rete.
“L’Autorità garante – dice Cosimo Comella, Direttore del Dipartimento tecnologico del Garante della privacy – intende favorire l’adeguamento delle norme del Codice riguardanti le misure minime di sicurezza. Il tema della sicurezza informatica è legato alla protezione dei dati personali, e c’è necessità di tener conto dell’evoluzione, con le tecnologie Ict, delle minacce e dei rischi connessi”.
Il tema privacy nel corso del forum Cor.Com ha fatto da sottofondo costante alle discussioni. “Il punto – dice Stefano Tomasini, direttore della Direzione centrale per l’Organizzazione digitale di Inail – è far uscire il tema della sicurezza dal limitato ambito dell’IT e coinvolgere l’organizzazione in senso più ampio. Occorre coordinamento interno e non solo. Non è immaginabile che le PA, con sistemi così frammentati – 20mila amministrazioni, 4mila e più data center – e variamente dimensionati, possano gestire la sicurezza con tutte le competenze ed i relativi costi. Integrare il tema della sicurezza in quello del consolidamento e della razionalizzazione dei data center, può, pertanto, diventare un efficace driver per ottenere un risultato che ancor oggi fa fatica ad essere considerato un reale miglioramento della operatività e del livello dei servizi delle PA”.
Amministrazioni diverse hanno esigenze diverse. È il caso della giustizia, come spiega Francesco Baldoni, Ufficio Sistemi di rete ed innovazioni tecnologiche della Direzione Generale Sistemi Informativi Automatizzati del ministero della Giustizia: “La nostra infrastruttura è articolata sul territorio ma è anche complessa per altri motivi: siamo collegati a tutta la PA italiana, abbiamo decine di migliaia di utenti della nostra rete che appartengono ad altre amministrazioni, come i funzionari di polizia e altri. I magistrati hanno una forte sensibilità su determinati temi come l’accesso ai registri penali eppure la gran parte ha una consapevolezza non corretta della sicurezza informatica. Assieme ai temi di consapevolezza e di complessità c’è anche quello della grave obsolescenza dei sistemi”.
Il cambiamento di rilevanza del tema sicurezza è legato a una evoluzione recente del fenomeno. Da un lato la crescente pervasività dell’IT e delle reti nella vita dei cittadini e nelle attività lavorative, incluse quelle delle PA. Dall’altra nell’emersione dei fenomeni criminali da parte della “gente per-male”, che negli ultimi anni ha visto un’accelerazione fenomenale.
“Siamo arrivati – dice Sergio De Paola, dirigente della Direzione generale Sistemi Informativi del ministero delle Infrastrutture e dei Trasporti – a un punto di non ritorno: prima del 2010 l’attenzione era pari a zero, con un livello di attacchi trascurabile. Poi è stato un crescendo, con attacchi come quello di Anonymous a ottobre 2013 che ci ha lasciato sconnessi per due giorni. Oggi subiamo 1200 attacchi al giorno sul sito e sui sistemi perimetrali”. Anche la natura delle minacce è cambiata: dai virus, quasi scomparsi, alle infiltrazioni e agli attacchi esterni. “Abbiamo creato un sistema di disaster recovery, unificato i backup, centralizzato gli apparati di sicurezza e facciamo il backup di tutti gli utenti. Ma le nostre forze non bastano e siamo sempre più esposti all’esterno. La PA deve consolidare non solo i datacenter ma anche la sicurezza delle infrastrutture”.
Il tema del dialogo interno alla PA e della prospettiva del consolidamento o quantomeno di un coordinamento più stringente è trasversale e tocca bene o male tutti i tecnici.
“I problemi sono complessi e riguardano molti aspetti – dice Michele Mellone, responsabile delle policy di sicurezza di Inail –. Se è vero che c’è un tema di costi e di semplificazione è altresì vero che molto si può fare all’interno della propria organizzazione. Si pensi al valore in termini di sicurezza dei processi di conduzione dei sistemi e al valore di una progettazione del software e dei sistemi che comprenda la sicurezza sin dall’inizio e non aggiunta a posteriori. E c’è poi il tema della consapevolezza e sensibilizzazione alla sicurezza”.
I problemi delle differenti amministrazioni sono abbastanza simili: “Questo è un punto centrale – dice Maria Antonietta Di Mucci, dirigente Uos innovazione informatica del San Camillo Forlanini – per trovare una soluzione comune. Il problema fondamentale è la cultura, per questo la formazione a tutti i livelli, dagli apicali ai semplici dipendenti, è necessaria”.
C’è ovviamente anche un tema di competenze: “Nella PA – dice Elio Gullo, dirigente informatico della Presidenza del Consiglio dei ministri – mancano laureati in informatica, e il fatto che non sia la prassi assumere informatici è già di per sé un problema. E poi la sicurezza informatica, oltre che come fatto culturale, presenta anche altre difficoltà. Una fra tutte: non si può comprare perché non è nel catalogo Consip, se non come software di sicurezza. Esiste cioè un problema di consapevolezza che si tratta di qualcosa di più di un software, occorre uno sforzo comune”.
L’importanza della sinergia tra amministrazioni emerge chiaramente: “Cerchiamo di orientarci – dice Fabio Caprabianca, Capo sezione sicurezza informatica del ministero della Difesa – in questo settore complesso. Cerchiamo di fare sinergia e di omogeneizzare i sistemi. Tenendo d’occhio anche ambiti finora non citati, come ad esempio gli attacchi interni, fatti da dipendenti che cercano di forzare i sistemi per un vantaggio personale o per scopi criminali. I punti principali sono la cultura di formazione e informazione su questi bisogni di sicurezza e alla base sempre il comportamento etico”.
La consapevolezza del problema è comunque maturata. “Il consolidamento dei datacenter – dice il prefetto Domenico Vulpiani, Coordinatore dei Centri elaborazione dati del ministero dell’Interno – non è solo necessario per risparmiare ma anche per incrementare la sicurezza sia fisica sia logica. Per la continuità di servizio, ad esempio, non sono necessari grandi investimenti: abbiamo molti datacenter sovradimensionati ed alcuni di questi potrebbero offrire un servizio di business continuity ad altri enti pubblici.
Dobbiamo volare alto, muovendoci per approssimazioni successive nella direzione giusta. Dal momento che non abbiamo le risorse finanziarie, dobbiamo avere l’intelligenza di collaborare. Il progetto di consolidamento e razionalizzazione del ministero dell’Interno, non può riguardare soltanto il nostro dicastero, ma deve coinvolgere anche le altre amministrazioni”.
Sotto l’aspetto infatti della repressione dei reati, l’ampiezza dei fenomeni e dei temi affrontati ha dimensioni tali che, conclude il prefetto Vulpiani, “bisogna fare un distinguo tra i cittadini per bene e coloro che sono dediti ad attività criminali, attuando di volta in volta un bilanciamento tra le garanzie previste dal nostro ordinamento in fatto di privacy e le ragioni di sicurezza: due aspetti che non sono affatto antitetici tra loro, in quanto sono l’uno il presupposto dell’altro”.
Per far questo, la pubblica amministrazione deve garantire la sicurezza delle informazioni nel complesso, in primis tramite una reingegnerizzazione dei processi organizzativi ed una conseguente razionalizzazione dei sistemi informativi. “È dunque fondamentale – dice Vulpiani – consolidare i singoli datacenter, porre in essere delle strategie di business continuity comuni, assicurare anche il disaster recovery, infine attuare procedure di sicurezza tra le amministrazioni, con standard più elevati, tenendo conto che il nostro valore aggiunto rappresenta sostanzialmente quello che riusciremo a risparmiare negli anni a venire”.
Non va nemmeno sottovalutato l’aspetto della condivisione e dell’interoperabilità degli applicativi, nonché dell’utilizzo dei formati aperti, fattori, potrebbero far risparmiare molte risorse economiche. “In conclusione – dice Vulpiani – è fondamentale incontrarci, parlare e lavorare assieme, trasversalmente a tutti i settori della PA, così da perseguire i suddetti obiettivi di sicurezza e razionalizzazione”.
