La Pubblica Amministrazione è la principale azienda italiana ed è la spina dorsale del sistema Paese. La rivista ICT Security dedica un lungo articolo sullo stato della sicurezza ICT. Nella sezione download è disponibile la scansione in PDF dell'articolo segnalato completo di grafici e tabelle. Di seguito si riporta, invece, il solo testo.

[tratto da ICT Security del Maggio 2009] "La Pubblica Amministrazione è la principale azienda italiana e dà lavoro a 3 milioni 563 mila persone. Ma, soprattutto, è la spina dorsale di tutto il Sistema Paese. La sua funzionalità o, come si continua a verificare, la sua persistente inefficienza si riverberano a raggiera dalle Alpi alle Madonie, come un “effetto domino” che travolge non solo l’apparato pubblico, centrale e locale, ma anche cittadini e imprese, stimolando o minando la redditività delle loro risorse, la produttività, la capacità e voglia di fare intrapresa. Insomma, la sua efficienza può agevolare o ridurre la stessa competitività dell’Azienda Italia.
La Commissione Europea ha stimato che per l’Italia i costi amministrativi che gravano sulle imprese sono pari al 4,6% del Pil. Se solo si riducesse del 25% tale incidenza, l’impatto complessivo di Pil sarebbe di circa 75 miliardi di €!!
Le nuove tecnologie digitali hanno portato un notevole contributo di positività ed efficacia, anche se molto resta ancora da fare proprio sul fronte della cultura dell’innovazione nel back-office e nel front-office. L’ICT ha però anche aumentato l’interdipendenza dei sistemi, la loro interconnessione e, contestualmente, la loro fragilità. Con il rischio di accentuare le varie vulnerabilità e di trasferire istantaneamente ogni piccolo o grande incidente o attacco dal sistema informatico di una a quelli delle altre amministrazioni. Con conseguenze facilmente immaginabili.
Un grosso argine è stato sicuramente posto con la nascita del Sistema Pubblico di Connettività, l’SPC, voluto dall’allora ministro per l’Innovazione e Tecnologie, Lucio Stanca, e progettato e realizzato dal CNIPA (Centro Nazionale per l’Informatica per la Pubblica Amministrazione) con modelli organizzativi innovativi, anche in termini di apertura del mercato. Operativo dal novembre 2007, SPC è ormai divenuto una vera e propria “Rete Federale” in seguito all’adesione di Regioni e di enti locali. E gode del continuo monitoraggio del CERT-SPC (Computer Emergency Response Team), una struttura attiva presso il CNIPA che vigila e coordina la sicurezza informatica sul modello consolidato a livello internazionale del GOV-CERT.
Ma i sofisticati sistemi di monitoraggio, filtraggio e i firewall adottati, nonchè l’organizzazione in ogni amministrazione di Unità di Sicurezza Locale in grado di trasferire immediatamente gli allarmi e i rimedi per proteggere questa mega intranet della PA italiana (la più grande infrastruttura pubblica in Europa), non bastano per superare i problemi propri di ogni sistema informatico complesso.
Insomma, si pone una non banale questione di homeland security.
Per questo periodicamente il CNIPA compie un accurato monitoraggio dello stato della sicurezza dell’ICT della Pubblica amministrazione centrale (PAC). Una radiografia, fondamentale e utile per capire quali sono le luci e le ombre del sistema, ossia le aree di fragilità e, di conseguenza, quali terapie si devono adottare per garantirne la massima efficienza e sicurezza.
Prima di entrare nel dettaglio dell’analisi, va fatta una premessa quasi sociologica, non certo tecnologica: l’Italia è il Paese delle inaugurazioni, non delle manutenzioni! E la conseguenza di questa mancata cultura della prevenzione è una continua rincorsa a sanare i danni della mancata programmazione degli interventi. Una considerazione che non viene smentita dal «Secondo rapporto sulla stato della sicurezza ICT delle Pubbliche Amministrazioni Centrali», che il CNIPA ha diffuso solo tra gli addetti ai lavori.
Elaborato sulla base di un sofisticato questionario tecnico (55 domande), il rapporto pone in evidenza «un quadro della sicurezza ICT nella PAC abbastanza confortante e sicuramente sufficientemente maturo per recepire ogni indicazione per migliorare gli standard attuali scaturita da iniziative del CNIPA». Un modo elegante per dire che gli strumenti ci sono e le informazioni su quello a che va fatto sono circolate, sono state recepite, ma sottovalutate e non ancora completamente applicate.
E si precisa che, «rispetto alle rilevazioni precedenti il miglioramento è stato netto, anche in virtù di iniziative promosse centralmente, come il progetto SPC-Sistema Pubblico di Connettività, entrato nella fase piena di esercizio».
Stando sempre alla sintesi del check-up emerge, in sostanza, «la mancanza di piani di formazione per la sensibilizzazione dei dipendenti» delle stesse amministrazioni. Da questo derivano molti dei comportamenti errati rilevati. E pure una lampante dicotomia: mentre la normativa sul trattamento dei dati sensibili «è stata largamente recepita anche con risultati oltre le aspettative», il tema della sicurezza ICT «ancora stenta a trovare stabili radici nei responsabili della PA», nonostante che una banale intrusione in un sistema informativo pubblico possa mettere a repentaglio una immensa quantità di dati sensibili.

Per questo gli esperti del CNIPA che hanno redatto il Rapporto suggeriscono di «forzare l’adozione di policy, anche attraverso un opportuno quadro normativo, in grado di stimolare maggiore attenzione nei confronti della sicurezza legando in maniera indissolubile il trattamento dei dati sensibili e la sicurezza dell’intero sistema informativo». Come pure rilevano che «ogni Nazione dovrebbe dotarsi di un organismo centrale in grado di garantire un approccio comune al problema della sicurezza e dell’evoluzione dei sistemi informativi nella PA, un’agenzia capace di predisporre soluzioni già testate e collaudate prima che il problema emerga».
Il modello è il Federal Office for Information Security (BSI) della Germania, che centralizza forti competenze sul tema della sicurezza, mettendole a fattor comune per tutte le strutture pubbliche governative e non, guidando così i processi di innovazione senza introdurre debolezze o rischi non calcolati.
E si ammonisce: «più si evolvono i sistemi informativi in uso, più si accentua la dipendenza da questi. All’aumentare di questa dipendenza cresce in maniera esponenziale la criticità degli stessi sistemi e, quindi, il problema Sicurezza ICT». In effetti, «disporre di un modello comune per la sicurezza consente anche un puntuale monitoraggio dell’utenza che, attraverso le rivelazioni annuali, potrà ricevere indicazioni precise sui risultati dei progetti interni applicando eventuali misure correttive in grado di correggere tempestivamente eventuali scostamenti dal modello atteso».

Il CNIPA, che con le ultime leggi finanziarie ha subito tagli non banali alle risorse di funzionamento (mentre sarebbe opportuno aumentare le dotazioni per valorizzarne ruolo e centralità sul fronte dell’ICT), nel Rapporto ha garbatamente fatto arrivare un velato messaggio non solo al ministro di riferimento, Renato Brunetta, ma a chi tiene i cordoni della borsa, ossia Giulio Tremonti: «centralizzando gli sforzi sarebbe possibile anche produrre grosse economie di scala». Come dire che per seguire la strada della maggior efficienza e sicurezza della ‘spina dorsale’ del Sistema Paese, ottenendo al tempo stesso gli agognati risparmi strutturali che si ripercuotono positivamente negli anni, non si possono tarpare le ali proprio all’organismo che ha come missione la promozione, la progettazione e l’organizzazione della modernizzazione digitale della Pubblica amministrazione. Eppure questo vistoso non-senso si sta ripetendo da qualche anno e di tale contraddizione ne subisce le conseguenze negative anche la sicurezza dell’ICT nella PAC.
Vediamo innanzitutto le questioni essenziali che vengono poste dal «Secondo rapporto sulla stato della sicurezza ICT delle Pubbliche Amministrazioni Centrali».
Il 33,9% delle PAC ha un budget per la sicurezza, ma nessuna vi dedica più del 10% del bilancio complessivo ICT. Un dato che la dice lunga sul percorso culturale da compiere non solo nei confronti dei responsabili ICT della stessa PAC, ma del Governo.
Il Rapporto segnala che si usano i sistemi di backup, ma solo il 57% prevede un responsabile e gestisce le politiche con procedure documentate. Buona la diffusione e l’impiego (77%) dei sistemi di identificazione del personale che accede alle aree ICT e migliore (83%) è la sicurezza perimetrale. Quasi al 100% la diffusione di firewall e su livelli elevati l’impiego di sistemi centralizzati di salvataggio di informazioni critiche, indispensabili per alimentare i sistemi di rilevazione e prevenzione delle intrusioni. Buona la diffusione (quasi al 77%) di antivirus centralizzati o di filtri sulla posta elettronica.

In sostanza «le criticità convergono verso tre linee di attività da intraprendere con particolare urgenza»: 1) definizione di un piano di formazione dedicato alla sicurezza ICT con un occhio alla continuità operativa; 2) attivazione di procedure di “penetration test” standard che valutino oggettivamente il rischio di intrusione nei sistemi; 3) centralizzazione di competenze per la gestione degli incidenti e la raccolta delle statistiche reali.
Infine, un monito sul crescente ricorso all’outsourcing: «Risulta chiaro che prima ancora di esternalizzare un servizio così cruciale come al gestione della sicurezza ICT è indispensabile che la PA possegga forti competenze per gestire il rapporto con l’outsourcer in modo appropriato». Il CNIPA perciò avvierà attività di formazione per garantire un livello comune di requisiti minimi per la negoziazione dei contratti.
Entriamo nel complesso elaborato del «Secondo rapporto sulla stato della sicurezza ICT delle Pubbliche Amministrazioni Centrali», basato su un questionario che «discende in maniera diretta dal modello comune per la sicurezza che il CNIPA ha definito ed affinato negli anni per offrire un riferimento comune a tutte le Amministrazioni della PAC, stabilite nel tempo, in modo tale da poter monitorare i risultati degli sforzi e dei progetti condotti dalle Amministrazioni rispetto al tema della Sicurezza ICT. Questo indispensabile sforzo, purtroppo, risulta ancora non uniforme all’interno della PAC anche perché, a meno di alcune indicazioni spesso troppo generiche, manca ancora un preciso riferimento normativo».

La rilevazione del CNIPA poggia e investiga sull’analisi di quattro indicatori: 1) la sicurezza logica, legata alle scelte passate o future di prodotti software ed hardware atti alla messa in opera della sicurezza ICT; 2) la sicurezza dell’infrastruttura, legata alla robustezza fisica della rete ICT e alla presenza di possibili anomalie sintomo di vulnerabilità interne e delle connessioni esterne; 3) la sicurezza dei servizi, legata alla robustezza e presenza di anomalie e vulnerabilità introdotte nella rete da alcuni servizi on-line, quali la posta elettronica e l’accesso web, e relative contromisure; 4) la sicurezza dell’organizzazione, legata alla corretta applicazione della direttiva del 16 gennaio 2002 “Sicurezza informatica e delle telecomunicazioni nelle PA statali”, e del “Modello organizzativo nazionale di sicurezza ICT per la Pubblica Amministrazione”.

Nello specifico, l’indicatore relativo alla «sicurezza logica» ha ottenuto un risultato complessivo più che soddisfacente sia nella amministrazioni grandi, sia in quella medie che in quelle piccole. Ma si sono rilevate criticità sull’importanza che le Amministrazioni attribuiscono alle certificazioni per la sicurezza, sia dei prodotti che delle società dei servizi. Anche se, a proposito di queste ultime, manca una normativa che prescriva l’adozione di certificazioni da parte delle società fornitrici.
Per quanto concerne le modalità con cui vengono protetti i dati memorizzati su supporti mobili o computer portatili, una volta superato il limite fisico della propria sede di lavoro, dall’indagine è emerso che molto spesso che i pc contenenti dati riservati o comunque critici per la amministrazioni sono stati dimenticati in taxi o rubati all’aeroporto. Questo ha posto in evidenza che ogni amministrazione deve regolamentare le dotazioni minime delle postazioni mobili definendo policy in base alle quali se è previsto che tali strumenti siano portati all’esterno, i loro contenuti debbano essere memorizzati sempre in forma cifrata. Così se eventualmente dovessero finire in mano a male intenzionati, i dati risulterebbero almeno inutilizzabili.

Un peggioramento, rispetto al questionario precedente, è scaturito pure sulla sensibilità delle strutture informatiche nel mantenere le postazioni di lavoro sempre aggiornate e, quindi, maggiormente protette relativamente sia al sistema operativo che agli applicativi utilizzati. Da qui l’auspicio di un sistema totalmente automatizzato per la distribuzione e verifica della corretta installazione degli aggiornamenti.
Molto meglio va sul fronte dell’adozione dei sistemi di back-up e dell’adeguata custodia dei relativi sistemi (registrazione in forma cifrata, deposito in armadi ignifughi e blindati): oltre il 73% delle amministrazioni intervistate utilizza accorgimenti in tal senso.
Infine, la stragrande maggioranza delle amministrazioni oggetto del questionario del CNIPA usano sistemi di autenticazione deboli, ossia basati su userID e password, pur adottando in generale tutte le precauzioni per irrobustire tale sistema.

Per fortuna che il progetto SPC del CNIPA prevede specificatamente tra i “Servizi di interoperabilità evoluta e cooperazione applicativa” a fornitura di sistemi avanzati di identificazione/autenticazione basati sull’uso combinato di sistemi biometrici e smart card, che saranno tra l’altro in grado di ‘federare’ le varie autorità ed i domini amministrativi, divenendo così strumento abilitante per tutti i servizi di cooperazione applicativa tra Pubblica amministrazione.
Per il capitolo «sicurezza dell’infrastruttura», i risultati sono in linea con quelli del sondaggio precedente. In particolare le amministrazioni tendono a prestare maggior attenzione ai dispositivi fisici per la sicurezza (perimetrali, controllo accessi, ecc.), mentre solo il 42,6% delle amministrazioni utilizza sistemi di videosorveglianza per l’accesso ai locali critici con registrazione h24 delle riprese.

Ma grazie al decollo di SPC è atteso un miglioramento dei sistemi di connessione alla rete pubblica producendo un livellamento verso l’alto dei servizi di connettività, includendo tra questi anche servizi professionali per la configurazione e la definizione di policy interne. Altro aspetto significativo della sicurezza della infrastruttura è quello delle reti wireless, in ampia diffusione ma ancora una volta senza specifiche norme di riferimento o indicazioni sul loro corretto utilizzo. Insomma, afferma il Rapporto, non viene dedicata abbastanza attenzione a questo tema da parte delle Amministrazioni che decidono di installare una o più reti wireless. Il 45% di quelle che utilizzano reti Wi-Fi ha configurato correttamente il sistema di protezione dei dati scambiati in etere impiegando l’unico standard che garantisce un livello adeguato (WPA o meglio ancora WPA2).
Sono di più le amministrazioni che usano standard WEP che, secondo gli esperti del CNIPA, negli anni si è rivelato estremamente debole e fragile da aggirare. Da questo deriva l’esigenza di una campagna di formazione mirata a fornire indicazioni precise sulle debolezze di questi sistemi e sulle contromisure che devono essere messe in atto per evitare di introdurre punti deboli nell’intero sistema. Inoltre, continua ad essere debole l’adozione di sistemi di rilevazione e prevenzione delle intrusioni.
Anzi, si è rilevato un valore appena sufficiente, ancora inferiore alle aspettative. In sostanza solo il 60,7% delle amministrazioni ha già adottato tali tecnologie per la sicurezza interna della rete.
Ma accanto alle ombre ci sono anche luci sul fronte della sicurezza della infrastruttura. Tra i dati positivi, in netto miglioramento rispetto agli anni precedenti, c’è un netto aumento degli accessi dall’esterno attraverso VPN, denotando maggior consapevolezza ed attenzione da parte di tutte le amministrazioni, comprese quelle di piccole dimensioni.
Ora vediamo qual è la situazione per quanto attiene alla «sicurezza dei servizi», ossia la robustezza dei servizi offerti. Mentre le grandi amministrazioni (ad esempio gli enti previdenziali) hanno già investito sulla continuità operativa per garantire servizi affidabili e stabili nel tempo, quelle piccole investono anche in virtù della tipologia dei servizi offerti.
Approfondendo il rapporto, si hanno risultati peggiori e ben al di sotto della soglia di criticità sul fronte della Continuità Operativa e Disaster Recovery. È presto detto: solo il 34,3% delle amministrazioni intervistate hanno formalizzato un piano per la Continuità Operativa. Le amministrazioni indicano una scarsa propensione a definire sistematicamente procedure da adottare in caso di indisponibilità, anche parziale, dei servizi erogati. Solo il 18% ha affermato di possedere procedure da attivare in caso di caduta un qualsiasi servizio (copertura totale). Si arriva al 60,6% se si considera la copertura solo dei servizi più importanti. Un dato evidentemente allarmante!
A maggior ragione lo è se si verifica che solo il 6,8% delle amministrazioni sostiene di aver redatto un piano per il Disaster Recovery in grado di garantire il ripristino di tutti i servizi in tempi ragionevoli, mentre un altro 26,2% ha predisposto un piano con copertura parziale, limitata alle procedure più importanti.
Insomma, il delicato tema della Continuità Operativa non viene ancora avvertito come un fattore di cruciale importanza all’interno di queste amministrazioni. Migliore la percezione di una ormai diffusa attitudine delle amministrazioni ad erogare servizi fondamentali, quali la posta elettronica o la gestione dei siti web e portali pubblicati su Internet.

In sintesi, da un lato, c’è una crescita costante del numero di servizi offerti dalla PA attraverso la rete pubblica e, dall’altro, l’alto grado di diffusione dei moderni sistemi antivirus sulla mail. Così negli ultimi sette anni si è registrata una costante crescita del traffico, mentre il numero dei virus dopo il picco rilevato a cavallo tra il 2004 e il 2005 si è poi radicalmente ridotto ed analogamente il numero di incidenti è andato sempre calando negli anni.
Ultimo aspetto della sicurezza informatica riguarda la gestione degli incidenti e la capacità di rilevare tentativi di intrusione: il sondaggio del CNIPA ha messo in evidenza risultati inferiori alle attese. In estrema sintesi persiste una scarsa consapevolezza rispetto alle effettive capacità delle amministrazioni di prevenire intrusioni. In futuro, pertanto, è necessario che sia dedicata maggiore attenzione alla capacità di rilevare e monitorare tale fenomeno da parte delle singole amministrazioni e dei provider del servizio di ‘trasporto’. Tuttavia gli effetti della disponibilità di servizi di gestione degli incidenti offerti dal CERT-SPC potrebbero, ad esempio, migliorare di molto la situazione e la consapevolezza degli utenti rispetto a questo argomento.

Ultimo capitolo della radiografia condotta dal CNIPA affronta la delicata questione della «sicurezza dell’organizzazione». Qui siamo sulla soglia dell’insufficienza, con una distribuzione non uniforme tra tipologie dimensionali delle amministrazioni, con quelle grandi leggermente in posizione migliore. Ma anche con un miglioramento rispetto alla precedente rilevazione.
In particolare, si è percepito con chiarezza come il problema di investire anche in termini organizzativi per affrontare il problema della sicurezza sia ormai avvertito dalle grandi organizzazioni e sistematicamente disatteso dalle piccole. Un dettaglio eloquente: solo il 33,9% delle amministrazioni intervistate ha dichiarato di disporre di un budget dedicato alla sicurezza, ma nessuna di queste ha affermato di dedicare alla sicurezza ICT una percentuale maggiore del 10% del budget complessivo ICT !

E poi c’è un sostanziale ritardo nell’applicazione concreta del DM 16 gennaio 2002 per l’attribuzione dei ruoli previsti nel settore informatico pubblico. Solo 9 amministrazioni su 61 hanno ricoperto tutti i ruoli, mentre altre 26 lo hanno fatto in modo parziale. Tutto questo omettendo di considerare che «una cattiva organizzazione interna può vanificare tutti gli sforzi spesi sul piano degli investimenti effettuati in strumenti o procedure, pregiudicando così i risultati positivi conseguiti».

E non basta. Quasi la metà delle amministrazioni non dedica sufficiente attenzione alla gestione e prevenzione degli incidenti informatici, rafforzando l’idea alla base del CERT-SPC di distribuire attraverso un centro comune tali competenze.
Nell’ambito della sicurezza dell’organizzazione c’è un sensibile miglioramento della capacità di gestire l’outsourcer attraverso contratti appropriati.
Altra nota dolente è la inadeguata propensione ad effettuare un’accurata analisi dei rischi informatici. Delle interrogate, 10 amministrazioni non hanno effettuato alcuna analisi; 7 hanno analizzato i rischi con copertura minima,19 con copertura parziale, solo 15 (quasi tutte di grandi e medie dimensioni) hanno condotto un’analisi con copertura totale.

Emerge, inoltre, in modo preoccupante la carenza di formazione interna finalizzata alla sensibilizzazione sul tema della sicurezza ICT. Solo il 22% ha redatto e formalizzato un piano di formazione del personale interno. La soluzione a questa situazione passa attraverso la realizzazione di progetti esplicitamente dedicati alla formazione di base per la sicurezza ICT, che mettendo a fattor comune precise competenze ed un modello comune per la sicurezza, possano rapidamente introdurre e diffondere la cultura della sicurezza nell’ambito della Pubblica Amministrazione.
Chiuso l’ultimo dei quattro capitoli, i tecnici del CNIPA nelle conclusioni, forse con intenti costruttivi e di stimolo, non hanno omesso di porre in evidenza i risultati ottimali in maniera diffusa, come:

• Il largo impiego di sistemi di backup/restore centralizzati (anche se solo il 57% ha previsto nella propria organizzazione un responsabile del backup e gestisce le relative politiche attraverso procedure ben documentate);
• la buona espansione e l’impiego di sistemi per l’identificazione del personale che accede alla sala macchine (77%). Ancora migliore il risultato attinente alla sicurezza perimetrale (83%),
• l’ottima la diffusione di firewall che raggiunge quasi il 100% del campione;
• l’altrettanto buono l’impiego di sistemi centralizzati per il salvataggio di informazioni critiche, indispensabili per alimentare i sistemi di rilevazione e prevenzione delle intrusioni (event correlation);
• la buona diffusione, vicina al 77%, di sistemi antivirus centralizzati o di filtri sulla posta elettronica per la rilevazione di virus o di messaggi non sollecitati.
• Il quadro delineato dal «Secondo rapporto sulla stato della sicurezza ICT delle Pubbliche Amministrazioni Centrali» dimostra che si sono fatti passi in avanti, ma molti altri ne devono essere fatti perché il gigante della PA ha ancora fondamenta fragili e si deve lavorare molto sul fattore uomo, sul radicamento della cultura della sicurezza informatica.

Ecco, quindi, che i responsabili dei sistemi informatici automatizzati della PA dovranno cogliere rilevanti spunti di riflessione (e di autoanalisi) sul delicato fronte del livello di sicurezza ICT nei loro apparati. Ma il check-up dovrà anche essere tolto dal riserbo che lo ha circondato, visto che il Rapporto affronta tematiche pubbliche e non private. Indicazioni che dovranno essere portate all’attenzione dei ministri competenti affinché diano le linee politiche e la governance per far fronte alle evidenti carenze e, soprattutto, sdoganare le risorse indispensabili, senza le quali non si può procedere verso la strada dell’ammodernamento della Pubblica amministrazione. Si tratta di un fronte su cui, più di altri, non si possono fare le classiche nozze con i fichi secchi.

E poi non sarebbero soldi (pubblici) sprecati, non solo perché costituirebbero un investimento infrastrutturale ma, specialmente, innescherebbero un processo virtuoso di risparmi e di efficienza che, in pochissimo tempo, non solo recupererebbero il denaro stanziato ma, anzi, sarebbero una importante voce attiva nei bilanci pubblici. Ma soprattutto ne guadagnerebbe tutto il Sistema Paese e la sua competitività.

Infine, una considerazione inevitabile. È ben evidente che le norme per garantire la sicurezza informatica nella Pubblica amministrazione centrale ci sono. Ma non vengono applicate! A parte la ricorrente giustificazione della mancanza delle risorse necessarie, è lapalissiano che non si tratta solo dell’assenza di una cultura della sicurezza informatica a vari livelli ma, soprattutto, ma della latitanza di sanzioni efficaci nei confronti degli inadempienti. La sanzione, la penalizzazione (ad esempio in termini di progressione della carriera) o la multa in tutti i settori, informatica compresa, sono elementi fondamentali per un maggior rispetto delle norme."

Dario De Marchi
Responsabile Comunicazione AIIC
Associazione Italiana esperti in Infrastrutture Critiche