Ecco le "misure minime" Agid per la sicurezza PA - FPA

Ecco le “misure minime” Agid per la sicurezza PA

Home PA Digitale Sicurezza Digitale Ecco le “misure minime” Agid per la sicurezza PA

Se un dirigente decide che per lui penna d’oca e calamaio “sono meglio”, possiamo essere certi che in quella PA sarà bloccata non dico l’innovazione, ma piuttosto la doverosa osservanza di una legge dello Stato. E Agid ha pochi strumenti per cambiare le cose. Le nuove linee guida lo confermano

30 Settembre 2016

C

Claudio Telmon, Clusit

Sono davvero misure minime, ovvero un minimo di decenza in fatto di sicurezza, il documento di “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni” pubblicato in questi giorni dall’AgID.

Risulta essere emesso in attuazione della Direttiva del Presidente del Consiglio dei Ministri del primo agosto 2015, che presenta degli obiettivi ambiziosi, legati ad uno scenario in cui da una parte i sistemi informativi sono riconosciuti essere un componente critico delle Amministrazioni, e dall’altra le minacce continuano ad evolvere verso una sempre maggiore aggressività. E parlando di aggressività e Pubbliche Amministrazioni, un tipo di minaccia che in Italia dovrebbe preoccupare molto è la possibilità da parte della criminalità organizzata di assumere il controllo di servizi esternalizzati delle Pubbliche Amministrazioni, come riportano le intercettazioni di quest’estate, dove l’ennesima “cricca” romana discuteva di voler diventare fornitore del sistema di digitalizzazione degli atti giudiziari per avere un accesso incontrollato ai documenti

In questo quadro sono da valutare le “misure minime” dell’Agid. Ci ricordano quelle dell’Allegato B della 675/96, che tanto sono state derise, ma che alla fine hanno portato l’autenticazione personale e gli antivirus nella maggior parte delle piccole imprese, che fino ad allora ne facevano allegramente a meno. Quali sono le differenze? Non certo il tenore dei requisiti: a vent’anni di distanza, per le Pubbliche Amministrazioni si parla di misure di base come i backup, precisando anzi che alcuni dei controlli dai quali si è partiti (i SANS 20 ) sono stati presi in una versione più vecchia perché, eliminati dal SANS nella versione più recente, sono invece ancora attuali per le PA italiane. Basterebbe questo per chiudere qualsiasi commento, non sulle misure minime, ma sullo stato medio delle Pubbliche Amministrazioni italiane, al quale le misure minime si adeguano. Ma i backup sono invece proprio il punto giusto da cui partire per fare qualche considerazione. Perché queste misure minime non sono il primo tentativo di portare sicurezza nelle PA, né da parte di AgID (o CNIPA, o AIPA, che negli anni ci ha provato diverse volte) né da parte di norme più stringenti, come il CAD. Ma nella maggior parte delle PA la sicurezza è entrata solo dove qualche dirigente illuminato, o più spesso qualche dipendente pervicace, ha deciso che sì, quei dati e servizi dei cittadini andavano protetti: e non è certo a queste strutture che le misure minime sono dirette.

Ma se invece un dirigente decide che per lui penna d’oca e calamaio “sono meglio”, possiamo essere certi che in quella struttura sarà bloccata non dico l’innovazione, ma piuttosto la doverosa osservanza di una legge dello Stato, come è appunto il CAD. Non sarà certo AgID a cambiare qualcosa, dato che non è stata mai messa in grado, da statuto e soprattutto nella pratica, di imporre queste linee guida e buone pratiche. Questo, e non vincoli di costi e competenze, è il vero ostacolo all’introduzione di misure di sicurezza nelle PA, ostacolo che si manifesta anche dove i costi sono minimi (non certo tutta l’informatizzazione) e lo sforzo è essenzialmente organizzativo. Ma tornando ai backup, non è forse curioso nel 2016 dover dare alle PA una indicazione così di base? Sarà forse un requisito troppo minimo, superfluo, e non si dovrebbe richiedere qualcosa di più forte? In effetti il CAD, legge dello Stato, all’articolo 50-bis, prevedeva dal 2010 un requisito molto più forte, quello della continuità operativa. Certo, la continuità operativa, quella vera, costa, ma almeno un backup remoto (cifrato) ha costi ormai accessibili, e le PA se vogliono si sanno consorziare.

Dovrebbe essere quindi grottesco, ed è invece tragico, sentire degli sforzi per recuperare un server dalle macerie del Comune di Amatrice. Ma su questo almeno, il legislatore ha fatto chiarezza: con il nuovo aggiornamento al CAD, il 50-bis è stato eliminato. Che messaggio sta dando allora il legislatore a quelle PA che con coscienza hanno affrontato l’onere non trascurabile di implementare seriamente quella continuità operativa che il CAD richiedeva? E che messaggio sta dando a quelle che finora hanno ignorato il 50-bis e le indicazioni di AgID? Quindi alla fine, è corretto che AgID, mancando il supporto di norme di legge più vincolanti, prenda atto della situazione ed emetta delle misure minime che partano non tanto da quello che si vorrebbe ottenere dalle PA in generale, né da quello che si può migliorare per quelle che già hanno fatto qualcosa, ma da quello che realisticamente si può chiedere alle tante PA a cui queste misure minime sono effettivamente dirette: “Pubbliche Amministrazioni, per favore, come minimo, effettuate almeno settimanalmente una copia di sicurezza almeno delle informazioni strettamente necessarie per il completo ripristino del sistema”. Che è un po’ come dicevano le misure minime dell’Allegato B, “aggiornate l’antivirus ogni sei mesi”: sembra assurdo, ma se uno l’antivirus non ce l’ha proprio, magari così non gli dà troppo fastidio installarlo.