Processi, persone e tecnologie: le tre grandi sfide della sicurezza della PA

Rendere sicura la PA non e’ un problema semplice. Si tratta di un’infrastruttura molto grande e complessa quindi necessariamente difficile da gestire. Molti dei problemi della PA italiana sono comuni alle PA di altri paesi europei. E’ chiaro a tutti gli operatori del settore che la soluzione sta nell’integrazione virtuosa di tre componenti: processi, persone e tecnologie.

Partiamo dalle tecnologie. Abbiamo gia’ descritto in passato su questa rubrica come ci sia bisogno di soluzioni tecnologiche innovative per affrontare la nuova generazione di attacchi e minacce, come ad esempio gli attacchi Zero Day o le Advanced Persistent Threat (APT). Abbiamo sottolineato l’importanza di investire nella ricerca in Italia per poter progettare e produrre, e non solo usare, le soluzioni e le tecnologie di sicurezza del futuro. Trasformare una difficolta’ in un’opportunita’ anche dal punto di vista economico. Al momento, la situazione non e’ rassicurante perche’ aldila’ degli sporadici titoli di qualche giornale non si e’ visto molto in termini di investimenti e programmazione in questo senso. Comunque delle tre componenti, quella tecnologica e’ forse la sfida piu’ semplice da risolvere. Si tratta solo di avere la la volonta’ politica di farlo. Una volta fatti gli investimenti i risultati adeguati arriveranno. E’ successo cosi in passato, anche per altri settori tecnologici. Piu’ problematica e’ la componente del personale. Quello che spesso gli esperti di sicurezza definiscono l’elemento debole della catena della sicurezza: il fattore umano. Occore subito dire, che gli esperti di tecnologie spesso non aiutano, perche’ spesso non considerano affatto le esigenze e il contesto in cui operano gli utilizzatori finali e gli amministratori di queste soluzioni tecnologiche. Grandi passi in avanti devono essere fatti in questa direzione. Alcune discipline relativamente giovani, come interactive design, applicate a soluzioni di sicurezza e privacy destinate alla PA possono essere molto utili. Resta comunque la grande sfida di formare un grande numero di amministratori di sistema e responsabili della sicurezza per la PA. Un interessante articolo di Enrico Frumento evidenzia l’impatto e l’importanza del social engineering. Ci sono molti studi che mostrano che con lo sviluppo dei social media il social engineering e’ diventato un problema ancor maggiore di prima. Un attacco molto efficace a basso contenuto tecnologico. La raccolta e l’esfiltrazione di informazioni utili puo’ essere fatta senza neanche piu’ la “classica” telefonata per farsi poi rivelare in modo subdolo ad esempio password o indirizzo IP, ma semplicemente raccogliendo e correlando in modo automatico le informazioni che molti dipendenti della PA oggi publicano sui vari social media. Ovviamente la soluzione non e’ vietare l’uso dei social media ai dipendenti. Piuttosto occorre innalzare la loro consapevolezza media su temi di sicurezza e rendere naturali alcuni comportamenti prudenti (es. non rispondere a mail non sollecitate che chiedono informazioni) che rendono molto piu’ difficile il social engineering.

Affrontare la sfida del fattore umano richiede programmi a medio e breve termine di sensibilizzazione e promozione della sicurezza tra il personale della pubblica amministrazione. A lungo termine occorre introdurre materie come educazione alla sicurezza informatica (un po come c’era in tempi antichi educazione civica) a partire dalle scuole elementari. Interessanti sperimentazioni riguardanti la programmazione esistono gia’ (Programma il Futuro) si puo’ estenderle anche allo specifico problema della sicurezza digitale. Le soluzioni esistono e si conoscono. Anche per la seconda componente quindi si tratta di volontà politica e (grandi) investimenti. E veniamo ora alla terza componente quella dei processi. Questa e’ di gran lunga la componente piu’ importante. Si possono avere le migliori tecnologie e le persone piu’ competenti, ma se i processi sono tali da rendere il sistema opaco, confuso, disorganizzato allora e impossibile renderlo sicuro. Questa e’ la nota dolente e peculiare del sistema Italiano quando e’ confrontato con quello di altri paesi Europei. La capacita’ Italiana di rendere difficile e complicate anche le cose semplici oppure mantenere disorganizzate cose che senza organizzazione non potranno mai essere rese sicure e’ unica. Il risultato e’ un sistema iper-regolamentato con normative spesso in conflitto tra loro o che rimanda a leggi non ancora esistenti. Tipico e’ l’atteggiamento di aggiungere senza mai togliere, perche’ nel dubbio non si scontenta nessuno. Il risultato? Sistemi sempre piu’ complessi molto difficili da gestire, figurarsi renderli sicuri. Analizzando bene, quella dei processi e’ il vero anello debole della catena della sicurezza nella PA italiana. Una debolezza radicata nella cultura e nel modo di pensare a tutti i livelli e proprio per questo molto difficile da cambiare, indipendentemente dagli investimenti a disposizione. Un piccolo esempio concreto che riguarda una tematica recente, SPID. Come lo definisce il sito del governo: “la soluzione per accedere a tutti i servizi online della pubblica amministrazione e dei privati con un’unica Identità Digitale”.

Ai sensi dell’art. 64 e 65 del Codice dell’amministrazione digitale (D. Lgs. 82/2005), però i portali delle PA dovranno continuare a consentire l’accesso tramite CIE e CNS. Quindi tre sistemi di identità digitale “unica”. Lasciamo ai lettori immaginare le problematiche nel gestire in modo consistente e sicuro tre sistemi diversi, di fatto indipendenti, ma che dovrebbero risolvere lo stesso problema. Ovviamente qualcuno dirà e solo una fase transitoria. Si, tutto al mondo e’ transitorio.