Nel gennaio 2006 ho scritto un articolo per Publica per evidenziare le ragioni che pongono la Pubblica amministrazione in prima linea in tema di sicurezza informatica. In particoalre sostengo l'esigenza dello scambio di informazioni tra le diverse amministrazioni, l'urgenza di non acquistare soluzioni di sicurezza solo con la logica del prezzo più basso e la necessità di agire non solo per motivi tecnici o economici, ma per la funzione etica di tutelare l'informazione come valore per i cittadini.
Publica - Gennaio 2006
_______________________________________________________________________
SECURITY E Pubblica Amministrazione : SFIDE E COMPITI
Gigi Tagliapietra - Presidente del CLUSIT Associazione Italiana per la Sicurezza Informatica
Lo Scenario
Non c'è dubbio che la diffusione crescente dell'utilizzo delle tecnologie dell'informazione nella Pubblica Amministrazione rappresenti un cambiamento significativo non solo nei suoi modelli organizzativi ma sopratutto nel rapporto con la vita quotidiana di milioni di cittadini.
Basti pensare alla recente entrata in vigore del nuovo Codice per l'Amministrazione Digitale che stabilisce specifici diritti che cittadini e imprese potranno esercitare: dal diritto all'utilizzo della posta elettronica nella comunicazione con gli enti al diritto ad effettuare qualsiasi pagamento in forma digitale.
In questo contesto i riferimenti alla sicurezza sono espliciti e strutturali tanto nei mezzi (Firma digitale, posta elettronica certificata, carte elettroniche) che nelle modalità di fruizione. E non potrebbe essere altrimenti. Senza sicurezza, ad esempio, nella validità, autenticità e disponibilità delle informazioni, senza la difesa di tali informazioni da intrusioni e abusi l'intero progetto vedrebbe minata la sua stessa esistenza.
Esiste una consapevolezza diffusa del ruolo determinante che la sicurezza riveste per la PA oggi? Qualunque risposta sarebbe parziale e imprecisa perchè il solo modo di leggere una simile risposta è in una dimensione temporale: diciamo quindi che rispetto solo a pochi anni fa il trend è largamente positivo.
E' del tutto evidente come la PA stia compiendo grandi sforzi per agire simultaneamente sui due fronti, quello della digitalizzazione dell'informazione e quella della sua protezione e dobbiamo valutare positivamente questo processo, anche se ancora contraddittorio, che vede i due aspetti intrinsecamente connessi e non come nel recente passato in cui ci si preoccupava della sicurezza quando i sistemi erano ormai attivi (e, ahimé, esposti a grandi rischi).
Sicurezza come fattore chiave
Il problema cruciale è che la PA, come le altre imprese del resto, si trova ad operare in un contesto altamente dinamico in cui la crescita di servizi on line di valore, aumenta l'appetibilità di tali servizi per potenziali intrusi e in cui la crescita degli utenti e delle informazioni messe a disposizione aumenta esponenzialmente la complessità del sistema da proteggere. Se a questo contesto aggiungiamo la crescita della velocità di connessione, la mobilità degli utenti, la sofisticazione sempre crescente dei sistemi di intrusione, otteniamo una condizione di rischio sempre più elevato.
Il fatto peculiare è che in sistemi come quelli della PA che si rivolgono, per definizione, alla massa dei cittadini in un rapporto bidirezionale e non di pura fruizione come nel caso della televisione, la necessità non è solo quella di garantire l'integrità dei sistemi a cui si accede ma anche, e direi soprattutto, di fare in modo che i milioni di utenti non diventino elementi di vulnerabilità (consapevole o meno poco conta) della rete.
E' un'operazione che richiede tempi medio-lunghi e grandi sforzi di formazione e comunicazione e non credo esista una soluzione che si possa basare solo sulle tecnologie per quanto necessarie e imprescinidibili.
La posta in gioco è molto alta e non riguarda solo la PA: riguarda tutti coloro che attraverso la rete erogano e utilizzano servizi di qualsiasi natura e cioè tutti quanti. La PA infatti non è solo uno dei "tanti fornitori di informazioni" in rete è anche il garante di validità e di legalità di transazioni e documenti, di identità dei cittadini, il soggetto con il più alto numero di dati sensibili da tutelare: in somma la protezione dei sistemi della PA non è un fatto "interno" ma una questione che tutti dobbiamo avere a cuore.
Le debolezze
Se, come abbiamo visto, il sistema diventa più rischioso e complesso con il suo crescere, esistono alcuni fattori di vulnerabilità o meglio di "debolezza" a cui bisognerebbe porre attenzione immediata.
Innanzitutto porre attenzione al ruolo che giocano in questo contesto le Amministrazioni locali e periferiche perchè sono meno preparate delle Amministrazioni centrali ad affrontare il tema della sicurezza e perchè sono in prima linea nella erogazione di servizi quotidiani ai cittadini.
Formazione e certificazioni specifiche di sicurezza sono ancora troppo limitate e del tutto inadeguate alla dimensione e diffusione di sistemi altamente critici anche perchè molta attenzione viene ancora posta alla sicurezza in termini di prodotti più che di funzioni o di impatti organizzativi e di gestione degli incidenti.
E' un fatto estremamente positivo che stiano crescendo e coordinando le proprie iniziative i CERT (I team di sorveglianza e di risposta agli incidenti) all'interno della PA è però preoccupante il ritardo che abbiamo accumulato e che non sembriamo in grado di colmare.
Ma un ritardo ancora più grave lo stiamo segnando nel campo della raccolta e condivisione di informazioni che possono aiutare a prevenire incidenti che potrebbero avere conseguenze devastanti. Prevalgono ancora forse piccole gelosie di "territorio" o peggio sottovalutazioni circa l'esigenza di un costante scambio di informazioni con modalità strutturate e di qualità. A questo proposito il CLUSIT si è fatto promotore dell'avvio anche in Italia degli ISAC (Information Sharing and Analysis Center) sul modello attivo da molti anni negli USA perchè tanto nel settore privato che in quello pubblico, la creazione di "reti di fiducia" tra persone che operano ai massimi livelli è il fattore chiave per prevenire quanto più possibile incidenti gravi ma soprattutto per gestire efficacemente le situazioni di crisi.
Le aree d'azione
La prima area d'azione riguarda il modello di valutazione del costo dei sistemi di sicurezza nella PA. Di certo tutti vorrebbero sistemi di protezione estremamente sicuri, a bassissimo costo e ad altissime prestazioni ma queste tre condizioni sono, almeno per il momento, inconciliabili. Possiamo avere sistemi molto sicuri e ad alte prestazioni ma non costano poco. Con pochi soldi a budget possiamo pensare di costruire buoni sistemi di protezione ma le prestazioni potranno darci non pochi grattacapi. In sostanza il nostro triangolo non si chiude e dobbiamo accettare un compromesso, decidere quale delle tre variabili dovremo penalizzare. Nella PA in passato hanno prevalso i criteri di scelta di tipo economico e le stesse gare d'appalto assegnano punteggi molto rilevanti alla voce "prezzo" e quindi non potremmo aspettarci sistemi sicuri o performanti. Possiamo continuare così anche in futuro? L'orizzonte economico è ancora negativo o incerto e la spesa pubblica deve essere contenuta ma lo possiamo fare allo stesso modo con le stampanti e con i firewalls, con i monitor e con i sistemi di difesa dai nuovi malware?
In questo senso dobbiamo auspicare un cambio di rotta, quanto meno che identifichi il costo di una soluzione di sicurezza non nel suo valore di acquisto ma, almeno, nella sua solidità nel tempo, nel suo costo di gestione e nella sua capacità di ridurre i costi dei danni derivati da incidenti e violazioni.
La seconda e ben più importante area d'azione non riguarda la tecnologia nè tantomeno l'economia in senso stretto: riguarda l'etica.
Se vogliamo indurre comportamenti virtuosi e attenti in migliaia di operatori e in milioni di utenti-attori, dobbiamo restituire valore e rilevanza a concetti importanti come "il rispetto della persona", "la sacralità della confidenzialità", "il dovere di tutelare i più deboli".
Non c'è tecnologia che possa proteggere un sistema i cui utenti non riconoscano come valore il diritto alla privatezza delle conversazioni, o che non trattino con sacro rispetto i dati di qualsiasi genere che riguardano le persone.
Credo sia l'azione più difficile e qualcuno dice utopistica, ma è la sola che possa garantirci un futuro e che quindi va intrapresa senza esitazione.
Gigi Tagliapietra 2006 - Questa opera è concessa sotto la licenza "Attribuzione non commerciale- 2.0"
Per i dettagli vedi al sito www.creativecommons.it
Ultimi commenti