Quando si leggono le notizie sui data breach in Italia, sorge la domanda in merito al livello di protezione delle pubbliche amministrazioni e delle aziende private. Il Ministro Colao, durante il XXV Congresso Nazionale di Acri ha fatto alcune dichiarazioni che dovrebbero far riflettere.
In Italia, secondo il Ministro Colao1, 26 milioni di cittadini dai 16 ai 74 anni non hanno competenze digitali di base. Di questi il 17% non ha mai utilizzato internet (si ricorda che il web esiste dal 1991), il Ministro dichiara inoltre che il 38% delle donne non ha competenze digitali di base. Si tratta di uno scenario piuttosto serio dal punto di vista tecnologico poiché l’intervallo di età preso in considerazione è ampio.
Questo scenario trova realtà nella moltitudine di attacchi che, praticamente ogni 2 giorni, colpiscono una realtà privata/pubblica del nostro Paese, al punto che anche i lettori degli editoriali si sono ormai abituati a considerare come fattore ordinario l’esfiltrazione di dati, piuttosto che l’indisponibilità di un servizio.
Il caso MITE
Sono in molti a considerare inaccettabile, ad esempio, che i servizi del MITE (Ministero per la Transizione Ecologica) siano stati indisponibili per diversi giorni, a causa di un attacco hacker di cui si è detto poco o nulla se non affermarne al serietà. C’è un interessante articolo di Arturo Di Corinto che spiega l’accaduto e che conferma, per molti versi, quanto scritto in testa all’articolo.
Alla fine il ministero per la Transizione ecologica (Mite) ha dovuto ammetterlo: è stato un attacco informatico a motivare la scelta di spegnere tutti i server e oscurare il sito web del dicastero, ormai al terzo giorno di inattività. […] Quello che sappiamo intanto è che il 23 marzo scorso il Cert-Agid, un tempo la squadra di pronto intervento per tutta l’informatica della Pubblica amministrazione, ha comunicato l’esistenza di una campagna di malspam, cioè email malevole i cui mittenti usano come esca il logo del Mite, e finti indirizzi del suo ufficio relazioni con il pubblico, per prendere all’amo chiunque ci caschi e riversargli nel computer il malware Ursnif. Siccome quasi tutti gli attacchi informatici iniziano settimane o mesi prima attraverso queste campagne di malspam, c’è stato chi ha ipotizzato che il pericolo rilevato dal Mite potesse essere legato proprio a questo trojan informatico.
Fonte: Repubblica (LINK)
Il MITE ha preferito isolare i sistemi adottando una misura drastica, criticata da molti sui social network. In informatica, la manovra di disconnessione ed isolamento dei sistemi, è prevista e attuabile per buonsenso in condizioni di estrema gravità perché, come è comprensibile, protegge in ultima istanza dati e infrastrutture. C’è a domandarsi, però, se questo caso specifico possa ritenersi un caso di “estrema gravità” e la domanda non è banale. L’articolo di Di Corinto è interessante soprattutto in questo senso, quando riporta che:
Se spegnere i computer è apparsa a molti esperti come una risposta improvvisata, in questo caso potrebbe essere stata la scelta più giusta da fare, consapevoli, come ha dichiarato il direttore dell’Agenzia nazionale per la cybersicurezza, Roberto Baldoni, della necessità di sanare, e presto, le vulnerabilità dei sistemi digitali della nostra pubblica amministrazione.
Fonte: IBIDEM
La misura di spegnimento prende rilevanza se consideriamo inesistenti (o quasi) le capacità difensive di un’infrastruttura. Non si parla solo delle tecnologie (di quelle ormai è logico pensare siano piene tutte le P.A.) ma di una corretta formazione del personale, di una capacità organizzativa adeguata, di procedure affidabili, del rispetto della normativa e, più in generale, di una cultura della sicurezza informatica che stenta ad essere presente tutt’ora in molte realtà (sia pubbliche che private).
Il caso del MITE è solo l’ultimo di una catena di incidenti, problemi, carenze, che si allunga mese dopo mese: possiamo citare il caso della Regione Lazio, quello della ULSS VI Euganea, quello dell’ASL 3 Napoli sud. In tal senso Baldoni ha ragione in merito alla necessità di sanare e presto le vulnerabilità dei sistemi digitali della nostra pubblica amministrazione. Resta ancora da capire quale orizzonte temporale abbia questo “e presto” considerando che la circolare 2/2017 di AgID, concernente le misure minime di sicurezza ICT per le P.A., sarebbe dovuta diventare di adozione obbligatoria il 31/12/2017.
Riferimenti
1 L’intervento è stato riportato sulla rivista Key4Biz in un articolo di L. Garofalo: https://www.key4biz.it/colao-26-milioni-di-italiani-senza-competenze-digitali-di-base/399225/
