25 Novembre 2019 cybersecurity

La sicurezza informatica nella PA è un’emergenza nazionale (per cui si fa pochissimo)


Riflessioni a margine dell’operazione “People1” della Polizia Postale

Negli ultimi giorni ne hanno parlato praticamente tutti i giornali e i TG: un’importante operazione della Polizia Postale (denominata “People1”) ha portato alla luce quello che — secondo gli inquirenti — è il più importante attacco alle banche dati istituzionali finora compiuto.

L’ arrestato attaccava — mediante tecniche di phishing —i sistemi informatici di amministrazioni centrali e locali (prevalentemente piccoli comuni), introducendosi quindi nelle in banche dati di Agenzia delle Entrate, INPS, ACI e InfoCamere. In questo modo, sottraeva dati personali da rivendere ad agenzie investigative e di recupero crediti.

La rete di computer infettati veniva utilizzata per compromettere i database delle amministrazioni pubbliche ed esfiltrare i dati personali dei cittadini.

A quel punto i dati venivano commercializzati in modo da consentire un accesso alle banche dati, illegittimo e non tracciato (si stima siano state effettuate decine di migliaia di ricerche, al costo — in nero — di “1 euro a dato”).


Siamo più vulnerabili di quanto pensiamo

La notizia dell’operazione “People1” ha una rilevanza che va al di là delle indagini degli inquirenti. Grazie a questa notizia, qualcuno si è scoperto più vulnerabile di quanto credeva. I nostri dati anagrafici, le informazioni previdenziali possono essere consultate da qualcuno che ci spia, schedandoci o profilandoci “a nostra insaputa”.

Una presa di consapevolezza tanto più amara se pensiamo che — per quanto possano essere astuti i criminali informatici — queste violazioni sono possibili grazie alla scarsa attenzione che governo e amministrazioni hanno sin qui dedicato ai temi della sicurezza informatica.

Si tratta di una realtà nota, da tempo, agli addetti ai lavori. Ma adesso sempre più sotto gli occhi di tutti, con pericolosissimi effetti sulla fiducia che i cittadini nutrono nei confronti delle amministrazioni e del processo di trasformazione digitale del settore pubblico.

Nei giorni scorsi, il Presidente del Consiglio Conte — intervenendo in un evento a Milano — ha affermato che:

La necessità imprescindibile di cavalcare l’innovazione dovrà andare di pari passo con la cura, non meno essenziale, nel mitigare le crescenti vulnerabilità insite nelle basse barriere all’ingresso che contraddistinguono lo spazio cibernetico. […] Serve quindi un cambiamento di paradigma culturale, che metta al centro la prevenzione, perché la cybersecurity non deve essere più percepita come un semplice costo, bensì come un investimento.

La sicurezza informatica “a costo zero” non esiste

È quindi lecito aspettarsi che aumenteranno gli investimenti del governo in materia di sicurezza, visto che la situazione finora è stata — e continua a essere — drammatica ed emergenziale.

Nel Rapporto 2019 del Clusit (Associazione italiana per la sicurezza informatica), ad esempio, viene denunciato

il singolare (a questo punto potremmo anche dire protervo) disinteresse della politica e delle parti sociali in materia di cyber security, e la conseguente carenza acuta di investimenti in sicurezza cibernetica nel nostro Paese (sia dal punto di vista della ricerca e sviluppo che da quello dell’implementazione di contromisure attive e difensive) fanno sì che in base al Global Cybersecurity Index dell’ITU (pubblicato nel 2017) ci posizioniamo non solo ultimi tra i paesi europei avanzati, ma anche alle spalle di paesi “emergenti” come Lituania, Malaysia e perfino Mauritius.

Insomma, senza massicci investimenti sarà difficile dare piena attuazione alle lodevoli iniziative normative (come il recente decreto sul perimetro di sicurezza nazionale cibernetica) o strategiche (come le azioni in materia di sicurezza previste dal Piano triennale ICT 2019–2021).

I nodi vengono al pettine: non è pensabile, né sostenibile, che — come previsto dalle norme degli ultimi 15 anni — la digitalizzazione della pubblica amministrazione possa essere fatta “senza nuovi o maggiori oneri per la finanza pubblica”.

La sicurezza informatica è una priorità per tutte le PA?

Uno degli aspetti più preoccupanti è relativo alla scarsa percezione dell’importanza della sicurezza informatica a tutti i livelli amministrativi, specialmente territoriali. Si tratta di un indice della scarsa consapevolezza del fatto che garantire la sicurezza non serve soltanto per il corretto funzionamento di macchine e sistemi, ma anche per preservare la riservatezza di dati, documenti e informazioni.

Nel caso di People1, ad esempio, la tecnica utilizzata per il furto dei dati prevedeva il confezionamento di messaggi di phishing, apparentemente provenienti da istituzioni pubbliche, ma in realtà contenenti in allegato un malware. Era sufficiente che un solo utente dell’amministrazione lo eseguisse per compromettere i sistemi dell’ente.

Il settore pubblico è al sicuro se tutte le amministrazioni adottano politiche di sicurezza. È questo uno dei motivi per cui non può esistere una PA digitale a due velocità: ciascuno deve fare la propria parte.
Ogni amministrazione, anche piccolissima.
Ogni dipendente pubblico, anche se non lavora nell’ufficio sistemi informativi.

Eppure, guardandosi in giro, non sembra che la consapevolezza sull’importanza della sicurezza informatica sia così diffusa. A prescindere dagli investimenti, ci sono migliaia di enti in cui ancora non è stato nominato un responsabile per la transizione al digitale (che — per legge — deve occuparsi della sicurezza) e in cui, verosimilmente, non c’è nessuno che si interessi in modo strutturato di questi aspetti. Sarà necessario attendere le prime sentenze di responsabilità erariale di qualche Sindaco (che non ha individuato il responsabile), magari per i danni procurati da un cryptolocker, affinché maturi una maggiore sensibilità?

Ma anche nelle amministrazioni in cui il RTD è stato nominato le cose potrebbero non andare meglio, se il responsabile non ha le risorse per investire in sicurezza e per completare l’implementazione delle piattaforme abilitanti (come SPID) che pure aiuterebbero a rendere più sicuri i servizi erogati dall’ente.

Per non parlare dei DPO (i responsabili protezione dati previsti dal GDPR) che molti enti hanno individuato con procedure “al massimo ribasso”, in piena logica burocratica. Questi responsabili dovrebbero vigilare sull’osservanza dell’adozione delle misure di sicurezza e promuovere la cultura della protezione dei dati personali. In molti casi però, per contenere i costi di servizio, non si presentano mai presso l’amministrazione. È pensabile quindi che questi consulenti affrontino efficacemente il problema della consapevolezza del personale sui rischi della sicurezza informatica? che promuovano l’adozione di regole e codici di condotta per l’utilizzo dei sistemi informatici e delle banche dati? o che si occupino della formazione di tutti i dipendenti?

Richard A. Clarke (già consulente per la sicurezza informatica della Casa Bianca) ha detto che “se spendi più soldi per il caffè che per la sicurezza informatica, sarai violato. Anzi, meriti di essere violato“.

Il problema è che i cittadini non meritano che i loro dati siano violati, anzi hanno diritto a che siano protetti nel modo migliore.

Salvo dove diversamente specificato, i contenuti di questo sito sono distribuiti con licenza CC BY-NC 4.0 - immagini: Andrea Gadaldi | Privacy policy
Designed by Lago digitale