venerdì, Marzo 29, 2024
Uncategorized

Sicurezza informatica delle Pubbliche Amministrazioni : tra disciplina vigente e prospettive future

Le pubbliche amministrazioni sono, per quanto riguarda la raccolta dati, un contenitore inesauribile di estremi sensibili ed informazioni cogenti. Negli ultimi anni i dati acquisiti dalle P.a. vengono immagazzinati in software informatici.

Sebbene le pubbliche amministrazioni vengano considerate, dal punto di vista della sicurezza, come organizzazioni fortemente regolate, la cui attività è guidata da norme di legge, fino ad oggi sono poche le norme giuridiche che si sono occupate di cyber security.

E’ necessario, ora, per ben capire quale sia la conseguenza di questa debolezza normativa, spiegare il ruolo della cybersecurity. Con questo termine si intende  quell’ambito dell’information security prettamente ed esclusivamente dipendente dalla tecnologia informatica. Essa mira a rafforzare sia le misure di prevenzione ( finalizzate alla riduzione di probabili minacce), ma soprattutto quelle di protezione, che agiscono per ridurre la gravità del danno realizzato da una minaccia.

Norme in difesa della sicurezza informatica

Il Codice dell’Amministrazione Digitale (CAD-D.Lgs 7/03/2005) è il documento che contiene le norme di maggior rilevanza  per quel che riguarda la digitalizzazione delle informazioni.

L’art. 17 occupandosi delle linee strategiche per la riorganizzazione e digitalizzazione dell’amministrazione, definite dal Governo, prevede che le P.a. individuino un unico ufficio dirigenziale per la digitalizzazione.

Il d.lgs. n° 179/2016 rincara la dose, e prevede che lo stesso ufficio debba assicurare la transizione alla modalità  operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una  maggiore  efficienza  ed  economicità.  Una specificazione di questa norma sottolinea che altra mansione demandata a questo ufficio è quella di telecomunicazione, fonia ed organizzazione del Sistema Pubblico di Connettività.

Da questa norma ricaviamo l’assioma di un ufficio unico, che rappresenta un importante punto di riferimento per la diffusione dei dati e la digitalizzazione degli stessi.

Per quel che riguarda le procedure di sicurezza informatica dobbiamo spostarci verso un’ altra struttura: la CertSPC ( Organizzazione demandata alla protezione dell’infrastruttura di comunicazione ed interoperazione della pubblica amministrazione italiana), coordinata dall’ AgID (Agenzia per l’Italia digitale).  La cooperazione di queste due organizzazioni viene utilizzata per le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici. Il loro fiore all’occhiello è la promozione di intese con le strutture di prevenzione e sicurezza internazionali. All’AgID, tra l’altro, è attribuito anche il compito di segnalare al Ministero della P.a.  sia le innovazioni in materia di sicurezza informatica, che il mancato rispetto di esse.

Fino ad ora abbiamo esaminato le organizzazioni specializzate nella protezione dei dati della P.a. ma lo spazio cibernetico è infinito e le varie particelle che lo compongono sono strettamente controllate dal Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico, che ben conosce gli scopi ed i limiti dell’AgID.  L’Agenzia, ergo, oltre la prevenzione e protezione è chiamata anche a dettare raccomandazioni, strategie, norme tecniche in tema di sensibilizzazione e alfabetizzazione del personale, in materia di sicurezza informatica.  Ha un ruolo di primo ordine anche per quanto riguarda la rilevazione delle analisi  dei rischi per l’impiego delle tecnologie avanzate.

Quali sono i danni che posso creare gli attacchi cyber

Le minacce che oggi, possono colpire  le banche dati della P.A. riguardano :

-Sottrazione, alterazione e distruzione di informazioni.

-Blocco ed alterazione di servizi.

-Confusione delle fonti.

-Alterazione di autorizzazioni che sfocia nella falsificazione di esse.

-Manomissione o, nei casi più estremi, distruzione dei sistemi di monitoraggio e controllo.

Tutti questi rischi possono presentarsi grazie il contagio di malware o attacchi cyber. La manomissione o la distruzione dei dati della P.a. rappresentano un serio problema destinato a crescere soprattutto grazie le potenzialità di Internet che vanno migliorandosi di giorno in giorno. Dinanzi questo scenario estremamente problematico risulta necessario un intervento di sicurezza a livello politico e sociale.

La presenza di poche norme, e la concentrazione della maggior parte delle funzioni in capo ad un unico ufficio, rende la sicurezza della P.a. labile.  Le politiche di globalizzazione e di scambio di informazioni nello spazio cybernetico, presenta il mondo come uno spazio infinito e sconfinato e questo è sì una grande occasione per il mercato globale, ma anche per le organizzazioni del cyber-crime che sfruttano “l’apertura cybernetica” per ottimizzare i propri scopi.

Negli ultimi anni si è ipotizzato  un modello di sicurezza informatico, impiantato, soprattutto, su ciò che più manca nella normativa attuale. Esso analizza la possibilità di fare valutazioni coinvolgendo non solo l’agID ma anche le strutture affini, di definire piani di difesa che partano dalla prevenzione ma non si fermino ad essa.  Il punto più discusso, soprattutto dalla dottrina, riguarda la coordinazione con “alleati” esterni, in modo tale da creare vari centri di controllo e monitoraggio. Altro passaggio di vitale importanza è l’attivazione di piani di informazione e formazione. Capire i rischi per comprendere l’importanza di una normativa ad hoc , questo il prossimo passo, che speriamo, il legislatore possa fare.

Oggi i veri rischi arrivano dall’etere informatico. La digitalizzazione apre le porte alla semplificazione delle procedure alla velocizzazione di esse, ma ahimè, anche a malware ad alto rischio.  Le piattaforme della P.a., oggi, sono apertamente accessibili, e quello che si deve migliorare è, sicuramente, lo “scudo invisibile” che deve renderle inattaccabili.

 

 

 

 

 

 

Mirella Astarita

Mirella Astarita nasce a Nocera Inferiore nel 1993. Dopo la maturità classica prosegue i suoi studi presso la facoltà di Giurisprudenza dell’ateneo Federiciano. Amante fin da piccola della letteratura e dei mondi a cui dà accesso, crescendo impara a guardare e raccontare con occhio critico ciò che la circonda. Le piace viaggiare, conoscere posti nuovi, sentire le loro storie ed immaginare come possa essere vivere lì. Di indole curiosa lascia poche cose al caso. La sua passione verso il diritto amministrativo nasce seguendo i primi corsi di questa materia. Attenta all’incidenza che ha questa sfera del diritto nei rapporti giuridici, le piace sviscerare fino in fondo i suoi problemi ed i punti di forza. Attualmente è impegnata nella stesura di una tesi di diritto amministrativo comparato, riguardante i sistemi di sicurezza.

Lascia un commento