di 

L’impatto sociale della sicurezza informatica: ecco il vero focus per la PA

Il danno sociale generato da un attacco cyber, che blocca un servizio della PA o ruba i dati dei cittadini, è un danno inaccettabile. Ma quali contromisure prendere? Se l’amministrazione (per esempio un piccolo Comune) non ha il budget né la struttura per mettere in sicurezza le proprie informazioni come si può intervenire? Bisogna agire a monte con servizi sicuri by design: le misure (e la relativa spesa) per la sicurezza informatica devono essere parte integrante del progetto e del relativo budget. Ecco la raccomandazione che inserirei all’interno del Libro bianco.

Photo by John Schnobrich on Unsplash - https://unsplash.com/photos/FlPc9_VocJ4

Quando parliamo di sicurezza informatica parliamo di misure che servono a proteggere non le macchine, (quindi i pc, i server, e così via) ma le informazioni. Il risultato di un cyber attacco non è la perdita di byte, ma il danneggiamento o la perdita di dati, il che genera un impatto economico, tecnologico, ma anche sociale. Cosa intendiamo per impatto sociale? Intendiamo conseguenze sulla realtà quotidiana e sul rapporto con le persone che ne fanno parte. Per un’azienda questo può voler dire licenziare delle persone, per un’amministrazione invece ha un senso molto più ampio.

Mi spiego meglio. Io sono abituato a lavorare soprattutto con aziende private. Vado presso di loro, faccio consulenza in tema di security, le aiuto ad analizzare i rischi e a prendere le dovute contromisure. Il fattore che guida le scelte delle aziende è evidentemente soprattutto un fattore economico: il danno derivante da un attacco può essere stimato, ad esempio, sulla base del mancato fatturato o del danno di immagine che avvantaggia i competitor. L’azienda pensa: siccome rischio danni per milioni di euro, spendo volentieri una cifra considerevole per proteggermi. Parliamo di risk appetite, l’esempio che faccio sempre è quello dell’assicurazione auto: tu sai quanto hai pagato la tua macchina, sai quanto vale e quanto perderesti in caso di furto, per cui stipuli un’assicurazione sulla base di questi parametri. Il tuo risk appetite è la franchigia per la quale sei disposto a fare un investimento, il premio che vai a pagare ogni anno. Le aziende in tema di cybersecurity dovrebbero ragionare in questo modo.

Il problema è che nel mondo della PA non vale questa logica, perché il danno potenziale e principale non è un danno economico. Se per esempio a un Comune rubano tutti i dati dell’Anagrafe e li pubblicano su internet, esiste certamente un danno di immagine, ma il cittadino non può rivolgersi a un altro soggetto per ottenere quel servizio, quella PA non ha competitor in tal senso. Il danno reale per quel Comune è un danno sociale. Quindi decidere le strategie per proteggere queste informazioni è tutt’altro che banale.

Se è vero che il danno sociale generato da un attacco cyber che blocca un servizio della PA o ruba i dati dei cittadini è un danno inaccettabile, quali contromisure possiamo prendere? Se l’amministrazione (per esempio un piccolo Comune) non ha il budget né la struttura per mettere in sicurezza le proprie informazioni come si può intervenire? Bisogna agire a monte.

Torno al parallelismo con le aziende private e con le automobili. Per un’azienda il costo di security deve essere un costo previsto già all’interno del budget iniziale di un progetto, non un costo aggiuntivo per cui si devono trovare risorse una volta realizzato il prodotto. Come quando si costruisce un’automobile: il costo della cintura di sicurezza fa parte integrante del prodotto, non può essere considerato una spesa aggiuntiva. Analogamente, in ottica PA, possiamo ipotizzare che all’interno di una gara per la realizzazione di un servizio/prodotto digitale siano previsti oneri invarianti per la sicurezza, un requisito minimo e intoccabile, che non può essere oggetto di ribasso. Analogamente a quanto avviene per la sicurezza delle persone in altri tipi di gare riguardanti lavori pubblici, ad esempio. Questo peraltro è in linea con il GDPR, che richiede servizi sicuri by design, quindi fin dalla fase di progettazione.

Aggiungerei, quindi, questa raccomandazione all’interno del Libro bianco: un focus sull’impatto sociale della sicurezza informatica in ottica PA.

Inserirei poi anche un’altra raccomandazione che si collega al tema dell’accessibilità. Il crescente utilizzo di dispositivi mobili può introdurre ulteriori problemi di security di cui si deve tenere conto, sia dal punto di vista tecnologico che dal punto di vista dell’approccio dell’utilizzatore. Quando usiamo lo smartphone, infatti, abbiamo una soglia di attenzione diversa rispetto a quando usiamo un pc. Ci accorgiamo più facilmente che un sito ha qualcosa che non va guardandolo dal monitor di un pc piuttosto che dal mobile, dove lo schermo e la tastiera sono più piccoli ed è più frequente sbagliare un’azione. In questo campo i rischi sono ancora sottovalutati. L’ergonomia delle applicazioni mobile dovrebbe invece tenere conto di questi aspetti di security.

Infine, chiuderei con due riflessioni di tipo più generale.

La prima riguarda il tema della governance, che si inserisce in una realtà iperframmentata, in cui le strutture più piccole sono meno attrezzate sia in termini di budget che di staff e competenze a gestire i temi del digitale in generale e della sicurezza in particolare. La vera sfida sarà creare una uniformità territoriale importante. Qui chi deve guidare sono le strutture centrali, che hanno più competenza e capacità. Molti passi avanti sono stati fatti: penso alle misure minime di AgID, alle Linee guida per lo sviluppo del software sicuro, al CERT nazionale e CERT-PA che finalmente stanno lavorando. Un quadro positivo rispetto a qualche anno fa, ma c’è ancora molta strada da fare e la pressione normativa è giustamente in aumento perché i dati sono sempre più importanti.

La seconda riflessione, con cui chiudo, è per ricordare che il tema della sicurezza e tutela delle informazioni è trasversale a tutti i capitoli del Libro bianco. Fare software sicuro non ha senso se poi non lavoriamo anche sulla cultura, sulla strategia, sui modelli organizzativi, sull’adeguamento normativo. Quindi se non facciamo tutte le cose che sono scritte negli altri capitoli del Libro bianco, non stiamo facendo sicurezza delle informazioni.