Tecnologia

Cybersecurity, tre (quasi) novità che ci salveranno dai rischi

Appena trascorso San Valentino, ricordo che il mio “innamoramento” per la criminalità informatica e per la sicurezza digitale risale al 1986. In questo arco temporale ultratrentennale mi sono adoperato partendo da un timido “petting” intellettuale fino ad arrivare a rapporti più completi (la mia inarrestabile vena goliardica mi impone di mantenere il fil rouge dell’approccio sex-sentimentale) con una tematica capace di sedurre anche i più frigidi.

Ho giocato a fare il cacciatore di hacker e spesso la fortuna e una ottima squadra (il mitico Gat della Guardia di Finanza) hanno contribuito a non farmi mancare le soddisfazioni e a lenire il dispiacere di qualche risultato mancato. Adesso in veste di pur privilegiato spettatore, siedo felicemente in curva ma ancora mi infiammo quando vedo che le parole continuano a prevalere sui fatti, il tutto con enorme pregiudizio per il Paese e per i cittadini.

Stanco di vedere le solite slide e di sentir ripetere ormai tradizionali giaculatorie di buoni propositi, non frequento più convegni, workshop, congressi e seminari. E così – lontano dalla tentazione di ingurgitar tramezzini e sandwich, gli unici a differenziare i tanti eventi in tema di cyber – mi sono perso Itasec19 che ho letto essersi tenuto a Pisa proprio in questi giorni. Peccato, perché – a scorrere le recensioni dell’evento – in quell’occasione è stata svelata la strategia italiana in tema di sicurezza cibernetica.

Tre sarebbero gli ingredienti per mettere al sicuro il sistema nervoso tecnologico italiano.

1) Protezione dell’area critica dei servizi e delle infrastrutture con disposizioni normative che stabiliscano adempimenti obbligatori
Se bastassero le leggi con i loro obblighi e i loro divieti il gioco sarebbe semplice. In un Paese in cui condoni e rottamazioni trasformano incalliti evasori fiscali (che altrove marcirebbero in galera) in encomiabili redenti cui riconoscere il merito di contribuire con qualche spicciolo al risanamento economico e finanziario nazionale, rimane un po’ difficile pensare che articoli e commi possano blindare una situazione la cui fragilità è troppo frequentemente testimoniata da incursioni informatiche che si prendono gioco di istituzioni e grandi aziende.

Gli adempimenti obbligatori in materia di sicurezza informatica sono stati dettati già dalla legge 675/96 (la prima norma sulla riservatezza dei dati in Italia) e dal successivo Dpr 318/99 (arrivato dopo quasi tre anni dopo che la 675 ne aveva fissato il varo entro pochi mesi), poi dall’allegato B al d.lgs. 196/2003 (Codice della privacy) e infine dal Regolamento Europeo 679/2016 o Gdpr: nessuno (o quasi) ha fatto nulla di serio. La mancata adozione di cautele e protezioni vanifica persino la possibilità di far valere le norme sul crimine informatico introdotte nel codice penale dal Dpr 547/93 e dalla legge 48/2008, norme che dicono che il reato si configura solo nei confronti di “sistemi informatici protetti da misure di sicurezza”. Ciò nonostante, nulla.

Ma se davvero una legge marziale della sicurezza informatica venisse varata, chi dovrebbe poi verificarne l’effettivo rispetto da parte dei destinatari della norma? Con quali
poteri? Con quali mezzi? Con quali persone?

2) Definizione degli standard per il procurement pubblico
Chi parla di standard per gli acquisti fatti dalla Pubblica Amministrazione potrebbe dare uno sguardo a quello che fa (e a come) la General Service Administration statunitense. In Italia ci provarono Guido Rey e il compianto Ferrante Pierantoni, ai vertici dell’allora Autorità per l’Informatica nella Pubblica Amministrazione. Due giganti di cultura e di prospettiva verso il futuro non riuscirono in una missione troppo grande anche per loro: l’immaturità (permanente) del burosauro italico stroncò ogni velleità di cambiamento. Potrebbe oggi qualche lillipuziano raggiungere l’obiettivo?

Il vero problema, infatti, sta nella sostanziale incapacità di committenza e nel non saper/voler assumersi responsabilità al termine di un processo decisionale che possa giustificare scelte e preferenze. Siamo il Paese in cui si sbandierano “analisi costi/benefici” e nessuno ha certezza di quali dati siano impiegati per le valutazioni, quale ne sia l’origine e l’attendibilità, quali siano i riscontri eseguiti, quali modelli di simulazione siano stati adottati.

A margine della centralizzazione degli acquisti per la Pa (radicata da tempo e di cui non si fa certo mistero dell’insoddisfazione degli utenti e dei fornitori), interverrebbero standard e indicazioni da parte delle competenti articolazioni governative. Ma chi deve provvedere? Ed ecco il terzo punto…

3) costituzione del Centro Nazionale per la Valutazione e Certificazione collocato presso il Ministero dello Sviluppo Economico
L’annuncio della costituzione del Cnvc sembra lasciar intendere che il mare – che solitamente separa il dire dal fare – stia per essere solcato. I più tignosi, però, si lasciano assalire dal dubbio di averne già sentito parlare. I più acidi tra loro ricordano anche un articolo apparso nella primavera 2017 sul sito web di Agenda Digitale.eu intitolato “Le tre novità che cambieranno la cyber security nazionale” e qualcuno è tornato a rileggerlo.

E tutti, preoccupati di doversi rimboccare le maniche già nell’incombente week end, hanno tirato un sospiro di sollievo. La storia riporta all’ex premier Gentiloni e, se finora non è ancora successo nulla, inutile affrettarsi… Se tra due anni qualcuno – parlando di novità in tema di cyber – ne conterà “due” o “quattro”, scopriremo quale è venuta meno o quale si sia aggiunta, avendo comunque certezza che ci si sta lavorando.