1
Introduzione
Stiamo assistendo negli ultimi venti anni ad una importante
evoluzione tecnologica informatica, alcuni parlano addirittura di
rivoluzione, indotta dalle nuove e più sofisticate conoscenze e
competenze in ambito ICT.
L’idea di una tesi sulla sicurezza informatica nasce innanzitutto
dalla mia passione per il tecnologico, e quindi per il digitale, e dalla
speranza di riuscire ad arrivare ad una dematerializzazione nelle
Amministrazioni Pubbliche senza il timore di correre incontro a forti
rischi e minacce sul nostro operato e sui dati, personali e
amministrativi.
Lavoro presso il Ministero dell’Economia e delle Finanze, nella
Direzione Sistema Informativo della Fiscalità, la quale, tra le varie
competenze, assicura il governo della sicurezza del SIF e l’emanazione
delle linee guida in materia di sicurezza ICT e riservatezza e utilizzo dei
dati. Assicura inoltra il governo dell’infrastruttura di rete del SIF e
l’attività di indirizzo delle scelte relative alla progettazione e evoluzione
della rete unitaria di settore; cura il governo del contratto relativo al
Sistema pubblico di connettività e il coordinamento dei servizi relativi.
Supporto dipartimentale al CERT-MEF (Computer Emergency Response
Team).
Internet è un qualcosa di meraviglioso che è stato capace di
stravolgere le nostre vite, le ha forse trasformate: ci consente di
raggiungere persone in tempo reale pur essendo lontane da noi,
possiamo richiedere ed ottenere beni dal settore privato, servizi da
quello pubblico in un tempo davvero breve, il tutto senza toglierci
tempo, molto spesso prezioso, alla nostra vita frenetica di tutti i giorni;
ci fa risparmiare tempo, ci fa evitare lunghe file agli sportelli, ci
consente di risparmiarci giorni di ferie e permessi nella sede lavorativa;
con internet ci si può parlare, e per quanto questo possa sembrare
2
affascinante ed incredibilmente utile, è sicuramente molto pericoloso:
basti pensare a quando facciamo una domanda a Google e in tempo
reale ci viene fornita una o più risposte, soluzioni, chiare e precise.
Certo è, che in questo mondo fantastico ci si deve muovere bene, con
discrezione, con attenzione e con la consapevolezza che non può
assolutamente essere sottovalutato in nessuna delle sue parti per
proteggere sempre, non solo la nostra incolumità digitale, ma anche
quella dei nostri figli, che utilizzano e vivono quotidianamente il mondo
digitale, e delle persone accanto a noi che sono più fragili e meno
attente.
Diventa quindi fondamentale difenderci!
Nella moderna società dell’informazione si parla di sicurezza delle
informazioni e se fino a qualche tempo fa era considerata un costoso
optional oggi è caratteristica imprescindibile di un sistema informativo.
Sembra facile, magari pensando che basti solo utilizzare
combinazioni difficili di password, o non utilizzare la carta di credito per
pagamenti on line. Questo non è sufficiente, occorre molto di più:
Prevenire gli attacchi;
Riconoscere gli attacchi;
rispondere agli attacchi;
ricercare ed individuare nuovi tipi di attacco per studiarli e per
migliorare i controlli di sicurezza o studiare come rimuoverli;
osservare l’attaccante mentre viola il sistema e quindi lavorare
sull’identificazione di potenziali debolezze che andranno corrette;
In occasione della stesura di questo elaborato, mi sono
mantenuta sempre aggiornata sugli articoli pubblicati da Agenda
Digitale, ho partecipato a diversi seminari organizzati dal Forum PA, mi
sono tenuta aggiornata con le newsletter di Privacy Italia, ho seguito
gli interventi del professor Giorgio Sbaraglia, Consulente aziendale
della Cyber Security e membro del CLUSIT, il quale inizia i suoi corsi
con una frase: “Il web è diventato un luogo pericoloso, certo, ma
3
possiamo difenderci!”, ed è proprio così, occorre appunto, acquisire la
consapevolezza dell’esistenza dei rischi informatici e saperli affrontare.
In tutto questo ho scoperto un mondo. Ne sono rimasta
affascinata e soprattutto mi sono resa ancora più conto di quanta poca
importanza e attenzione viene data al mondo digitale, quanti errori si
commettono, quanto pensiamo di essere attenti e scrupolosi ed invece
utilizziamo spesso comportamenti banali e superficiali.
L’elaborato viene suddiviso in cinque capitoli, nel primo capitolo
viene affrontato un discorso molto generico sulla sicurezza informatica,
cos’è e l’importanza che assumono le risorse umane, intese sia come
fattore di minaccia se non formate e informate dei rischi, sia come
responsabili all’interno dell’Organizzazione.
Uno degli aspetti più critici, infatti, è legato al fattore umano e arriva
soprattutto dall’interno della Struttura, attraverso i social network, i
dispositivi mobili, accesso ai siti non istituzionali e per la maggior parte
dei casi da errori che possono essere inconsapevoli, in quanto l’utente
agisce in un determinato modo senza essere informato del pericolo,
accidentali perché non rispetta le procedure di sicurezza o agisce in
modo poco attento e responsabile, o intenzionali se agiscono con la
consapevolezza di creare un danno all’Organizzazione o se lo fanno per
chiedere un risarcimento o per vendere i dati aziendali rubati.
Il secondo capitolo è dedicato allo scenario normativo italiano ed
europeo, in particolar modo alla direttiva NIS (1148/2016) e al
Regolamento Europeo GDPR 679/2016.
La direttiva NIS - Network and Information System - recante “misure
per un livello comune elevato di sicurezza delle reti e dei sistemi
informativi nell’Unione”, la quale viene recepita dall’Italia con il Decreto
Gentiloni del 17 febbraio 2017 e dal decreto 65/2018 definisce le
4
misure tecniche ed organizzative attuabili per gestire o quantomeno
ridurre, i rischi da attacchi informatici. Compiti di attuazione sono
demandati ai fornitori di servizi essenziali.
Con il Regolamento 679/2016, meglio conosciuto come GDPR, si è data
una importante attenzione al concetto di sicurezza informatica. Il
legislatore comunitario ritiene che, per sicurezza delle reti e
dell’informazione bisogna intendere “la capacità di una rete o di un
sistema d’informazione di resistere, a un dato livello di sicurezza, a
eventi imprevisti o atti illeciti o dolosi. Che compromettano la
disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali
conservati o trasmessi. Inoltre la sicurezza dei relativi servizi offerti o
resi accessibili tramite tali reti e sistemi da autorità pubbliche,
organismi di intervento in caso di emergenza informatica (CERT),
gruppi di intervento per la sicurezza informatica in caso di incidente
(CSIRT), fornitori di reti e servizi di comunicazione elettronica e
fornitori di tecnologie e servizi di sicurezza”.
Il responsabile del trattamento deve valutare il rischio derivante
dall’uso della tecnologia, e il rischio derivante dal trattamento dei dati
personali, quali la perdita, modifica, distruzione accidentale o accesso
non autorizzato.
Il GDPR sancisce il principio di accountability, in virtù del quale titolare
del trattamento mette in atto misure tecniche e organizzative adeguate
per garantire, ed essere in grado di dimostrare, che il trattamento dei
dati personali è effettuato conformemente al Regolamento.
Il terzo capitolo tocca fondamentalmente un unico punto, quello
della capacità di sapersi difendere e tutelare dalle minacce che
provengono dall’esterno e dall’interno dell’Organizzazione, in particolar
modo si parla delle 3 W: Workforce, intesa come la capacità di saper
riconoscere gli utenti che si collegano ad una rete, Workload, la
5
capacità di garantire che le connessioni tra le applicazioni siano sicure
ed avere visibilità di ciò che succede tra queste e Workplace cioè la
capacità di saper e poter identificare e controllare chi e cosa si sta
collegando alla rete.
Il quarto e il quinto capitolo sono il cuore di questo mio elaborato.
Come ho già accennato lavoro nella Pubblica Amministrazione, e ho
trovato interessante approfondire l’argomento della sicurezza
informatica nel settore pubblico, dall’importanza delle misure minime
imposte dall’AGID, alle figure del CERT e del Referente Informatico
all’interno dell’Organizzazione.
Ho dato ampio spazio alla procedura per la gestione della sicurezza e
degli incidenti all’interno della PA, illustrandola anche attraverso una
rappresentazione grafica, realizzata attraverso VISIO 2010, e a quelli
che sono i principali vettori di intrusione delle minacce.
Ho intervistato l’ing. Raffaele Visciano, Responsabile informatico per il
Dipartimento delle Finanze e Referente in tema di cyber security
affrontando il tema della sicurezza informatica all’interno del
Dipartimento, della riservatezza, autenticità, integrità e disponibilità
delle informazioni e cosa si sta facendo per gestire tutto questo nel
migliore dei modi. Eh sì, perché è proprio il RID la parola magica in
tema di sicurezza delle informazioni perché perseguire la sicurezza
delle informazioni in un sistema informativo che si avvale
fondamentalmente della componente automatica significa garantire al
proprio patrimonio di informazioni queste tre componenti:
La Riservatezza consiste nel limitare l’accesso alle informazioni ed in
generale alle risorse informatiche alle sole persone autorizzate, sia in
fase di archiviazione delle informazioni sia in fase di comunicazione
delle stesse.
6
L’Integrità consiste nel garantire correttezza, coerenza ed affidabilità
delle informazioni, in sostanza i dati non devono essere modificati o
cancellati.
La Disponibilità rappresenta il grado in cui le informazioni sono
accessibili agli utenti che ne hanno diritto nel momento in cui le stesse
servono.
Concludo questo elaborato con quelle che sono le principali
raccomandazioni da seguire per evitare di cadere nella trappola di
incidenti malevoli. La conoscenza dei rischi e una buona formazione
sono elementi importanti che anche se non ci garantiscono una totale
protezione delle reti e salvaguardia dei dati e delle informazioni,
sicuramente ci aiutano a rendere meno vulnerabili i nostri sistemi.
Tutte le tabelle, grafici, schemi e diagrammi di flusso sono stati da me
realizzati.