del 16/02/2006

Quello della sicurezza informatica è un tema caldo per la Pubblica Amministrazione: protezione dei sistemi, prevenzione di attacchi informatici, privacy dei cittadini sono solo alcuni degli aspetti di questo tema, ed assumono un significato ancora più rilevante se connessi all'e-Government. Di questo e di molto altro si è discusso nell'ultima conferenza CNIPA che ha evidenziato un quadro d'insieme non troppo entusiasmante: continuano a formarsi comitati e unità di intervento, si stabiliscono vincoli e obblighi normativi, ma ancora nemmeno il 40% delle amministrazioni ha definito una propria policy di sicurezza.

Una premessa necessaria

Il tema della sicurezza ICT è oggi molto dibattuto e discusso, parlare di sicurezza va di moda, ma manca, forse, un po' di chiarezza rispetto alla portata e ai confini del problema. D'altra parte è importante parlarne perché tutti gli aspetti legati alla sicurezza ICT assumono un significato ancora più importante se connessi all'e-Government, ma a fronte di una Pubblica Amministrazione che vede oltre l'80% dei dipendenti pubblici dotati di una postazione multimediale minima (pc+schermo+stampante), dall'altro lato i dati presentati e dibattuti durante la conferenza dello scorso 17 gennaio, organizzata dal CNIPA, su "La sicurezza ICT nella pubblica amministrazione: strategie e azioni", non evidenziano affatto uno scenario tranquillo:
solo il 43% delle amministrazioni centrali dichiara di avere nominato un responsabile della sicurezza ICT;
solo il 37% dichiara di avere definito formalmente una policy della sicurezza;
solo il 53% dichiara di avere avviato un piano di formazione e sensibilizzazione;
solo il 22% dichiara di disporre di un gruppo interno di gestione degli incidenti.

"I numeri parlano da soli. La situazione è preoccupante." Ha ammesso Manlio Cammarata, che oltre a essere direttore di Interlex, accreditata testata on line di diritto, tecnologia e informazione, è stato anche consulente CNIPA sui temi dell'informatizzazione e docente universitario. Ma il direttore non ne fa solo un problema di penetrazione "È necessario un approccio di sistema. Pensiamo al caso tedesco: Udo Helmbrecht, dell'Ufficio Federale per la Sicurezza Informatica, nel suo intervento durante la conferenza CNIPA ha presentato cifre che devono far riflettere. L'Ufficio federale è nato nel lontano 1991, ha oltre 450 dipendenti e un bilancio di quasi 52 milioni di euro. Questa, euro più, euro meno, è la dimensione nella quale va affrontato il problema!"

E l'Italia?

Nel nostro Paese dal 2002 le attività in tema di sicurezza sono coordinate dal Comitato Tecnico Nazionale per la Sicurezza Informatica (CTNSI) la cui presidenza è affidata al CNIPA. Accanto al CTNSI lavora l'unità Gov-CERT, specificatamente impegnata su problematiche relative alla prevenzione e alla gestione degli attacchi informatici. Da un punto di vista organizzativo sono state individuate, già da tempo, specifiche strutture dunque, ma un po' di differenza con la Germania forse c'è. Una fra tutte? Sono solo 7 le persone che compongono il CTNSI e lo stesso Gov-CERT opera con un organico che non supera le 4 persone e non ha un proprio canale di diffusione delle informazioni (come un sito web) oltre a un bollettino mensile sulla vulnerabilità della rete. Certo per quanto pochi in entrambe le strutture si è molto lavorato per definire iniziative tecniche e legislative in tema di sicurezza, ma l'impressione è che questo resta comunque un tema da addetti ai lavori.

I temi caldi della sicurezza

Il problema della certificazione della sicurezza nel settore della tecnologia dell'informazione, giacchè sussistono incertezze in ordine alla natura giuridica dell'attività di certificazione e della figura del certificatore, anche dal punto di vista penalistico. Altri problemi concernono la responsabilità per prodotti difettosi certificati regolarmente.
Il ricorso da parte di amministrazioni pubbliche al sistema dell'outsourcing per la gestione della sicurezza visto che in questo settore mancano regole giuridiche specifiche.
I problemi derivati dalla introduzione nel campo pubblico di nuove tecnologie quali la biometria, il VOIP, i sistemi Wireless e Wi-fi, il RFDI, in particolare per ciò che riguarda la difesa della privacy.

Concludendo

Tutti auspicano la nascita Agenzia Nazionale per la Sicurezza delle tecnologie informatiche pubbliche per un effettivo coordinamento, al massimo livello politico-governativo delle iniziative delle singole amministrazioni in tema di sicurezza informatica. Altrettanto condivisa è l'opinione che la sicurezza assoluta non esiste e che forse sarebbe meglio puntare su un approccio di sistema in grado di specificare e di valutare correttamente rischi e disponibilità dei mezzi per poter così intervenire e prevenire in maniera concreta e strutturata.

Sensibilizzare alla sicurezza? Meglio formare e informare - Ne parliamo con Manlio Cammarata - direttore di InterLex e consulente in diritto e comunicazione

GovCERT, la sicurezza delle reti diventa affare di Stato, dossier Altra pa del 30/06/05