“Il sistema informatico della Pubblica amministrazione italiana è a rischio di attacchi e virus a causa dei ritardi accumulatisi nell’adozione di strumenti e modelli organizzativi di sicurezza, determinati da una inadeguata cultura e dalla carenza di risorse”. Questa era la drammatica conclusione emersa dal Convegno promosso dal Cnipa (Centro Nazionale per Informatica nella Pubblica Amministrazione) nel gennaio 2006. Sono passati quasi tre anni, e viene da chiedersi se la situazione sia ancora la stessa. Massimo Cipriani, Technical Principal Consultant di CA Italia, azienda leader nell’ambito della gestione It, si dice ottimista. “Dal punto di vista della consapevolezza, e cioè della percezione di security, la Pa si sta evolvendo notevolmente. Ciò è comprovato anche dall’ultimo rapporto del Cnipa, che ha svolto numerosi questionari sul tema della sicurezza logica e fisica all’interno delle Pa”. Qual è il dato più interessante emerso dall’indagine Cnipa? “Il dato principale è sicuramente quello riguardante la crescita della consapevolezza all’interno di queste realtà. Ma il report, certo, dà indicazioni più precise: la sicurezza logica – e cioè quella relativa agli accessi, alle password, all’aggiornamento dei sistemi in termini di vulnerabilità – è senza dubbio quella più tutelata. Ma anche per la parte infrastrutturale e fisica non sono stati dati riscontri troppo negativi”. Molti esperti però si dicono convinti che la situazione sia ancora molto critica. Dove si potrebbe individuare la principale “falla” nel sistema delle Pa? “Senza dubbio nella continuità operativa. In molti casi non è recepita, soprattutto in termini di organizzazione, e questo nonostante il decreto del 2002 che prescriveva la creazione di entità preposte alla gestione dell’organizzazione. Tuttavia anche in questo caso, almeno per quanto riguarda l’interoperabilità delle Pa, devo segnalare un’evoluzione in positivo: il passaggio dall’uso di una rete Rupa, che coinvolgeva solo le amministrazioni centrali, a una rete Spc, la quale, invece, abbraccia anche le realtà amministrative più piccole”. Esiste una forte cultura della sicurezza all’interno delle Pa? “Non posso parlare in assoluto, ma solo nei termini di un’evoluzione. Spesso i dipendenti possiedono ancora molte carenze di informazione sulla security e sui suoi assiomi di base, tuttavia il numero dei partecipanti ai nostri convegni registra ogni anno una crescita a due cifre. Ciò lascia sperare. E poi c’è un altro elemento che non si prende in considerazione: quello del passaparola, della condivisione con i colleghi di ciò che si ha appreso nei corsi di formazione e nelle conferenze”. Quali sono i rischi principali, a livello di sistema informativo, che corrono le Pa? “Sono molti. Per esempio c’è lo spamming, il quale è passato ad una nuova fase: da fenomeno di pubblicità non richiesta a vera e propria insidia, come può essere quella del codice maligno capace di infettare una macchina per poi utilizzarla in attività criminali. Ma questo è solo una dei rischi. Secondo me uno dei pericoli peggiori che corre una Pa è il furto d’informazioni dall’interno della struttura, e ciò è dovuto anche al fatto che esistono autorizzazioni troppo ampie per l’accesso a dati sensibili”. In che modo si articolano le soluzioni proposte da Ca? “In tre punti: autenticazione, autorizzazione per l’utilizzo di informazioni sensibili, tracciabilità. Questo terzo aspetto è essenziale perché permette di disegnare un vero e proprio percorso in base al quale si può rintracciare, per esempio, colui che ha diffuso informazioni riservate. In base alla mia esperienza nel campo posso dire che una Pa è abbastanza sicura quando si dota di un’infrastruttura adeguata, di un’efficiente sistema di controllo degli accessi e, aspetto per niente irrilevante, di un security operation center, ovvero di una struttura in grado di recepire tutti i messaggi in transito”. Ca è presente anche negli Usa: riscontra molte diversità, nella tutela dei sistemi informativi, fra l’Italia e il Nuovo Continente? “Beh, premesso che il mondo anglosassone ha una predisposizione culturale per le tematiche della security, e che quindi è portato ad adeguarsi con più rigore ai parametri delle nuove tecnologie It, la differenza più rilevante, secondo me, è di tipo dimensionale. Detto in parole povere, la dimensione delle piccole-medie imprese americane equivale alla dimensione delle nostre grandi aziende. Ciò, di conseguenza, comporta anche una diversità nell’approccio dei clienti”. Secondo lei l’Ue è un ostacolo per lo sviluppo di un’adeguata legislazione sui sistemi di security o, piuttosto, un incentivo ai fini dell’adozione e del periodico aggiornamento di questi ultimi? “La Ue è senz’altro un supporto determinante, un fattore che stabilisce protocolli comuni e quindi più efficaci. Ciò è dimostrato anche dal decreto n.196 per la protezione dei dati sensibili. Tuttavia non bisogna scordarsi che l’Italia nel campo della security è stato un Paese innovatore: già dal 1996, infatti, abbiamo una normativa sulla privacy”.
