Ci sono aspetti a dir poco “inquietanti” in merito alla protezione delle infrastrutture informatiche strategiche dell’Italia.
Ciò che è apparso sui giornali è purtroppo solo la punta dell’iceberg di una situazione più grave perchè sulla cybersecurity le Nostre piattaforme sono un colabrodo
A denunciarlo pubblicamente è Giuseppe Esposito (Ncd), vicepresidente del Comitato parlamentare per la sicurezza della Repubblica, il Copasir, nel commentare l’inchiesta del quotidiano ‘Il Mattino’[1]. In quel reportage si portava alla luce che l’ultimo attacco informatico subito dalla Farnesina, durato circa quattro mesi, quando il ministro degli Esteri era l’attuale premier Paolo Gentiloni, sarebbe solo l’ultimo in ordine di tempo. A spaventare non è soltanto la mole di dati che sarebbero stati, come si dice in gergo “esfiltrati”, ma le modalità e gli strumenti utilizzati dal Governo Italiano per difendersi dagli attacchi informatici. A seguito di tale breccia nella sicurezza la stessa fu affidata dalla Farnesina alla Kaspersky, multinazionale fondata in Russia nel 1997, specializzata nella produzione di software progettati per la sicurezza informatica e finita al centro di altre oscure e quantomeno chiacchierate vicende internazionali. Al termine della propria relazione i tecnici di Kaspersky dichiararono che l’attacco portato probabilmente dagli hacker cinesi era di genere “Apt”, lo stesso usato dai fratelli Occhionero, di cui si sta occupando la procura di Roma. Poi nel 2015 la sicurezza dei nostri apparati fu affidata a una società americana, pensando che subappaltando un così delicato comparto, come la sicurezza delle informazioni, e per di più a società di altre nazioni fosse la soluzioni a tutti i mali della cybersecurity e così è stato fino al 21 febbraio 2017 data in cui l’Italia ha deciso finalmente di investire nella cybersecurity con la nascita del comitato nazionale per la sicurezza.
Lo Stato sarà il committente delle tecnologie sviluppate da questo laboratorio
ha spiegato Pansa, “perché soltanto garantendo la sicurezza delle nostre infrastrutture l’Italia potrà entrare nella modernità“. Purtroppo non è sufficiente perché se a livello centrale si corre ai ripari nelle periferie, ovvero nei Comuni, nelle ASL ed in altri comparti della Pubblica Amministrazione le cose non vanno meglio, la scarsità di risorse pone, spesso gli stessi dirigenti difronte a scelte di opportunità di acquisto e sembrerebbe che gli stessi, pur conoscendo le opportunità offerte dalla crescente integrazione di reti e sistemi, non ne colgano con sufficiente consapevolezza i rischi, esponendo così i Nostri dati a rischio di furti e di violazioni sulla privacy.
L’Agid da tempo ha iniziato una campagna di promozione della sicurezza informatica per fornire alle PA un riferimento pratico per valutare e innalzare il proprio livello di sicurezza informatica, emanando un documento che contiene l’elenco ufficiale delle “Misure minime per la sicurezza Ict delle pubbliche amministrazioni”. Le misure, che tutte le PA devono rispettare, prevedono tre livelli di attuazione. Il livello minimo stabilisce i criteri di base ai quali ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve essere conforme, in termini tecnologici, organizzativi e procedurali. I livelli successivi rappresentano situazioni evolutive in grado di fornire livelli di protezione più completi, e dovrebbero essere adottati fin da subito dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati) ma anche visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni, purtroppo la scarsità di risorse in cui versa la Pubblica Amministrazione Italiana ne pone seri limiti mettendo a rischio la sicurezza di tutti i Nostri dati.
