LA SICUREZZA ICT
PA: il sistema informatico è a rischio di pandemia a causa dei ritardi
La sicurezza ICT nella Pubblica Amministrazione sta diventando una tematica cardine nel panorama dell’innovazione, dal momento che i progetti di e-Government nazionale e locale divengono sempre più operativi e che il numero di servizi on line, così come il livello di fruizione telematico da parte di cittadini ed imprese, cresce giorno per giorno.
Dal 2002 il coordinamento delle attività in tale campo è affidato al Comitato Tecnico Nazionale sulla Sicurezza Informatica, la cui presidenza è affidata al CNIPA (che ha costituito al proprio interno l’unità GovCERT, per la prevenzione e la gestione degli attacchi informatici).
In questo quadro, il CNIPA si sta muovendo con decisione ed efficacia; si sta infatti realizzando il Sistema Pubblico di Connettività-SPC, con servizi di comunicazione e di interoperabilità, che si avvale di reti internet ‘dedicate’ alla PA, che poggia su strutture di rete di concezione moderna, caratterizzate da prestazioni eccellenti ed elevati livelli di sicurezza, tali da collocarlo all’avanguardia in Europa. Ciò permetterà di semplificare e velocizzare l’intera PA, centrale, regionale e locale, con la circolarità dell’informazione e dei dati tra i diversi livelli di governo e l’accesso a tutti i servizi erogati, indipendentemente dall’ubicazione geografica del cittadino.
Nell’ambito del Convegno su “La sicurezza ICT nella PA: strategie e azioni”, tenutosi a Roma il 17 Gennaio, sono state infatti presentate le attività del "Comitato tecnico nazionale per la sicurezza ICT" e si è cercato di fornire, grazie all’intervento del Ministro delle Comunicazioni, Mario Landolfi, e di rappresentanti delle istituzioni, nonché di esperti italiani e stranieri, una panoramica di esperienze sulla sicurezza ICT nella PA.
Claudio Manganelli, presidente del Comitato Tecnico Nazionale sulla Sicurezza Informatica nella PA, delineando lo scenario nazionale, ha rilevato numerosi problemi, soprattutto per ragioni culturali e finanziarie. “Dai dati del CNIPA, relativi al 2004 e limitatamente alle Amministrazioni Centrali” – dice lo stesso C. Manganelli - “si ricava un insieme di informazioni sullo stato della loro sicurezza ICT: tema che è generalmente piuttosto avvertito ma, a fronte di una predisposizione in termini tecnologici relativamente elevata (le PAC che dichiarano di disporre di sistemi antivirus sono il 96% e quelle che dichiarano di disporre di sistemi di firewalling sono l’86%), si pongono in evidenza lacune per gli aspetti organizzativi e per quelli attinenti alla pianificazione, alla formazione ed alla gestione”.
Le preoccupazioni espresse da C. Manganelli sono supportate da dati allarmanti: a quattro anni dalla Direttiva del 16 gennaio 2002 del Ministro Stanca, solo il 43% delle Amministrazioni Centrali dichiara di avere nominato un responsabile della sicurezza ICT; solo il 37% di aver definito formalmente una policy della sicurezza; solo il 53% di avere avviato un piano di formazione e sensibilizzazione; solo il 22% dichiara di disporre di un gruppo interno di gestione degli incidenti.
Tutto ciò si traduce in sistemi informativi pericolosamente vulnerabili, con pesanti conseguenze sulla privacy e sui bilanci (un attacco informatico a un comune di 50.000 abitanti produce danni per 30.000 euro al giorno). Le falle sono le stesse cui sono esposti i comuni utenti: virus, cavalli di Troia, phishing e così via, che in ambito pubblico sono talmente diffusi da costituire secondo il Centro Nazionale una vera e propria pandemia di infezioni digitali.
Durante il Convegno si è anche fatto riferimento agli aspetti organizzativi della Sicurezza ICT e in particolare al Piano Nazionale e al Modello Organizzativo per la Sicurezza nelle PA. Gli elementi più significativi emergenti da questi elaborati riguardano la necessità di un programma di informazione e sensibilizzazione rivolto all’intera comunità sulla sicurezza informatica e nelle comunicazioni, il potenziamento delle strutture di prevenzione e gestione degli incidenti informatici e delle reti, la standardizzazione e la promozione di attività di certificazione per la sicurezza ICT, la necessità di specifiche iniziative giuridiche dirette a dare vigore normativo ai Piani e Modelli di sicurezza e di un organismo di vertice che coordini tutte le attività nel settore.
Tale processo di riorganizzazione presuppone, indubbiamente, l’esigenza di maggiori investimenti nella sicurezza ICT. Il problema delle risorse è evidente! La spesa in sicurezza ICT è pari solo all’1,5% di quella complessiva, mentre dovrebbe spingersi sino al 3% della spesa globale ICT per quelle amministrazioni che hanno già un adeguato livello di conoscenza e organizzazione sulla materia e quindi ben oltre tale percentuale per quelle che si trovano ancora in posizioni di retroguardia. Alla luce di questo limite, risulta evidente l’urgenza di introdurre, nella PA e nelle leggi finanziarie, l’abitudine ad esporre previsioni di spesa congrue a tutelare l’efficienza e l’efficacia degli investimenti in tecnologia.
In conclusione, si può affermare che, per colmare le evidenti lacune e recuperare il pericoloso ritardo determinato da un’inadeguata cultura e dalla carenza di risorse, occorre modificare la concezione di “sicurezza ICT”, avviando un’azione concreta di promozione della “cultura della sicurezza” e di sensibilizzazione dei “decision makers” in ordine ai problemi affrontati. E’ opportuno che la sicurezza informatica nella pubblica amministrazione non venga intesa solo come “problema strategico”, in quanto premessa a una Società dell’Informazione produttiva e competitiva, ma anche come “problema di governo”, in quanto in questa fase di sviluppo deve essere il governo la forza che promuove e incentiva la sicurezza ICT e non solo a livello di PA.