Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Pubblica amministrazione

Per la sicurezza informatica non bastano i comitati

di Manlio Cammarata - 27.01.06

 
Si è svolta il 17 gennaio scorso a Roma la conferenza "La sicurezza ICT nella pubblica amministrazione: strategie ed azioni". Organizzata dal Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA) ha offerto un quadro d'insieme non entusiasmante, che in sostanza riproduce la situazione generale dell'uso delle tecnologie negli uffici pubblici: grande diffusione di PC accompagnata da scarsa consapevolezza dei problemi del loro impiego, qualche isola di eccellenza e molta strada ancora da fare nella maggior parte delle strutture.

E' quanto si deduce dall'intervento di apertura di Claudio Manganelli, componente del CNIPA e presidente del Comitato tecnico nazionale per la sicurezza ICT nella pubblica amministrazione, sorto nel 2003 per iniziativa congiunta dei ministri dell'innovazione e delle comunicazioni.
"Dai dati del CNIPA, relativi al 2004 e limitatamente alle amministrazioni centrali - ha detto Manganelli - "si ricava un insieme di informazioni sullo stato della loro sicurezza ICT: tema che è generalmente piuttosto avvertito ma, a fronte di una predisposizione in termini tecnologici relativamente elevata si pongono in evidenza lacune per gli aspetti organizzativi e per quelli attinenti alla pianificazione, alla formazione ed alla gestione".

"A tre anni dalla direttiva del gennaio 2002 - ha aggiunto il presidente del CTNSI - solo il 43% delle amministrazioni centrali dichiara di avere nominato un responsabile della sicurezza ICT; solo il 37% di avere definito formalmente una policy della sicurezza; solo il 53% di avere avviato un piano di formazione e sensibilizzazione; solo il 22% dichiara di disporre di un gruppo interno di gestione degli incidenti. E che vi siano ancora posizioni di retroguardia sulla materia 'sicurezza ICT' lo dimostrano i continui rinvii delle misure 'minime' di sicurezza per le pubbliche amministrazioni, previste dal 'Codice in materia di protezione dei dati personali' ".

Ma non 'è solo il Comitato nazionale per la sicurezza: per iniziativa dello stesso comitato, in seno al CNIPA è stato costituito un organismo che si chiama GovCERT e dovrebbe funzionare come i tanti CERT (Computer Emergency Response Team) sorti in tutto il mondo sulla falsariga del primo, nato nel 1998 presso la Carnegie Mellon University. In realtà la sigla nasconde una variazione sull'originale: la "R" non sta per Response, ma per Readiness. In buona sostanza si guarda più alla prevenzione che alla risposta all'emergenza. Il che pone seri interrogativi su chi-fa-cosa al momento in cui una situazione critica è in atto.

Dalla conferenza è emerso anche che la consapevolezza dei problemi non manca (si veda l'intervento di Carlo Sarzana di S. Ippolito, componente del CNTSI. Ma sembra che non ci sia un'efficiente catena di trasmissione che, oltre ai bollettini sulle minacce, diffonda capillarmente anche la "cultura della sicurezza" e le conoscenze tecniche indispensabili per realizzarla. E' significativo in questo senso il confronto tra la situazione italiana e quella tedesca, illustrata al convegno dal responsabile del Bundesamt für Sicherheit in der Informationstechnik (Ufficio federale per la sicurezza informatica): sorto nel 1991(!), conta oltre 450 dipendenti e ha un bilancio di quasi 52 milioni di euro (vedi la relazione di Udo Helmbrecht).

Un altro relatore straniero ha detto cose molto interessanti: il professor Edward Luttwak, consulente del governo statunitense, noto anche al pubblico televisivo italiano. Luttwak ha tracciato un quadro drammatico della visione americana della sicurezza dopo l'11 settembre 2001, con problemi dei quali si avvertono gli echi anche da noi (per esempio, la questione delle intercettazioni autorizzate dal presidente Bush in barba a tutte le - già scarse - garanzie per la vita privata dei cittadini). Su questo argomento è intervenuto anche il Garante italiano, Francesco Pizzetti, che però ha si è limitato a considerazioni troppo generiche per la delicatezza della materia.

Il professore americano ha trattato temi di attualità anche in Italia, come quello della carta d'identità: negli USA non esiste e, come in Gran Bretagna, ci sono fortissime resistenze alla sua introduzione, appunto in nome della privacy: è nella cultura del Paese, ha detto Luttwak, il diritto del cittadino di mantenere nascosta la propria identità o addirittura di cambiarla.
Sicché, è la nostra conclusione, gli americani impongono all'Europa quello che non riescono a imporre a casa propria, per esempio il passaporto "biometrico", che in Italia dovrebbe essere adottato a partire dagli ultimi mesi dell'anno.

Il problema del passaporto biometrico è simile a quello della carta d'identità elettronica (vedi sul numero scorso Carta vince, carta perde: chi vince nel gioco della CIE?), con la differenza che il passaporto sfrutta adotta la più recente tecnologia RFID al posto della banda ottica: comunque costi altissimi in nome di un'altissima sicurezza... teorica. Perché, come spiegava Paolo Attivissimo quasi due anni fa su Apogeo on line, in troppi casi alla "catena della sicurezza" possono mancare alcune maglie e si possono avere documenti autentici, che attestano ufficialmente e senza incertezze una falsa identità.

E così si ritorna al tema di fondo delle tante misure che limitano la libertà dei cittadini onesti senza provocare serie difficoltà ai malintenzionati, che possono sempre trovare il "buco nella rete" attraverso il quale passare senza lasciare tracce (se ne parla dai giorni che seguirono gli attentati dell'11 settembre - vedi Ora è a rischio la libertà della Rete e negli ultimi mesi Libertà e sicurezza: un binomio impossibile? e gli articoli successivi sulla "legge Pisanu").

Da tutto questo si può ricavare la sensazione che ottenere un ragionevole livello di sicurezza pubblica - non solo sul piano dell'uso delle tecnologie - costituisca una specie di quadratura del cerchio. In realtà, come tutti dovrebbero sapere, la sicurezza assoluta non esiste e i tentativi di raggiungerla hanno un costo spropositato. E non solo in termini strettamente economici.
Dunque sarebbe necessario un approccio realistico, meno viziato da illusioni poliziesche di controllo globale, ma fondato su una corretta valutazione dei rischi e sulla disponibilità dei mezzi per combatterli (e qui vale ancora l'esempio della Germania).

Non bastano, come in Italia, un po' di comitati, sia pure composti da persone di grande competenza, che tutt'al più possono produrre qualche elegante brochure. Il risultato finale non può essere che una sicurezza "sulla carta", che ben si può definire "sicurezza di carta" (vedi Sicurezza reale e sicurezza di carta di Andrea Monti, a proposito dei "bug" dei sistemi di firma digitale).
Che è come la sicurezza richiesta ai comuni dal Ministero dell'interno per l'emissione delle carte d'identità elettroniche, che in molti casi si risolve nella compilazione di un modulo predisposto dallo stesso ministero.
Ci vuole ben altro.
 

 

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2006  Informazioni sul copyright