Il nostro Direttore editoriale, con una bella paginata su “Il Messaggero” cartaceo del 14 giugno, (qui la ripresa su Twitter) ha fatto un oggettivo punto di situazione sul tema “cybersicurezza” nazionale, andando ad illustrare alcuni elementi e spunti di riflessione sull’argomento, che in questi giorni è in evidenza soprattutto per l’avvio ormai imminente dell’Agenzia di Cybersicurezza Nazionale, decretato la settimana scorsa dal Governo.
L’analisi, come sempre puntualissima, evidenzia soprattutto i fattori “tecnologici”, soprattutto messi sotto i riflettori dalla dichiarazione del Ministro Colao, che ha constatato come, a suo dire, “il 95% dei server delle P.A. non sono sicuri”.
Il Ministro probabilmente ha ragione (e ciò non consola di certo il cittadino-utente che affida alle Amministrazioni i propri dati, e non per scelta ma per obbligo) ed io, da utente ma soprattutto da ex-gestore di informazioni ed infrastrutture IT pubbliche mi permetto di segnalare, così come mi sovvengono, alcuni ordini di problemi.
- La tecnologia: le P.A. (a tutti i livelli) soffrono di congenita viscosità al cambiamento, con resistenza da parte dei decisori all’aggiornamento tecnologico, visto come un puro “costo” e non come scudo all’esposizione al rischio di perdita o esfiltrazione dei dati;
- Il personale IT: suddivisi come sono con CED “di campanile”, necessitati a volte anche da normative antiquate che non permettono scelte di condivisione o federazione di risorse, soprattutto le realtà minori (penso a Comuni, Consorzi, piccole Partecipate, ecc.) probabilmente non hanno una struttura IT in grado di garantire la sicurezza e adeguato aggiornamento culturale e tecnico;
- La sicurezza fisica: quante volte ho visto in uffici pubblici “server” o armadi di rete piazzati in luoghi aperti e frequentati dal pubblico, con scarso o nessun controllo di sicurezza fisica: è un attimo, per uno smaliziato birbone, avere accesso ad una porta di rete, e da lì fare danni grossi…
- Gli utenti “interni”: spesso, molto spesso, l’alfabetizzazione degli utenti interni è il vero fattore di rischio. La password viene vista come un noioso intermezzo prima di accedere alla postazione ed un fastidioso impegno mensile (se tutto va bene) all’atto della scadenza, con il faticoso impegno a rifare il post-it da incollare al monitor. La “cultura digitale”, per carità, non si improvvisa (come del resto la cultura a tutto tondo), ma l’educazione almeno ai principi basilari dovrebbe essere materia obbligatoria di aggiornamento professionale, al pari di quella sulle normative che regolano l’attività degli uffici di appartenenza o sulla sicurezza sul lavoro. Gli utenti interni non fanno mai nulla per dolo, ma la loro “trascuratezza” nella gestione delle risorse informatiche a disposizione rappresenta certamente il maggiore elemento di rischio di data loss per le strutture cui appartengono.
Concludo invocando la necessità, come primissimo atto, di favorire la formazione del personale degli Enti pubblici, ad ogni livello, partendo soprattutto dai più piccoli e meno “strutturati”. e delle Aziende che, non disponendo di risorse interne, abbiano però la necessità di proteggere dati sensibili o “di valore”.
Seminari, workshop, training online, corsi residenziali: lo strumentario addestrativo è ormai ampio, per tutte le tasche e per tutte le disponibilità e può essere ritagliato in maniera sartoriale per ogni fruitore.
Anche piccole “full immersion” (COVID permettendo, ça va sans dire) fuori dall’ordinario luogo di lavoro, potrebbero offrire spunto di riflessione e concentrazione, per focalizzare una tematica sempre troppo trascurata.
Il personale così formato potrebbe essere la prima “vedetta interna” per segnalare ai responsabili della sicurezza interna eventuali “buchi nella rete” e contribuire al buon funzionamento dei sistemi informativi degli Enti di appartenenza. La cultura della segnalazione, da non vedere come “spiata” ma come “partecipazione al bene comune” va (ri)costruita passo passo.
Perché perdere questa occasione di “rivoluzione culturale”?
