L’Italia è il Paese delle inaugurazioni, non delle
manutenzioni. E della continua rincorsa a sanare i danni della
mancata prevenzione. Questo si adatta anche al delicato e
strategico settore della sicurezza dei sistemi informatici della
PA. A fotografare lo scenario è il “Secondo rapporto sulla
stato della sicurezza Ict delle Pubbliche Amministrazioni
Centrali”, elaborato dal Cnipa, diffuso solo tra gli addetti ai
lavori e di cui Il Corriere delle Comunicazioni è entrato in
possesso. Elaborato sulla base di un sofisticato questionario
tecnico (55 domande), il rapporto pone in evidenza “un quadro
della sicurezza Ict nella Pac abbastanza confortante e
sufficientemente maturo per recepire ogni indicazione per
migliorare gli standard attuali scaturita da iniziative del
Cnipa”. Anzi, “rispetto alle rilevazioni precedenti il
miglioramento è stato netto, anche in virtù di iniziative
promosse centralmente, come il progetto SPC-Sistema Pubblico di
Connettività, entrato nella fase piena di esercizio”.
Accanto alle luci, le ombre. Come la “mancanza di piani di
formazione per la sensibilizzazione dei dipendenti” delle
stesse amministrazioni. Da questo derivano molti dei
comportamenti errati rilevati. Ed una dicotomia: mentre la
normativa sul trattamento dei dati sensibili “è stata
largamente recepita anche con risultati oltre le aspettative”,
il tema della sicurezza Ict “ancora stenta a trovare stabili
radici nei responsabili della PA” nonostante un’intrusione in
un sistema informativo pubblico possa mettere a repentaglio
un’immensa quantità di dati sensibili. Per questo si
suggerisce di “forzare l’adozione di policy, anche attraverso
un opportuno quadro normativo, in grado di stimolare maggiore
attenzione nei confronti della sicurezza legando in maniera
indissolubile il trattamento dei dati sensibili e la sicurezza
dell’intero sistema informativo”. Ma anche che “ogni
Nazione dovrebbe dotarsi di un organismo centrale in grado di
garantire un approccio comune al problema della sicurezza e
dell’evoluzione dei sistemi informativi nella PA”. Il modello
è il Federal Office for Information Security (BSI) in Germania.
In effetti, “disporre di un modello comune per la sicurezza
consente anche un puntuale monitoraggio dell’utenza che,
attraverso le rivelazioni annuali, potrà ricevere indicazioni
precise sui risultati dei progetti interni applicando eventuali
misure correttive in grado di correggere tempestivamente
eventuali scostamenti dal modello atteso”.
Il Cnipa, che con le ultime leggi finanziarie ha subìto tagli
non lievi alle proprie risorse (mentre sarebbe opportuno
aumentare le dotazioni per valorizzarne ruolo e centralità sul
fronte dell’Ict), nel rapporto si è tolta un sassolino dalla
scarpa facendo arrivare un messaggio non solo al ministro di
riferimento, Renato Brunetta, ma a chi tiene i cordoni della
borsa: “Centralizzando gli sforzi sarebbe possibile anche
produrre grosse economie di scala”. Insomma, avere più
efficienza, maggior sicurezza e ottenere risparmi, senza
soffocare crescita e progettualità con continue sforbiciate. Il
33,9% delle Pac ha un budget per la sicurezza, ma nessuna vi
dedica più del 10% del bilancio complessivo Ict. Un dato che la
dice lunga sul percorso culturale da compiere non solo nei
confronti dei responsabili Ict della Pac, ma del Governo. Il
rapporto segnala che si usano i sistemi di backup, ma solo il 57%
prevede un responsabile e gestisce le politiche con procedure
documentate. Buona la diffusione e l’impiego (77%) dei sistemi
di identificazione del personale che accede alle aree Ict e
migliore (83%) la sicurezza perimetrale. Quasi al 100% la
diffusione di firewall e su livelli elevati l’impiego di
sistemi centralizzati di salvataggio di informazioni critiche.
Buona la diffusione (quasi al 77%) di antivirus centralizzati o
di filtri sulla posta elettronica.
In sostanza “le criticità convergono verso tre linee di
attività da intraprendere con particolare urgenza”: 1)
definizione di un piano di formazione dedicato alla sicurezza Ict
con un occhio alla continuità operativa; 2) attivazione di
procedure di “penetration test” standard che valutino
oggettivamente il rischio di intrusione nei sistemi; 3)
centralizzazione di competenze per la gestione degli incidenti e
la raccolta delle statistiche reali. Infine un monito sul
crescente ricorso all’outsourcing: “Risulta chiaro che prima
ancora di esternalizzare un servizio così cruciale come la
gestione della sicurezza Ict è indispensabile che la PA possegga
forti competenze per gestire il rapporto con l’outsourcer in
modo appropriato”. Il Cnipa perciò avvierà attività di
formazione per garantire un livello comune di requisiti minimi
per la negoziazione dei contratti.