Tappare subito le falle della sicurezza nella PA, un’esigenza ineludibile che dovrà fare i conti con le scarse per non dire nulle disponibilità di cassa di molti Comuni italiani. Ma nonostante le difficoltà finanziarie, la spinta alla digitalizzazione della PA porta con sé importanti conseguenze circa la sicurezza delle infrastrutture informatiche e dei dati pubblici. Per questo l’Agenzia per l’Italia digitale (AGID), sollecitata già l’anno scorso dal Governo, ha pubblicato il 26 settembre 2016 un documento contenente le misure minime che le Pubbliche amministrazioni devono garantire.
Gli standard sono quelli internazionali codificati dal SANS, istituto di ricerca fondato nel 1989, da anni riconosciuti come punto di riferimento nel settore della sicurezza cibernetica. AGID da parte sua ha poi individuato, ordinato e selezionato quelle regole tentando di calarle nella realtà della PA italiana.
Una PA che, per molti versi, non sembra pronta a raccogliere la sfida viste le misure di contenimento della spesa imposte dallo Stato. Ristrettezze che rendono complicato, soprattutto per i piccoli e piccolissimi enti, un pieno adeguamento alla soglia minima imposta da AGID.
Le regole
Vediamo alcuni dettagli di queste misure minime.
- Implementare un inventario (registrando almeno l’indirizzo IP) delle risorse attive e aggiornarlo quando nuovi dispositivi approvati vengono collegati in rete.
- Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco.
Fin qui, se la piccola o media PA ha a disposizione personale specializzato in ICT (i vecchi CED) è possibile procedere manualmente all’adeguamento. Per grandi enti, invece, sarà necessario l’utilizzo di software dedicato allo scopo. Software e personale, si intende (personale interno o esterno che sia, in grado di gestire il processo di upgrade).
- Stilare un elenco di software autorizzati e non consentire l’installazione di software non compreso nell’elenco.
- Eseguire regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzato e utilizzare configurazioni sicure standard per la protezione dei sistemi operativi.
- Eventuali sistemi in esercizio che vengano compromessi devono essere ripristinati utilizzando la configurazione standard.
- Le immagini d’installazione devono essere memorizzate offline.
Questo secondo blocco di prescrizioni prevede che in seno alla PA sia a disposizione personale con formazione specifica o che sia contrattualizzata una manutenzione hardware e software con privati. Ovviamente, l’impegno economico nel caso di rapporti in outsourcing è proporzionale alla dimensione del parco macchine in uso all’ente. Maggiore sarà il parco macchine, maggiore sarà il costo.
- Eseguire tutte le operazioni di amministrazione remota di server, workstation, dispositivi di rete e analoghe apparecchiature per mezzo di connessioni protette (protocolli intrinsecamente sicuri, ovvero su canali sicuri).
Il punto è dolente, soprattutto per le migliaia di strutture pubbliche disseminate sul territorio italiano che non hanno personale adeguatamente versato nelle scienze dell’informazione e che non dispongono di periferiche adatte a supportare comunicazioni su canali cifrati.
- Installare automaticamente le patch e gli aggiornamenti del software sia per il sistema operativo sia per le applicazioni.
Di sicuro uno dei requisiti più facilmente soddisfatti dalla PA per la sua semplicità e automazione. Tuttavia, un piccolo sforzo sarà richiesto a tutti quegli uffici (e a tutti gli impiegati) che resistono al cambiamento e insistono ancora nell’uso di sistemi operativi obsoleti. Non sono pochi, quindi in molti casi un rinnovamento completo del parco macchine sarà indispensabile.
- Definire un piano di gestione dei rischi che tenga conto dei livelli di gravità delle vulnerabilità, del potenziale impatto e della tipologia degli apparati;
- Attribuire alle azioni per la risoluzione delle vulnerabilità un livello di priorità in base al rischio associato.
Queste regole concedono ampio spazio discrezionale a una attività di consulenza di supporto all’amministrazione pubblica che, in numerosi casi, si farà necessaria e ineludibile viste le scarse competenze interne.
- Limitare i privilegi di amministrazione ai soli utenti che abbiano le competenze adeguate e la necessità operativa di modificare la configurazione dei sistemi.
La frase è chiara nell’esposizione, ma purtroppo priva di quegli elementi oggettivi idonei a misurare l’adeguatezza delle competenze del personale. Quali sono i criteri di giudizio?
- Limitare l’uso di dispositivi esterni a quelli necessari per le attività aziendali.
Questo punto è oscuro. Non si comprende esattamente cosa intenda qui l’AGID per “dispositivi esterni”: si tratta di calcolatori di cui l’ente non è proprietario? Oppure di tablet e telefonini utilizzati fuori ufficio, per attività inerenti l’ente?
Certo è che questa regola andrà chiarita anche alla luce di quanto previsto dal nuovissimo Codice dell’Amministrazione digitale (pubblicato nella Gazzetta Ufficiale lo scorso 13 settembre) che, all’articolo 12, introduce il concetto di BYOD (Bring your own device): le PA “favoriscono l’uso da parte dei lavoratori di dispositivi elettronici personali o, se di proprietà dei predetti soggetti, personalizzabili, al fine di ottimizzare la prestazione lavorativa, nel rispetto delle condizioni di sicurezza nell’utilizzo”.
- Assicurare la riservatezza delle informazioni contenute nelle copie di sicurezza mediante adeguata protezione fisica dei supporti ovvero mediante cifratura. La codifica effettuata prima della trasmissione consente la remotizzazione del backup anche nel cloud.
Una previsione, questa, che elimina eventuali dubbi sull’opportunità per la PA di usare la tecnologia di archiviazione in cloud. Dunque dati in cloud sì, a patto che siano cifrati.
- Bloccare il traffico da e verso url presenti in una blacklist.
In altre parole la navigazione su Internet degli impiegati deve essere filtrata impedendo di fatto l’accesso a una serie di risorse web. Quali? Non si sa, poiché l’AgID non specifica quale blacklist usare né, a quanto pare, ne mette a disposizione una.
Conclusioni
Nel documento in oggetto, sono sì presenti le indicazioni per la sicurezza minima obbligatorie per tutte le amministrazioni a prescindere dalla loro dimensione, ma sono dettagliate anche quelle misure che AGID definisce di livello standard e di livello alto.
Secondo il documento tecnico, quelle standard sono da intendersi come base di riferimento nella maggior parte degli enti, mentre quelle di tipo “alto” possono essere considerate come obiettivo a cui tendere.
Tuttavia, quello di AGID sembra un bel compitino, un atto dovuto che nelle premesse dichiara di voler tenere conto delle dimensioni degli enti così che ad esempio per i piccoli comuni l’adeguamento non sia oneroso.
In realtà balza all’occhio che l’Agenzia ignori il livello di partenza soprattutto degli enti minuscoli, cosa che di fatto, senza soldi né personale adeguato, rende difficilmente conseguibile quello che da oggi si chiama “livello minimo di sicurezza informatica”.