Madotto: “La PA sicura è quella che anticipa i problemi: ecco perché”

La Pubblica Amministrazione digitale è una priorità ormai acquisita. Dietro questo termine si nascondono tuttavia molte insidie sia in termini di progettualità e governance, sia in termini di gestione dei servizi. Accanto agli investimenti in nuovi progetti volti a mettere a disposizione nuovi servizi, è necessario che la PA assuma la priorità della sicurezza come fulcro attorno al quale costruirli.

Da questo punto di vista è recente la pubblicazione del framework nazionale sulla cybersecurity che è di aiuto alle PA (e non solo) per migliorare la loro capacità di misurarsi con questa sfida. Rimane tuttavia una condizione necessaria ma non sufficiente a rendere sicura la PA digitale.

E’ necessario investire risorse economiche e intelligenze per aumentare la capacità della PA di acquisire una cultura della sicurezza sin dal disegno delle soluzioni e delle applicazioni fino alla consapevolezza e ai comportamenti di dipendenti e utenti. Una operazione che sarà fondamentale per tutto il nostro Paese perché aumentare la cultura della sicurezza significa anche aiutare le nostre imprese. Una operazione lunga, complessa e costosa ma ineludibile. Parte dei savings che la PA digitale genera devono essere allocati su tale priorità.

Quante amministrazioni sono in grado di poter controllare i loro fornitori per valutare se le applicazioni o i portali venduti siano vulnerabili ad attacchi più o meno sofisticati? Oggi le tecniche diffuse consentono di “iniettare” da internet codice software all’interno di un portale e poter infettare gli utenti, entrare in una comunicazione che si ritiene sicura o utilizzare semplici tecniche di social engineering per infettare amministrazioni e bloccarne il servizio o creare enormi danni ai cittadini. Pensiamo ad esempio al virus “ ransomware” che può bloccare i singoli PC di una amministrazione (e in molte parti ciò è accaduto) imponendo un “riscatto”, un virus che agisce grazie alla scarsa consapevolezza degli impiegati. Quanto sta costando alla PA questo tipo di virus? Abbiamo un sistema di monitoraggio efficace di questo tipo di eventi?

La sicurezza non è nient’altro che il tempo necessario a commettere un reato prima di essere presi e la certezza di una pena severa e proporzionale al reato. Si deve pensare dunque ad architetture che rendano il tempo necessario ad entrare nei sistemi così lungo da rendere troppo difficile farla franca e ad un sistema di allerta che sia in grado di recuperare le tracce del crimine e assicurare il delinquente alla giustizia. Questo è l’unico sistema in grado di dissuadere il crimine e consentire ai cittadini di poter sfruttare le potenzialità della digitalizzazione dei servizi.

Purtroppo nella PA, e nel settore informatico in generale, è poco diffusa la cultura della sicurezza. I vecchi paradigmi erano improntati nel far funzionare le cose, dare il servizio e al minor costo. Oggi è necessario che il servizio sia sicuro, gestito, abbia livelli di servizio elevati e standard di usabilità molto sofisticati mantenendo una sua semplicità. Qualcosa che alle volte stride con la stratificazione di software e “architetture a silos” ancora così diffuse.

Esistono framework per verificare la sicurezza di un software sin dalle sue fasi di sviluppo, tools per verificare che le più note vulnerabilità non possano provocare danni. Soprattutto è necessario che ci sia buon senso nel valutare i rischi e nell’immedesimarsi nelle dinamiche criminali per anticiparle.

La diffusione della sicurezza nella PA è a macchia di leopardo, mentre i modelli e le indicazioni faticano ad essere messi in opera sia per la scarsità di risorse economiche, sia per la scarsità di competenze. Eppure i danni possono essere enormi e, talvolta, incalcolabili. Si potrebbe, ad esempio, dar vita a centri di competenza interni alle amministrazioni, in rete tra loro e con i centri di ricerca e le aziende. Centri di competenza in grado di formare, aumentare la resilienza delle organizzazioni, supportare adeguatamente gli enti nelle progettualità e nella loro realizzazione. Centri coordinati con i sistemi dei CERT che supervisionano e fronteggiano gli incidenti. Ad esempio SPID, da solo, può generare danni per molti soggetti pubblici e privati se non è adeguatamente reso sicuro in termini di tecnologie e processi. Non possiamo permetterlo. Non è nemmeno possibile pensare che basti scrivere sul capitolato la specifica di “sistema sicuro” e il fornitore se la cava da sé deresponsabilizzando la direzione. La sicurezza è troppo importante per essere delegata all’esterno.

La sicurezza vive di prescrizioni che debbono essere adottate presto e bene, prescrizioni che vengono dai sistemi internazionali e nazionali di contrasto ai crimini informatici. Questo tuttavia non basta, è necessario che nella PA si diffonda l’idea di anticipare ipotesi di incidente, i servizi immaginati debbono essere messi a confronto con ipotesi di reati, ipotesi di hacking, non ci si può fidare dell’assunzione che esista una tecnologia sicura. Bisogna abituarsi ad anticipare i problemi per non farci trovare impreparati, nessuna difesa sarà mai sicura e non è in grado di anticipare un attacco e si fa cogliere di sorpresa.

E’ necessario che si metta in gioco un po’ di creatività, di cui noi italiani facciamo un vanto, per immaginare possibilità ancora non esplorate di attacco. Anzi forse quest’ultimo tipo di attività è quella che potrebbe essere più promettente.

La PA digitale è dunque una enorme possibilità di costruire una società più semplice, più a misura di cittadino, in grado perfino di anticiparne i bisogni e soddisfarli. E’ necessario tuttavia che la politica, gli organi tecnici e l’apparato burocratico colgano la sfida di servizi sicuri e sempre disponibili. E’ necessario che venga superato l’atteggiamento diffuso nella PA di “deresponsabilizzarsi”, tutelare la propria carriera adempiendo ai passaggi formali prescritti senza assumersi al pieno la responsabilità di quello che accade.

Non avremo fatto abbastanza in termini di PA digitale se non avremo costruito architetture e soluzioni sicure, impenetrabili al crimine, rispettose della privacy in grado di tutelare la democrazia.