Come formare la PA alla sicurezza: i primi passi da fare
Per sviluppare una politica di sicurezza, bisogna cominciare dalla definizione delle autorizzazioni che disciplinano l’uso dei beni. Tale definizione può avvenire attraverso quattro fasi
10 Maggio 2016
Michele Iaselli, Ministero della Difesa e docente di informatica giuridica presso la LUISS
In una pubblica amministrazione digitalizzata è chiaro che la sicurezza informatica rappresenta l’aspetto di primaria importanza e di conseguenza non si può assolutamente prescindere da una specifica alfabetizzazione dei dipendenti pubblici in tale settore che, sebbene disciplinata e prevista dall’art. 13 dell’attuale Codice dell’Amministrazione Digitale ed anche dal relativo progetto di riforma, continua ad essere uno dei nodi più critici del settore pubblico.
Come è noto la sicurezza nell’informatica equivale ad attuare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati (intenzionali o meno), per garantirne la riservatezza, nonché eventuali usi illeciti, dalla divulgazione, modifica e distruzione.
Si include, quindi, la sicurezza del cuore del sistema informativo, cioè il centro elettronico dell’elaboratore stesso, dei programmi, dei dati e degli archivi. Questi problemi di sicurezza sono stati presenti sin dall’inizio della storia dell’informatica, ma hanno assunto dimensione e complessità crescenti in relazione alla diffusione e agli sviluppi tecnici più recenti dell’elaborazione dati; in particolare per quanto riguarda i data base, la trasmissione dati e l’elaborazione a distanza (informatica distribuita). In particolare non è da sottovalutare il rischio cui può andare incontro il trasferimento elettronico dei fondi tra banche oppure il trasferimento da uno Stato all’altro di intere basi di dati reso possibile dai moderni sistemi di trasmissione telematica.
Riguardo l’aspetto “sicurezza” connesso alla rete telematica essa può essere considerata una disciplina mediante la quale ogni organizzazione che possiede un insieme di beni, cerca di proteggerne il valore adottando misure che contrastino il verificarsi di eventi accidentali o intenzionali che possano produrre un danneggiamento parziale o totale dei beni stessi o una violazione dei diritti ad essi associati. Un bene può essere un’informazione, un servizio, una risorsa hardware o software e può avere diversi modi possibili di interazione con un soggetto (persona o processo). Se, ad esempio, il bene è un’informazione, ha senso considerare la lettura e la scrittura (intesa anche come modifica e cancellazione); se invece il bene è un servizio, l’interazione consiste nella fruizione delle funzioni offerte dal servizio stesso.
Naturalmente è chiaro che in un sistema complesso nel quale interagiscono più soggetti, la sicurezza potrà essere garantita solo se:
- le azioni lecite che ciascun soggetto può eseguire interagendo con i beni cui può accedere tramite la rete, saranno correttamente individuate e definite;
- il sistema verrà definito in tutti i suoi aspetti (tecnici, procedurali, organizzativi, ecc.), in modo tale che le possibili azioni illecite, eventualmente attuate sia da parte di estranei che di utenti della rete, siano contrastate con un’efficacia tanto maggiore quanto più elevati sono i danni conseguenti all’azione illecita considerata.
Il soddisfacimento delle due condizioni richiede lo sviluppo di una politica di sicurezza nell’ambito della quale:
- venga scelto, con il criterio del minimo danno per un ente, l’insieme delle autorizzazioni che specificano i modi di interazione leciti di ogni soggetto con i beni cui si può accedere tramite la rete;
- vengano selezionate, applicando al sistema una metodologia di analisi e gestione dei rischi, le contromisure di tipo tecnico, logico (dette anche funzioni di sicurezza), fisico, procedurale e sul personale che permettano di ridurre a livelli accettabili il rischio residuo globale.
Per questi motivi, quindi, è necessario che nell’ambito della pubblica amministrazione si preveda una seria pianificazione di corsi di formazione sulla sicurezza sia per coloro che si occuperanno prevalentemente di questa materia sia per tutti i dipendenti in quanto diventa indispensabile che nasca in ognuno una vera e propria coscienza della sicurezza. In caso contrario anche l’ente più “blindato” da un punto di vista tecnico rischierebbe di trovarsi inevitabilmente violato da criminali informatici che abbiano un minimo di competenze in social engineering o ingegneria sociale che consiste nell’analisi del comportamento di una persona al fine di ottenere le informazioni desiderate.
L’ingegnere sociale, colui che conduce l’attacco, è, spesso, una persona curiosa che, con dolo e inganno, riesce a procurarsi tutte le informazioni, dati e notizie che con la sua reale identità non potrebbe mai acquisire.
La conoscenza del carattere o meglio della personalità dell’altro che l’ingegnere sociale individua, analizza e studia durante l’interazione con la vittima diventa uno strumento in più nel costruire l’attacco vero e proprio.
Le vittime sono completamente ignare del fatto di esser state ingannate ed inconsapevolmente continuano ad aiutare e a collaborare con la stessa persona che in verità le sta abbindolando ed è proprio per questo motivo che un dipendente della P.A. deve essere preparato e pronto ad affrontare ed evitare queste insidie.
Il primo passo per lo sviluppo di una politica di sicurezza è la definizione delle autorizzazioni che disciplinano l’uso dei beni. Tale definizione può avvenire attraverso le seguenti fasi:
- identificazione dei beni;
- quantificazione del valore dei beni;
- classificazione dei soggetti dal punto di vista dell’affidabilità;
- applicazione di predefinite regole di autorizzazione.
L’organizzazione, per decidere quali autorizzazioni concedere ad un prefissato soggetto, dovrà valutare, per ogni bene e per ogni tipo di interazione con esso, quali eventuali danni possano derivare dalla concessione o dalla negazione della corrispondente autorizzazione. L’entità di tali danni potrebbe essere allora utilizzata per definire i valori del bene relativi al particolare tipo di interazione da parte del soggetto considerato.
L’insieme delle autorizzazioni può essere anche definito come l’insieme degli obiettivi di sicurezza per il sistema funzionante in accordo con la politica di sicurezza stessa. Gli obiettivi di sicurezza vengono generalmente definiti come requisiti di riservatezza (prevenzione dell’utilizzo indebito di informazioni riservate), integrità (prevenzione dell’alterazione o manipolazione indebita di informazioni) e disponibilità (prevenzione dell’occultamento o dell’impossibilità di accesso a dati o risorse necessarie alla conduzione dell’attività) espressi con riferimento ai beni da proteggere.
Ovviamente, un sistema ideale dal punto di vista della sicurezza non esiste. Un sistema reale può però essere dotato di contromisure che rendano molto difficile il verificarsi di eventi non compatibili con il rispetto delle autorizzazioni.
La prima di queste contromisure è proprio un’adeguata preparazione in materia di tutti i dipendenti della P.A. dove ormai l’informatizzazione e la digitalizzazione diventano sempre più parte integrante della quotidiana attività lavorativa.