LA CULTURA DELLA SICUREZZA
I
n Italia i servizi on line del setto-
re pubblico sono tra i primi tar-
get degli attacchi informatici.
È una realtà poco evidente al
grande pubblico, ma molto allar-
mante, che rischia di avere serie
conseguenze a fronte dello svi-
luppo del rapporto digitale tra
cittadini, imprese e Pubblica Am-
ministrazione. Non è soltanto una
questione di risorse tecnologiche,
che pure sono una componente es-
senziale, ma di consapevolezza e
condivisione di comportamenti
organizzativi e metodologie ‘si-
curi’, sui quali non si investe ab-
bastanza. Troppa attenzione alle
opportunità, spesso mal compre-
se, e poca attenzione ai rischi
possono portarci in una condizio-
ne di insicurezza generale, che
potrebbe bloccare a lungo lo svi-
luppo e la modernizzazione di
tanti settori, PA digitale in primis.
Per contrastare questo fenomeno,
occorre agire e confrontarsi in
modo molto più aperto di quanto
è avvenuto sinora.
Ce lo spiega, a margine del semi-
nario sulla sicurezza informatica nel-
la PA Digitale,
Andrea Zapparoli
Manzoni,
membro del direttivo
Clusit.
“Attraverso il Clusit stiamo speri-
mentando forme di divulgazione e
confronto specifiche con i diversi
soggetti interessati al tema delle
minacce informatiche e, tra questi,
la Pubblica Amministrazione.
L'intento della nostra organizza-
zione non-profit è quello di porta-
re la cultura della sicurezza infor-
matica praticamente a domicilio.
A nostro avviso, è fondamentale la-
vorare su momenti di confronto e
di scambio sul problema della si-
curezza, affrontata secondo an-
golazioni diverse: il punto di vista
legale, l'esperienza nel cyber crime,
la Computer forensics, il punto di
vista delle forze dell'ordine.
Riteniamo che si tratti di un mo-
dello utile e necessario perché la
capacità di gestire in modo sicuro
i dati e i sistemi informativi della
Pubblica Amministrazione inizia
dalla consapevolezza di quella che
è la difficile situazione reale”.
Qual è lo scenario generale in ter-
mini di sicurezza?
“A mio avviso siamo in una situa-
zione nella quale 'i cattivi' stanno
prevalendo sui 'buoni' nello spazio
digitale: occorre invertire questo
trend. Per fare questo abbiamo so-
stanzialmente tre modi.
In primo luogo, dobbiamo fare for-
mazione, lavorando su consape-
volezza e competenza.
Inoltre è necessario trovare tutte le
soluzioni idonee ad abbassare il ri-
torno sull'investimento dei cyber
criminali che, oggi, è letteralmen-
te spropositato. Dobbiamo essere
consapevoli del fatto che non si po-
trà mai escludere o impedire l'e-
sercizio di un'attività informatica cri-
minosa, ma possiamo fare in modo
che questa richieda sia impegni
che risorse difficili da reperire.
Il terzo aspetto, strategicamente ri-
levante, è quello di confrontarsi.
È importantissimo ricorrere all'in-
telligence sharing.
Le vittime di attacchi informatici
non devono nascondersi, devono
condividere le proprie esperienze,
per fare in modo di costruire su
quanto accaduto un’esperienza
che ritorni utile in termini di risposta
tecnologica ed organizzativa”.
Sarebbe utile informare meglio il
pubblico e gli utenti su quanto
avviene continuamente e non
solo per i casi più eclatanti?
“Il problema è che il grande pub-
blico fa resistenza.
Dopo trent'anni di marketing del-
l'informatica tutto improntato a
concetti come plug&play, easy,
cheap, free, adesso siamo in diffi-
coltà nel far capire che tutto que-
sto comporta anche dei rischi.
La prima reazione è la chiusura, il
rifiuto. È difficile far passare l'idea
che il proprio smartphone rap-
presenti, al tempo stesso, una
grande opportunità ma anche il ri-
schio di essere derubati o di arre-
care danni alla propria impresa.
Esiste una barriera di percezioni er-
rate, stratificate nel tempo, da su-
perare. Si può fare con l'informa-
zione, ma anche con una politica
mirata di premi o sanzioni per
comportamenti virtuosi o viziosi, ri-
spetto alla propria e all'altrui sicu-
rezza informatica.
Oggi tutto questo non avviene, sul
lavoro e nella società, né nei con-
fronti di chi è attento alla temati-
ca né di chi si espone ai rischi”.
Qual è lo scenario rispetto alle
scadenze previste dall'agenda
digitale che attendono il Paese e
la Pubblica Amministrazione?
“È evidente ai miei occhi di pro-
fessionista sulla sicurezza informa-
tica, e quindi sempre concentrato
su certi aspetti, che i documenti
realizzati per lo sviluppo dei servi-
zi digitali siano ad oggi carenti dal
punto di vista della sicurezza.
Quantomeno sarebbe stata op-
portuna una linea di base degli
strumenti di indirizzo, di previsio-
ne dei rischi connessi a queste nuo-
ve attività che, invece, non sono
proprio enunciati. Questo mi fa
pensare che l'informatica ed il
mondo dei servizi on line siano in
una situazione analoga a quella che
si viveva al tempo dei pionieri
dell'automobilismo. Le automobi-
li erano poche, ma gli incidenti
moltissimi, perché mancavano il co-
dice della strada, la segnaletica, gli
strumenti di sicurezza a bordo,
l'asfalto sulle strade. Noi riteniamo
di aver raggiunto un livello di svi-
luppo informatico elevatissimo: in
realtà, credo che siamo ancora
agli albori di quello che potrebbe
essere. C'è ancora molto da lavo-
rare sia in termini di percezione da
parte delle persone, sia di orga-
nizzazione dei sistemi e dei pro-
cessi. Al momento, la tecnologia è
ancora qualcosa di innestato su
un'organizzazione pre-tecnologica
e questo crea dei cortocircuiti
molto pericolosi.
C'è bisogno di metabolizzare bene
certe scelte, ma per il digitale il
tempo a disposizione è poco, non
certo quello che ha avuto a di-
sposizione la società dell'automo-
bile. Il rischio è quello di ritrovar-
ci, ad un certo punto, nella situa-
zione in cui investire in Ict produ-
ca addirittura un ritorno negativo.
È un rischio enorme per una so-
cietà come la nostra, nella quale
l'innovazione tecnologica infor-
matica è divenuta il principale fat-
tore di miglioramento e sviluppo in
tutti i settori. La Pubblica Ammi-
nistrazione dovrebbe dare il buon
esempio in termini di sicurezza”.
Insomma, la PA dovrebbe curare
l'educazione all'appropriato uso
dei servizi e delle tecnologie, af-
finché il cittadino si attenda poi di
rivolgersi a lei in maniera sicura...
“Certo, e sappiamo che questo
non sempre avviene.
Mi è capitato di constatare perso-
nalmente di vedermi infettare il
computer accedendo all'Albo Pre-
torio di un Ente Locale.
È fondamentale che questo risve-
glio avvenga in tempi rapidi: gli at-
taccanti in questo momento non
hanno limiti, si organizzano facil-
mente e non fanno rumore”.
OCCORRE PREPARARSI ALLE GRANDI RESPONSABILITÀ CHE SI PRESENTANO
Serve più consapevolezza
I
A
NCHIEST
5
MARZO APRILE 2014
Andrea Zapparoli Manzoni
Clusit
Si occupa di ICT Security dal 1997 e
di Cyber Crime e Cyber Warfare dal
2003. È Presidente di Dialoghi e fa
parte del gruppo di lavoro ‘Cy-
berWorld’ nell’ambito dell’Osserva-
torio per la Sicurezza Nazionale del
Centro Militare di Studi Strategici.
È membro del Consiglio Direttivo
di Clusit e di Assintel.
Per il Rapporto Clusit 2014 sulla si-
curezza ICT in Italia ha curato la se-
zione relativa all’analisi dei principali
attacchi a livello internazionale ed ai
trend futuri.
