| versione stampabile |
ne parliamo con Manganelli - Reti
Sarà
operativo entro la fine dell'anno il primo nucleo del Computer Emergency Response
Team (CERT) della Pubblica Amministrazione. ne
parliamo con Claudio
Manganelli, - componente
di CNIPA e presidente del Comitato tecnico nazionale sulla sicurezza informatica
e delle telecomunicazioni nelle pubbliche amministrazioni - L'incontro
appofondisce il contenuto del Protocollo d'intesa firmato a settembre tra il Governo
italiano e Microsoft. Un accordo a vasto raggio che, oltre a mettere a disposizione
degli esperti del Centro nazionale per l'informatica i codici sorgenti di Windows,
instaura un rapporto privilegiato tra la multinazionale americana e il nostro
paese, prevedendo un'intensificazione dei flussi informativi e una costante collaborazione
per la sicurezza dei sistemi IT pubblici e dei progetti di eGovernment. | | | | 
Quali esigenze hanno spinto CNIPA a firmare il Protocollo con Microsoft? | "Alla
base c'è innanzitutto la necessità di comprendere meglio il codice
sorgente di un software che gestisce le reti e i sistemi della Pubblica Amministrazione.
Non siamo i soli a pensarla in questo modo, anzi: credo che sia stata proprio
la pressione dei governi dei principali paesi del mondo preoccupati per la sicurezza
dei sistemi IT, oltre al dibattito internazionale aperto dai sostenitori dell'open
source, ad aver spinto Microsoft ad aprire i propri programmi. Ripeto: è
una necessità sentita non solo in Italia ma anche nel resto dell'Unione
europea e negli Stati Uniti, e che rischiava di penalizzare le soluzioni Microsoft
rispetto a quelle a codice sorgente aperto". | Che
cosa prevede il Protocollo dal punto di vista operativo? | "Gli
aspetti operativi non sono stati ancora precisati nel dettaglio. Comunque non
è realistico pensare che, una volta ricevuta da Microsoft tutta la libreria
dei codici sorgenti del suo sistema operativo e degli altri programmi che produce,
si possa controllare tutto linea per linea, istruzione per istruzione. Non abbiamo
queste risorse e queste capacità. Ma nessuno, a mio giudizio, le può
avere. Quindi probabilmente l'accordo si perfezionerà sviluppando un collegamento
privilegiato, un flusso costante di informazioni tra i responsabili della sicurezza
di Microsoft e un nucleo della P.A., che potrebbe essere costituito nell'ambito
del Ministero dell'Innovazione Tecnologica, in CNIPA o nel dipartimento". | Quindi
non sarà organizzato nessun team di esperti CNIPA che verificherà
il sorgente di Windows? | "Formeremo
un team di esperti specializzato nelle funzionalità dei singoli prodotti
Microsoft piuttosto che nel controllo delle linee di codice. Dietro il software
Microsoft c'è un lavoro di progettazione portato avanti da un numero elevato
di specialisti in laboratori sparsi in tutte le parti del mondo. E' irreale pensare
di risolvere a livello di un unico paese i bachi di programmi alla cui realizzazione
hanno collaborato così tante risorse umane". | Ma
allora l'apertura del codice sorgente da parte di Microsoft è importante
solo perché riconosce, in linea di principio, la necessità di trasparenza
del software al fine della sicurezza, senza tradursi poi in un reale controllo… | "No,
ci assicura realmente questa possibilità, perché d'ora in avanti
quando sospetteremo che ci sia un punto critico in un'applicazione, potremo chiedere
a Microsoft di metterci a disposizione il codice di quella libreria, studiare
come funziona e il modo per blindarlo. Ma è una strada praticabile solo
per piccole porzioni del programma. Non è pensabile verificare tutte le
linee di codice che compongono un sistema operativo. Concentreremo la nostra attenzione
solo sui settori più sensibili agli attacchi degli hacker e dei virus". | La
parte più qualificante del Protocollo è, quindi, quella meno appariscente:
la collaborazione e il dialogo privilegiato che si viene a instaurare tra CNIPA
e Microsoft sulle questioni della sicurezza | "Esatto.
Coopereremo direttamente con loro, cercando di risolvere le vulnerabilità
prima che diventino un'emergenza. Seguendo una direttiva dell'Unione europea stiamo
pensando di realizzare un CERT (Computer Emergency Response Team) per la Pubblica
amministrazione. Questo tipo di strutture, operative in molti paesi, funzionano
in rete, allacciando una fitta rete di comunicazioni sia tra loro sia con centri
di ricerca, università, polizie postali o telematiche, società private
impegnate in questo campo. Non appena si riscontra un evento in una determinata
parte del mondo, lo si analizza, si cerca di capire come si sta verificando, si
raccolgono tutte le informazioni utili e si comunicano al produttore del software.
In pratica è un lavoro di intelligence. Poi vengono realizzate delle patch
provvisorie che bloccano l'evento finché la soluzione definitiva, che di
norma arriva solo dopo alcuni giorni, permetterà alla parte di codice colpita
di svolgere in sicurezza la funzione per la quale è stata pensata. Ecco,
l'accordo firmato con Microsoft serve ad anticipare tutto questo, riducendo il
tempo che intercorre tra la rilevazione dell'evento e l'adeguamento del software". | Quando
entrerà in funzione il CERT della P.A.? | "Abbiamo
già pronta una bozza di DPCM (Decreto del presidente del consiglio dei
ministri) e quindi credo proprio che entro la fine del 2003 un primo nucleo potrà
già essere operativo. Stiamo reperendo i fondi ed è in corso la
ricerca delle competenze necessarie, alcune delle quali sono state individuate
al nostro interno, mentre le restanti saranno scelte in quei nuclei ad alta specializzazione
costituiti, ad esempio, dalla Polizia postale, Carabinieri e Guardia di Finanza". | Il
Protocollo firmato non si limita alla sicurezza della sola pubblica amministrazione
ma pensa anche a quella dei cittadini che navigano in internet, come dimostra
la presenza del sorgente di Passport tra i codici messi a disposizione da Microsoft.
A quali rischi è sottoposto oggi chi si collega on line e come fare a proteggerlo? | "Oggi
è molto facile per un hacker impossessarsi dei dati contenuti su un computer
collegato in internet o addirittura asservire il pc di un ignaro utente e utilizzarlo
come stazione per azioni di pirateria. Molti cittadini non sono in grado di percepire
questo pericolo e di difendersi. In un mondo sempre più orientato verso
la telematica e i servizi on-line, sarebbe giusto sviluppare una metodologia software
che garantisse meglio la riservatezza dei dati personali. Un tema che andrebbe
affrontato con maggiore attenzione soprattutto in Europa, dove su questo problema
c'è una sensibilità più sviluppata rispetto agli Stati Uniti,
migliorando la cooperazione internazionale, gli scambi di informazioni e promuovendo
una migliore qualità dei programmi utilizzati". | Passando
agli enti locali e territoriali, qual è la loro consapevolezza e preparazione
sui temi della sicurezza? | "Il
Comitato tecnico nazionale per sicurezza, che presiedo da luglio scorso, sta redigendo
il piano di attuazione delle misure di sicurezza per la P.A., avendo attenzione
anche al modello organizzativo che le amministrazioni dovrebbero prendere a riferimento.
Al momento il panorama è caratterizzato da alcuni enti preparati, che si
sono già dotati di un responsabile della sicurezza effettivamente operativo
e di metodologie e risorse destinate a questo scopo e, all'altro estremo, di un
gruppo di amministrazioni che sono ancora all'anno zero. Nel mezzo c'è
un ampio numero di realtà che, formalmente, hanno costituito l'ufficio
ma che nei fatti non dispongono di risorse e strumenti sufficienti e, soprattutto,
non hanno la necessaria cultura di base. A questo scopo il Governo ha stanziato
un fondo destinato alla formazione del personale della PA, in particolare dei
livelli intermedi e direttivi, in modo da garantire una preparazione idonea all'utilizzo
in sicurezza dei sistemi informativi. Questa attività di formazione sarà
svolta dall'Istituto superiore di comunicazioni. Più in generale, sul tema
della sicurezza è necessario che tutti siano coinvolti e collaborino. Questo
progetto prevede che siano costituiti dei CERT all'interno delle organizzazioni
complesse, come l'INPS o, appunto, le amministrazioni pubbliche locali. Ogni ente
periferico di una certa dimensione dovrebbe avere il proprio CERT che interfaccerà
non solo quello della PA centrale ma anche i servizi analoghi già in funzione
o previsti in particolari settori privati, come quelli assicurativi o bancari.
Sarà un modello a maglia, dove però esisterà una funzione
in qualche modo privilegiata che avrà la possibilità di raccogliere
tutte le informazioni e di smistarle. Per il momento pensiamo di realizzare questo
modello nell'ambito della Pubblica amministrazione, ma siamo aperti ad accordi
sostanziali e cooperativi con altre realtà. Se ciò accadesse, si
potrebbe presto arrivare ad avere un'Agenzia per la sicurezza business e gestionale,
analogamente a quanto abbiamo in campo militare con l'Agenzia nazionale per la
sicurezza". | Quando
diventerà operativo l'accordo con Microsoft? | "Entro
dicembre sarà redatto un piano di lavoro comune, dove sarà specificato
esattamente cosa si vuole fare insieme. Poi inizieremo a metterlo in pratica,
ma credo che per far funzionare tutto bene ci vorrà almeno un anno". | Qual
è la durata dell'accordo? | "E'
di un anno, rinnovabile alla scadenza". | | | | | |
|
|
|
| appuntamenti |
|
|
| news |
|
Deprecated: Function split() is deprecated in /data/fs/re-set/forumpa/admin/util.php3 on line 733
Deprecated: Function split() is deprecated in /data/fs/re-set/forumpa/admin/util.php3 on line 733
Deprecated: Function split() is deprecated in /data/fs/re-set/forumpa/admin/util.php3 on line 733
18/03 - In Belgio su e-bay con la carta d'identità elettronica
18/03 - Un canale youtube per la città di Genova
18/03 - Il Telefono Azzurro vince il "Premio WWW" de "Il Sole 24 Ore"
|
|
