Sicurezza

Difese informatiche scadenti: la PA italiana è un colabrodo

I dati informatici che riguardano gli italiani e sono gestiti dalle pubbliche amministrazioni non sono al sicuro. Qualche mosca bianca esiste ma la maggioranza delle 300 strutture nazionali, regionali e locali che hanno partecipato alla realizzazione del Cyber Security Report 2014 dell'università La Sapienza di Roma non sono adeguate per resistere a eventuali attacchi hacker.

"Ci sono lacune importanti e radicati sia in termini di cultura della sicurezza che di organizzazione", esplicita il documento. "Ne consegue una situazione in cui solo pochissime amministrazioni si possono ritenere consapevoli del rischio cibernetico, mentre gli errori e la quantità di migliori pratiche ignorate sottolineano la profonda arretratezza culturale, in particolare, rispetto al valore strategico ed economico delle informazioni che potrebbero essere trafugate dai sistemi informativi di una pubblica amministrazione". 

Cyber Security Report 2014

Cyber Security Report 2014

I dati non hanno bisogno di laboriose interpretazioni. Su 42 strutture chiave solo 22 hanno raggiunto la sufficienza sotto il profilo dei livelli di difesa, consapevolezza del rischio e organizzazione. Nessuna delle regioni italiane si pone al di sopra del livello minimo richiesto per questi tre parametri e almeno 14 sono in situazione molto grave. A livello comunale è ancora peggio: 68 su 70 sono in condizione disastrosa. Stessa cosa per le ASL. Va un po' meglio negli ospedali. Il Sud complessivamente fa peggio del Nord.

Piccolo manuale della sicurezza informatica (Pocket) [Formato Kindle] Piccolo manuale della sicurezza informatica (Pocket) [Formato Kindle]
Sicurezza in informatica Sicurezza in informatica

"Ciò che manca e che serve è un'organizzazione della sicurezza a livello nazionale. Siamo il solo Paese avanzato a non avere un CERT nazionale, cioè un centro di raccolta dei pericoli informatici e di pronta risposta al problema", sostiene Stefano Zanero, esperto di sicurezza e ricercatore per il Politecnico di Milano.

"In teoria il Cert sarebbe partito il mese scorso; ma l'ha fatto solo a livello teorico e normativo. Non c'è ancora, di fatto, un referente nazionale che si occupi di gestire questo aspetto. Così, se all'estero altri esperti rilevano un pericolo informatico riguardante l'Italia sono ancora costretti a segnalarlo a colleghi e docenti con cui hanno instaurato un rapporto personale".

Cyber Security Report 2014

Cyber Security Report 2014

Durissimo l'intervento di Andrea Stroppa, uno degli esperti di sicurezza italiani più noti all'estero per le sue ricerche nell'ambito dei social network. "A parte poi la qualità del report, basato su un questionario e non su test, a parte le inesattezze tecniche del report, a parte l'auto proclamazione dei migliori (oste è buono il vino?), a parte il CERT che come dice l'amico Zanero esiste solo su carta, a parte i dati forniti dal report che sembrano essere stati sparati con il cannone, a parte tutto. Ma veramente questo Paese non si rende conto che così non ha futuro?".