Una strategia corale cercasi, per la sicurezza informatica della PA
22 Settembre 2015
Carlo Mochi Sismondi
Il patrimonio informativo ed i servizi che a partire da esso vengono erogati, rendono la Pubblica Amministrazione una vera e propria infrastruttura critica della quale occorre assicurare la sicurezza ICT, la continuità operativa e la resistenza ai disastri. Per questo il Progetto di Digital Security per la PA è parte integrante del Piano per la Crescita Digitale approvato dal Consiglio dei Ministri lo scorso marzo. Esso nasce per aumentare il livello di sicurezza delle informazioni e delle infrastrutture che le gestiscono con il fine ultimo di tutelarne la privacy, l’integrità e la disponibilità.
Come è stato evidenziato dal Rapporto CIS 2014 sulla sicurezza cibernetica della PA, l’esigenza è, in primo luogo, la costituzione, all’interno delle pubbliche amministrazioni centrali e locali, di una organizzazione in grado di gestire la sicurezza delle informazioni assicurando un’adeguata capacità di prevenzione e risposta agli eventi avversi.
A fronte di questo impegno ancora numerose sono le criticità: in primis una scarsa consapevolezza del rischio da parte della dirigenza pubblica che sconta un pesante deficit di competenze digitali, è necessaria quindi un’importante azione di formazione che coinvolga anche i livelli apicali delle amministrazioni. Per avere sistemi informativi e dati sicuri è poi necessario ridurre la superficie di attacco con una pesante razionalizzazione delle infrastrutture: migliaia e migliaia di piccoli datacenter, spesso non compliant con le più elementari condizioni di sicurezza, sono potenziali porte aperte e non controllate per incursioni che, proprio perché la PA tende giustamente ad essere tutta interconnessa, potrebbero avere pesanti ripercussioni sull’intero sistema.
La cultura della sicurezza richiede poi tecnologie sofisticate e esperti di alto livello che in Italia scarseggiano e che, quando ci sono, sono risorse non condivise tra amministrazioni. Così come non sono diffuse né le migliori pratiche né gli esempi di fallimenti ed errori, così preziosi per imparare.
Queste criticità possono e devono essere superate e ciascuno degli attori è chiamato a fare la sua parte. Il tavolo di lavoro del cantiere “sicurezza digitale” si propone di raccomandare, con una puntuale disanima delle condizioni di fattibilità:
- alle amministrazioni di aggregarsi , collaborare ed organizzare servizi condivisi in modo da ridurre le superfici attaccabili e condividere gli strumenti di difesa; inoltre di diffondere le migliori pratiche, ma anche di non nascondere errori e incidenti anche critici perché sono fonte preziosa d’insegnamento;
- ai cittadini (organizzazioni community , studenti, uffici postali, comuni) di partecipare attivamente alla sicurezza innanzi tutto costruendo le condizioni della consapevolezza del rischio;
- al governo di considerare l’infrastruttura informatica alla stregua di un asset strategico nazionale e di una vera infrastruttura critica;
- alle Regioni di continuare nel processo di aggregazione delle infrastrutture nei confronti degli enti locali;
- alle Università e Aziende di utilizzare al meglio i centri di eccellenza esistenti e di connetterli tra di loro , con il mondo PA e con le aziende;
- infine ai dirigenti di convincersi che applicare policy di sicurezza non significa peggiorare la qualità dei servizi .