Sicurezza. Sicurezza…(di doman non v’e’ certezza?)

In un recente passato il problema della sicurezza informatica fu considerato come prioritario in ambito pubblico e venne,come tale,  trattato sia dalla Presidenza del Consiglio dei Ministri sia dal Comitato dei Ministri della Società dell’Informazione,,Il Ministro dell’Innovazione dell’epoca,sia direttamente che  attraverso il CNIPA , ma anche  quello delle Comunicazioni , lanciarono  varie iniziative di studio e di ricerca nel particolare settore   non trascurando anche i profili giuridici ed organizzativi del problema .. I risultati furono esposti in importanti documenti ( vedi, tra l’altro,il documento dal titolo “Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la P.A”. del marzo 2004,redatto. dal Comitato Tecnico Nazionale per la sicurezza informatica e delle Telecomunicazioni nella P.A e quello recante il titolo   “ Linee Guida per la sicurezza ICT delle pubbliche amministrazioni-  Piano Nazionale della sicurezza informatica nella P.A e Modello organizzativo “pubblicato nel  ,Quaderno CNIPA n. n.23 del marzo 2006 ).Uno dei pregi delle iniziative di cui sopra fu indubbiamente quello di aver colto  l‘importanza delle implicazioni giuridico-amministrative ed organizzative  del problema sicurezza,di solito trascurate dai tecnici e dagli stessi politici per una serie di motivi..tra i quali la grave sottovalutazione delle implicazioni di cui sopra.. se non ,addirittura ,la ignoranza,più o meno deliberata, delle implicazioni stesse.. Va ricordato in proposito che la necessità di considerare come inscindibile  corollario della innovazione tecnologica quello della sicurezza scaturisce,oltre che da elementari considerazioni logiche, anche dalle ripetute  iniziative adottate in campo internazionale dall’OCSE e,soprattutto dalla Unione Europea (  Regolamento relativo alla costituzione dell’ENISA ,Risoluzioni e Decisioni Quadro “ad hoc”, Comunicazioni della Commissione al Consiglio in tema di Sicurezza della  Società dell’Informazione, ecc .)

Data la importanza dell’argomento che può considerarsi addirittura vitale a causa della nota vulnerabilità della società informatizzata,appare opportuno  verificare se il trend politico-normativo della precedente maggioranza governativa sia stato,ed in qual modo, condiviso dall’attuale apparato di governo..Non può tacersi che i  risultati di tale accertamento,anche se per necessità estremamente sintetici, sono tali da destare serie  perplessità. e preoccupazioni. .In effetti  la pubblicistica più attenta ha ,già da tempo, avuto modo di rilevare una certa disattenzione da parte dei nuovi“decision makers” in ordine  al problema della sicurezza informatica..così l’editoriale  della rivista ICT Security ,numero 51 del 2006… ,dopo aver ricordato l’opera svolta dal Comitato Tecnico Nazionale scaduto con la fine della legislatura, in tema di sicurezza informatica,. ha sostenuto,senza mezzi termini, che si stava  vivendo in una situazione di stasi totale sulla sicurezza ed ha fortemente auspicato che si continuasse quanto iniziato dal sopraccitato Comitato( 1 )…L’esame delle dichiarazioni programmatiche dei responsabili del settore ( vedi quanto dichiarato dal Ministro  per le Riforme e le Innovazioni nella audizione al Senato del 4 luglio 2006 ed il documento dello stesso Ministro del marzo 2007 dal titolo” IL sistema Nazionale di eGovernement-Linee Strategiche……) e dei provvedimenti amministrativi in tema di innovazioni tecnologiche nella p.a ( vedi ,ad es. la Direttiva n.2 in materia di interscambio di dati tra le P.A….) non inducono all’ottimismo giacchè l’argomento relativo alla sicurezza informatica non soltanto non è indicato tra le priorità dell’azione governativa in tema di innovazione tecnologica ma risulta  praticamente inesistente o è liquidato con qualche frasetta  di stile. E .neppure confortano le svicolanti ed imbarazzate  risposte formulate sull’argomento dai collaboratori politici del Ministro Nicolais ( vedi l’intervista resa dal sottosegretario all’Innovazione , sen.Magnolfi,al giornalista Cammarata di Interlex il 13 febbraio 2007 …( 2 ) ( 3 ) Ciò premesso, non può non   destare sorpresa,,il fatto che una compagine governativa che pur  annovera tra i suoi membri un noto esperto d’informatica e dei problemi organizzativi connessi,come Antonio Di Pietro ( al quale ben potrebbe e dovrebbe essere affidata la gestione tecnico-politica  del problema) appaia sostanzialmente inerte di fronte a possibili  pericoli derivanti dall’assenza di una chiara  politica della sicurezza, ( 4 ),

Per concludere sull’argomento non può non rilevarsi che siffatto atteggiamento governativo,data l’importanza del problema,appare sinceramente inesplicabile..Non è necessario richiamare  la mitica Cassandra   o ,più modestamente il Grillo Parlante..per accennare alla  possibilità,tutt’altro che remota,di un attacco di massa ai sistemi pubblici vitali , con in testa le banche,la sanità ed i trasporti,ed alle conseguenze catastrofiche della mancanza di un Piano Nazionale di Sicurezza e di Emergenza e della assenza di un  autorevole e competente Centro di Coordinamento delle iniziative per prevenire e reagire a siffatto pericolo……Si dice in Italia che per rimuovere le deficienze di un sistema o di una nota situazione pericolosa…” occorra il morto..”Sarà così.,mutatis mutandis,,anche nella situazione sopradescritta in tema di sicurezza informatica??

 

1)In proposito l’editoriale,a firma Ferraris di Ceglie, afferma che..”..E’ necessario proseguire nel programma d’informazione e di sensibilizzazione rivolto all’intera comunità sulla sicurezza informatica e nelle comunicazioni, nel potenziamento delle strutture di prevenzione e gestione degli incidenti informatici e delle reti, nella standardizzazione e nella promozione di attività di certificazione per la sicurezza ICT e nella creazione di specifiche iniziative giuridiche: tutti aspetti presenti nel Piano Nazionale e nel Modello Organizzativo per la sicurezza nella P.A. e che necessitano di essere coordinati da un organismo di vertice…”

 

 

2) Si riportano quì testualmente le dichiarazioni della senatrice sopracitata,peraltro nota per le sue capacità e competenza,, che alle domande dell’intervistatore in tema di iniziative governative  per la sicurezza informatica, ha risposto: “La difficoltà di questi temi è che sono temi globali, le politiche nazionali non sono la risposta a questi rischi. Io sono stata al Forum di Atene, in cui il tema della sicurezza era uno dei quattro dettati da Koji Annan, proprio perché è una questione molto seria. Per la nostra parte il punto è ristabilire un nucleo, una task force che discuta di questo e che sia presente negli organismi internazionali. Fra l’altro il Ministro Nicolais ci tiene moltissimo a rinforzare la presenza italiana in tutti gli organismi internazionali. Secondo me è una cosa che si deve fare, incominciando dalla cabina di regia che si è costituita fra noi, il Ministero delle comunicazioni e il Ministero degli affari regionali e che ha incominciato a lavorare sui temi delle infrastrutture. Il nostro obiettivo di legislatura è la copertura del territorio nazionale al cento per cento con la banda larga. Questa è una priorità programmatica, che è resa piùchiara anche dall’apertura sul cosiddetto “mix tecnologico” di Wi-Fi, Wi-Max e Internet, deve tener conto del problema della sicurezza delle reti.” ( www.interlex.it/pa/magnolfi_int.htm )

No comment!

 

 

 

3) Per inciso,non può non rilevarsi,come fattore spia di un certo   indirizzo tecnico politico,,il fatto che quest’anno l’argomento della sicurezza informatica, trattato ampiamente e con l’intervento di esperti di  livello nazionale, sia tecnico che  giuridico,. nelle precedenti edizioni del c.d.Forum della P.A.  si .sia ridotto ad uno striminzito e confuso seminario del CNIPA ..,composto nella quasi totalità  da illustri sconosciuti…nel quale,tra l’altro, sono stati(-in linea ,evidentemente, con sotterranei input prontamente recepiti da sculettanti organizzatori  ) assolutamente ignorati i gravi problemi di sicurezza,,giuridici e tecnici,. dell’uso delle nuove tecnologie..tecnologie, purtroppo, già adottate ,-sia detto per inciso, ,con la “licenza delli superiori”, da varie pubbliche amministrazioni, senza che siano stati risolti i pur denunciati problemi di vulnerabilità…

 

4 )Non può tacersi che, pur.nella illustrata situazione di disattenzione generale,  il CNIPA , nei suoi documenti relativi al Piano Triennale per l’informatica nella P.A.-Anni 2007-2009. ed alle sue  Linee Strategiche 2006-2008, nonché nelle Linee Strategiche volte ad indirizzare le Amministrazioni nella predisposizione del Piano Triennale per l’Informatica 2008-2010 ,  ha continuato a trattare-,sia pure modo estremamente succinto-,- l’argomento relativo alla sicurezza informatica..Va detto per inciso che la situazione,in generale,per quanto riguarda la sicurezza informatica nell’ambito delle p.a. ,desta non lievi preoccupazioni A parte gli accertamenti compiuti dal più volte citato Comitato Tecnico Nazionale., i sondaggi condotti dal CNIPA .ed esposti , nel recente rapporto   dal titolo “Valutazione delle azioni delle p.a. centrali sul tema del protocollo informatico” hanno permesso di accertare ,in tema di sicurezza, che  su 48 amministrazioni che avevano risposto al questionario, solo 9 hanno dichiarato di avere  un piano di sicurezza operativo.. e solo 19 hanno affermato di avere un “registro di emergenza”…