Key4biz

AGID, pronte le misure minime di sicurezza nella PA. Ma chi paga?

security

Tappare subito le falle della sicurezza nella PA, un’esigenza ineludibile che dovrà fare i conti con le scarse per non dire nulle disponibilità di cassa di molti Comuni italiani. Ma nonostante le difficoltà finanziarie, la spinta alla digitalizzazione della PA porta con sé importanti conseguenze circa la sicurezza delle infrastrutture informatiche e dei dati pubblici. Per questo l’Agenzia per l’Italia digitale (AGID), sollecitata già l’anno scorso dal Governo, ha pubblicato il 26 settembre 2016 un documento contenente le misure minime che le Pubbliche amministrazioni devono garantire.

Gli standard sono quelli internazionali codificati dal SANS, istituto di ricerca fondato nel 1989, da anni riconosciuti come punto di riferimento nel settore della sicurezza cibernetica. AGID da parte sua ha poi individuato, ordinato e selezionato quelle regole tentando di calarle nella realtà della PA italiana.

Una PA che, per molti versi, non sembra pronta a raccogliere la sfida viste le misure di contenimento della spesa imposte dallo Stato. Ristrettezze che rendono complicato, soprattutto per i piccoli e piccolissimi enti, un pieno adeguamento alla soglia minima imposta da AGID.

Le regole

Vediamo alcuni dettagli di queste misure minime.

Fin qui, se la piccola o media PA ha a disposizione personale specializzato in ICT (i vecchi CED) è possibile procedere manualmente all’adeguamento. Per grandi enti, invece, sarà necessario l’utilizzo di software dedicato allo scopo. Software e personale, si intende (personale interno o esterno che sia, in grado di gestire il processo di upgrade).

Questo secondo blocco di prescrizioni prevede che in seno alla PA sia a disposizione personale con formazione specifica o che sia contrattualizzata una manutenzione hardware e software con privati. Ovviamente, l’impegno economico nel caso di rapporti in outsourcing è proporzionale alla dimensione del parco macchine in uso all’ente. Maggiore sarà il parco macchine, maggiore sarà il costo.

Il punto è dolente, soprattutto per le migliaia di strutture pubbliche disseminate sul territorio italiano che non hanno personale adeguatamente versato nelle scienze dell’informazione e che non dispongono di periferiche adatte a supportare comunicazioni su canali cifrati.

Di sicuro uno dei requisiti più facilmente soddisfatti dalla PA per la sua semplicità e automazione. Tuttavia, un piccolo sforzo sarà richiesto a tutti quegli uffici (e a tutti gli impiegati) che resistono al cambiamento e insistono ancora nell’uso di sistemi operativi obsoleti. Non sono pochi, quindi in molti casi un rinnovamento completo del parco macchine sarà indispensabile.

Queste regole concedono ampio spazio discrezionale a una attività di consulenza di supporto all’amministrazione pubblica che, in numerosi casi, si farà necessaria e ineludibile viste le scarse competenze interne.

La frase è chiara nell’esposizione, ma purtroppo priva di quegli elementi oggettivi idonei a misurare l’adeguatezza delle competenze del personale. Quali sono i criteri di giudizio?

Questo punto è oscuro. Non si comprende esattamente cosa intenda qui l’AGID per “dispositivi esterni”: si tratta di calcolatori di cui l’ente non è proprietario? Oppure di tablet e telefonini utilizzati fuori ufficio, per attività inerenti l’ente?

Certo è che questa regola andrà chiarita anche alla luce di quanto previsto dal nuovissimo Codice dell’Amministrazione digitale (pubblicato nella Gazzetta Ufficiale lo scorso 13 settembre) che, all’articolo 12, introduce il concetto di BYOD (Bring your own device): le PA “favoriscono l’uso da parte dei lavoratori di dispositivi elettronici personali o, se di proprietà dei predetti soggetti, personalizzabili, al fine di ottimizzare la prestazione lavorativa, nel rispetto delle condizioni di sicurezza nell’utilizzo”.

Una previsione, questa, che elimina eventuali dubbi sull’opportunità per la PA di usare la tecnologia di archiviazione in cloud. Dunque dati in cloud sì, a patto che siano cifrati.

In altre parole la navigazione su Internet degli impiegati deve essere filtrata impedendo di fatto l’accesso a una serie di risorse web. Quali? Non si sa, poiché l’AgID non specifica quale blacklist usare né, a quanto pare, ne mette a disposizione una.

Conclusioni

Nel documento in oggetto, sono sì presenti le indicazioni per la sicurezza minima obbligatorie per tutte le amministrazioni a prescindere dalla loro dimensione, ma sono dettagliate anche quelle misure che AGID definisce di livello standard e di livello alto.

Secondo il documento tecnico, quelle standard sono da intendersi come base di riferimento nella maggior parte degli enti, mentre quelle di tipo “alto” possono essere considerate come obiettivo a cui tendere.

Tuttavia, quello di AGID sembra un bel compitino, un atto dovuto che nelle premesse dichiara di voler tenere conto delle dimensioni degli enti così che ad esempio per i piccoli comuni l’adeguamento non sia oneroso.

In realtà balza all’occhio che l’Agenzia ignori il livello di partenza soprattutto degli enti minuscoli, cosa che di fatto, senza soldi né personale adeguato, rende difficilmente conseguibile quello che da oggi si chiama “livello minimo di sicurezza informatica”.

Exit mobile version