di 

Sicurezza digitale

I siti web della PA sono un colabrodo: il rapporto 2015

Ovunque si verifichino danni ai dati inerenti i servizi on-line delle PA, è difficile stabilire le responsabilità poiché molto spesso diverse sono le componenti (e le percentuali) della colpa. Vogliamo allora tentare di esplicitare quanto laconicamente statuito dalla citata norma enumerando gli aspetti (tecnici e no) di cui tener conto

Foto di familymwr rilasciata sotto licenza cc - https://www.flickr.com/photos/familymwr/4927953375

È sufficiente che il legislatore preveda “Adeguati livelli di sicurezza” per esigere che i siti web della Pubblica Amministrazione siano a prova di grimaldello? Sembra di no, dato che solo nel 2015 centinaia di pagine Internet appartenenti a enti pubblici sono state violate.

Vediamo subito quali. Stando ai dati raccolti sul portale zone-h, luogo virtuale scelto dagli hacker (o meglio cracker) di tutto il mondo per raccogliere le loro bravate on-line, emerge una situazione alquanto preoccupante.

I pirati a scuola

Le violazioni più numerose si osservano a carico delle istituzioni scolastiche: 280 eventi di intrusione registràti nello scorso anno a carico di 278 nomi a dominio.

In seconda posizione, come valore assoluto, si trovano i comuni (seppure su base percentuale si tratti di poco più dell’1% degli 8.050 siti presi in considerazione): 92 eventi di intrusione nel 2015 a carico di 85 nomi a dominio.

Anche le province italiane sono interessate dal fenomeno delle intrusioni: 28 eventi registrati a carico di 17 nomi a dominio sui 110 considerati.

Numeri più contenuti per i siti di Governo e regioni: nel 2015 infatti sono stati registrati 2 eventi di intrusione a carico di 2 diversi ministeri e 1 evento a carico di una Regione italiana. Gli episodi rilevati sono di tipo cosidetto “defacement”, cioè sostituzione della home page originale del sito web preso di mira con una pagina solitamente celebrativa della bravura dell’autore del gesto o, più raramente, con una pagina a sostegno di una causa sociale o politica. Il sito web così modificato viene fotografato e l’istantanea sùbito pubblicata su siti specializzati (come il già citato zone-h) sia come immediata prova del fatto, sia per archiviazione a lungo termine. Un’attività che nella maggior parte dei casi non comporta cancellazione o sottrazione di dati ma che sortisce di sicuro l’effetto di minare la fiducia dei cittadini nei confronti della capacità della PA di erogare servizi on-line rispettando i già citati adeguati livelli di sicurezza. Infatti questo è quanto previsto dalle Linee guida per i siti web delle PA, pubblicate dal Ministero della Funzione pubblica nel 2011, alla voce sicurezza: “Il sito deve possedere caratteristiche idonee a fornire transazioni e dati affidabili, gestiti con adeguati livelli di sicurezza”.

Reputazione e Affidabilità

E dunque non può essere considerato affidabile neppure un sito che, benché non pubblicamente compromesso nella sua pagina iniziale, sia a esempio uno spacciatore di messaggi SPAM di posta elettronica. Da una ricerca effettuata tra novembre e dicembre 2015, è risultato che su 8.195 indirizzi abbinati ai siti delle PA che sono stati analizzati (attraverso quasi 600,000 interrogazioni inviate a 73 diversi servizi di liste nere), 881 sono presenti in una o più blacklist. Questo significa che il 10.75% degli indirizzi considerati, rispondenti a siti web della pubblica amministrazione, hanno una cattiva (in qualche caso cattivissima) reputazione on-line.

Quanto invece alla diffusione dei protocolli di crittografia che costituiscono uno dei requisiti di sicurezza per la trasmissione di dati personali o sensibili da parte dei cittadini sui siti delle PA, la situazione non è certo brillante. Fino al 2014 i dati evidenziavano errori, incapacità e, nelle situazioni migliori, superficialità nell’implementazione dei certificati digitali accoppiati ai nomi a dominio delle PA. Di 8.494 siti esaminati, solo 3.776, pari a 44,45% avevano abilitato un protocollo di crittografia, ma tra questi solo 58 (0,68%) erano risultati perfettamente in regola nell’implementazione e nel funzionamento dei certificati. In altre parole il 44% circa dei siti della PA creava problemi di connessione con l’utente finale che desiderava un canale sicuro di comunicazione.

Il concorso di colpa

Ovunque si verifichino danni (più o meno gravi) ai dati inerenti i servizi on-line delle PA, è difficile stabilire le responsabilità poiché molto spesso diverse sono le componenti (e le percentuali) della colpa. Vogliamo allora tentare di esplicitare quanto laconicamente statuito dalla citata norma enumerando gli aspetti (tecnici e no) di cui tener conto. In primis la scelta del software: team di sviluppo attento e pronto al recepimento di nuovi standard e alla sollecita e proattiva correzione di bug. Selezionare con criteri oggettivi i fornitori del servizio di hosting del sito web (nel caso che si opti per un outsourcing), valutando le garanzie nell’applicazione degli aggiornamenti dei servizi, nella protezione da connessioni malevole, nei tempi di ripristino dei dati. E ancora, come non coinvolgere il personale della PA? L’attività di rispetto delle buone pratiche nel cambio delle password di accesso, nelle autorizzazioni agli operatori e agli utenti finali è troppe volte trascurata così come il modus operandi all’insegna della sicurezza. Perché la sicurezza è disciplina e, i dati lo dimostrano, è difficile essere disciplinati.

Linee guida per la sicurezza

Infine il legislatore, il tassello più importante. Le norme devono essere chiare ed esplicite (ubi lex voluit, dixit, ubi noluit, tacuit). La norma di riferimento, oltre le già citate Linee guida per i siti web delle PA del 2011, è il Codice dell’amministrazione con l’articolo 51 Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni. Purtroppo nessun concreto cenno alla sicurezza nelle recenti Linee guida di design per i siti web della PA, presentate lo scorso 21 novembre a Torino dall'Agenzia per l'Italia Digitale. Trattano appunto esclusivamente di design. Ulteriore occasione per ribadire il concetto è stata còlta dalla recente legge 124/2015 (carta della cittadinanza digitale) con la quale il Parlamento delega il Governo a individuare strumenti per definire il livello minimo di sicurezza dei servizi on-line delle amministrazioni pubbliche. Le aspettative a questo punto sono tutte per la nuova stesura del Codice dell’amministrazione digitale, arricchita anche dai tanti contributi raccolti da ForumPA, affinché stabilisca la redazione di Linee guida che trattino esplicitamente le fattispecie della sicurezza nella presenza sul web della PA.