La decisione del giudice Vanessa Baraitser, della Central Criminal Court di Londra, di non concedere l’estradizione di Julian Assange negli Stati Uniti ha riaperto il discorso sulla sicurezza delle reti, sui dati sensibili e sulla loro protezione o accesso.
In un momento come quello attuale, nel quale buona parte dei lavoratori che possono farlo sono costretti ad operare a distanza, in smart working, la sicurezza informatica e dei dati che girano sulla rete (fisica o non fisica) dovrebbe essere un argomento di primissimo piano.
Invece, stranamente, se ne parla poco, troppo poco. Anche quando i numeri sono da brividi.
Numeri come quelli contenuti nel Primo Monitoraggio dei Portali Istituzionali della Pubblica Amministrazione resi pubblici da AgID, l’agenzia per l’Italia Digitale della Presidenza del Consiglio dei Ministri che ha condotto un’indagine sul corretto utilizzo del protocollo HTTPS e dei livelli di aggiornamento delle versioni dei CMS dei portali istituzionali di tutte le amministrazioni censite in IPA.
I dati diffusi il 18 Dicembre scorso lasciano a bocca aperta. Dei 21.682 portali istituzionali sottoposti a monitoraggio, ne sono risultati correttamente raggiungibili solo 20.018 (per i quali è stato possibile rilevare correttamente i parametri della connessione HTTPS). Per controllare questi portali è stato necessario “interrogare” ben 25.519 server, per un totale di 408.304 test effettuati. Dall’analisi è emerso anche che 13.297 di questi, ovvero il 67% dei siti della Pubblica Amministrazione, presentano gravi problemi di sicurezza! In altre parole, ogni tre siti della PA, due non sono sicuri. E ben 4.510 (il 22%) hanno un canale HTTPS mal configurato. Solo 1.766 (il 9%) utilizzano un canale HTTPS sicuro.
I “servizi digitali erogati dalla Pubblica Amministrazione sono cruciali per il funzionamento del sistema Paese” si legge sul sito. La minaccia cibernetica continua a crescere in quantità e qualità, determinata anche dall’evoluzione delle tecniche di ingegneria sociale volte a ingannare gli utenti finali dei servizi digitali sia interni alla PA che fruitori dall’esterno. Per questo è stato dedicato un Capitolo (il 6) proprio la Sicurezza Informatica. I numeri dimostrano che per la Pubblica Amministrazione è ancora lunga la strada per il raggiungimento dell’obiettivo OB.6.2 – “Aumentare il livello di sicurezza informatica dei portali Istituzionali della Pubblica Amministrazione” del Piano Triennale 2020-2022 per l’Informatica nella Pubblica Amministrazione.
Un capitolo (del quale è parte l’analisi diffusa nelle scorse settimane) che riguarda proprio la Cyber Security Awareness e i rischi connessi alle potenziali minacce informatiche. Le segnalazioni di vulnerabilità rilevate sui siti della PA e segnalate dalla NIST search sono state 154.371 e oltre 38mila i malware (dato aggiornato al 5 Gennaio 2021).
Numeri impressionanti che dovrebbero far riflettere sulla reale possibilità, stando così le cose, di poter effettuare una conversione al digitale in tempi rapidi. Eppure, il Piano Triennale per l’Informatica nella Pubblica Amministrazione avrebbe dovuto rappresentare “la naturale evoluzione dei due Piani precedenti”, favorendo “lo sviluppo di una società digitale, dove i servizi mettono al centro i cittadini e le imprese, attraverso la digitalizzazione della pubblica amministrazione che costituisce il motore di sviluppo per tutto il Paese”, promuovendo “lo sviluppo sostenibile, etico ed inclusivo, attraverso l’innovazione e la digitalizzazione al servizio delle persone, delle comunità e dei territori, nel rispetto della sostenibilità ambientale” e “contribuire alla diffusione delle nuove tecnologie digitali nel tessuto produttivo italiano, incentivando la standardizzazione, l’innovazione e la sperimentazione nell’ambito dei servizi pubblici”.
Per raggiungere questi obiettivi sono state definite circa 200 azioni. Non tutte, però, a carico di AgID e Dipartimento per la trasformazione digitale: la maggior parte dovranno essere gestite dalle singole amministrazioni centrali e locali. A queste è stato demandato il compito di realizzare azioni per il raggiungimento degli obiettivi contenuti nel Piano, nell’arco del triennio. Ma questo non è che l’ennesimo fattore di criticità: basti pensare che i CMS utilizzati dai siti consultati sono risultati essere oltre una trentina. Forse è anche per questo che le misure previste dal Piano Triennale non prevedono la messa in sicurezza di tutto il sistema. Nemmeno entro il 2022. Ma solo un sensibile miglioramento.
In un momento in cui non si fa altro che promuovere e spingere la popolazione a utilizzare strumenti informatici non soltanto per lavorare ma anche per fruire dei servizi di base della PA, contrastare eventuali minacce è fondamentale. Solo garantendo la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema informativo della Pubblica Amministrazione, sarà possibile aumentare la fiducia nei servizi digitali erogati ai cittadini.
Se questa è lo stato dell’arte della PA, dove i dati sono tutti sensibili, l’accesso dovrebbe essere possibile solo a personale autorizzato e il malfunzionamento non dovrebbe essere tollerato, non sorprende quanto avviene ai dati gestiti da privati. Molte aziende che gestiscono reti o dati dei propri clienti hanno compiuto sforzi notevoli per migliorare la sicurezza ai margini della rete (specie la sicurezza perimetrale, l’integrità dei dati e la gestione delle identità). Le stime prevedono che continueranno a investire in una gamma di servizi di sicurezza sia per trarre vantaggio dall’edge di rete, sia per tenere a bada le minacce più recenti senza influire sulle prestazioni e sull’esperienza.
Ma non sempre questi sforzi sono bastati a fermare attacchi informatici. Come quelli all’operatore telefonico Ho. Mobile, appartenente a Vodafone Italia: lo scorso 28 Dicembre il gestore ha ammesso di essere stato vittima di un “furto” di dati ad opera di un gruppo di hacker (peraltro “bonari”, scoperti, a quanto pare, solo per essersene vantati su Twitter – chissà cosa sarebbe successo se l’attacco fosse avvenuto per mano soggetti che aspiravano ad altro). Secondo Ho.Mobile non ci sarebbero pericoli per i dati sensibili relativi ai pagamento o altre informazioni bancarie, ma “solamente” informazioni anagrafiche e dati tecnici delle sim di una parte della clientela. Come se questi non fossero dati importanti. Ad ogni modo Ho.Mobile ha rilasciato una dichiarazione ufficiale nella quale comunicava all’utenza la possibilità di richiedere la sostituzione gratuita della sim. Misura blanda e, a dire il vero, tutt’altro che risolutiva.
Il cammino verso un utilizzo sicuro della rete è ancora molto lungo e tanto rimane ancora da fare per garantire servizi sicuri online. Sia a livello infrastrutturale che a livello di know how degli utenti. In un mondo dove tutto viaggia in rete, tutti devono imparare il significato di concetti come “riservatezza”, “integrità”, “disponibilità”, “autenticità” e “non ripudio”. Termini che purtroppo restano astrusi o sconosciuti alla maggior parte degli utenti di di Internet (che, è bene ricordarlo, è solo una delle tante reti informatiche disponibili). Ancora più lungo, almeno stando ai dati disponibili, sarà la strada per rendere le reti sicure da attacchi sia passivi (network mapping, port scanning, sniffing, phishing e smishing) che attivi (spoofing, replay, connection hijacking, exploit, malware e molti altri). E purtroppo i tentativi come quello realizzato dal Kiwanis in collaborazione con Ancos e con il Comune di Palermo di insegnare alle persone più anziane come utilizzare correttamente le reti durante la pandemia restano eventi sporadici. Fino a quando tutti coloro i quali utilizzano (o saranno costretti a farlo per motivi di studio o di lavoro) dati mobili saranno in grado di far fronte ai rischi connessi, per loro sarà bene essere prudenti e non fidarsi solo dell’affidabilità della rete informatica. Nemmeno quella che, in teoria, dovrebbe essere sicura.
