Il disastro della sicurezza informatica.

Credit foto “Lone Hacker in Warehouse” by dustball is licensed under CC BY-NC

Di Pierdomenico Corte Ruggiero

L’attacco hacker al sistema informatico della Regione Lazio ha mostrato che il Re è nudo. Nell’era digitale i dati informatici sono più preziosi dell’oro. Dati bancari, password, dati sanitari, dati personali, dati economici. Tutto custodito in server, cloud e altre diavolerie simili. Tutto consultabile via internet. Non solo i dati. Molti servizi essenziali si basano su sistemi informatici collegati al web. Energia elettrica, sanità, traffico aereo.

La difesa del sistema informatico nazionale è parte essenziale del piano di difesa nazionale. Le guerre non si combattono più solo con cannoni, uomini e fucili. Ora si combatte la guerra cibernetica.

Guerra che l’Italia sta perdendo. Che non ha iniziato nemmeno a combattere. Troppa la frammentazione e la macanza di standard comuni di sicurezza informatica.

Pensiamo alle centinaia di server dove sono conservati i nostri dati. L’ospedale dove ci siamo curati. La banca o l’ufficio postale dove abbiamo il conto. L’ufficio anagrafe del comune. L’Agenzia delle Entrate. L’agenzia immobiliare dove abbiamo comprato casa. Il negozio di telefonia dove attiviamo la scheda. L’azienda di trasporto pubblico dove abbiamo comprato l’abbonamento. L’azienda che gestisce l’antifurto della nostra abitazione. L’elenco è ancora lungo. Molto lungo.

Ci siamo mai chiesti se i nostri dati siano al sicuro?  La risposta probabilmente ci spaventerebbe. La sicurezza informatica costa. Non basta l’antivirus e il firewall. Serve creare una efficace architettura del sistema. Autenticazione a due fattori. Applicare la regola del 3-2-1: 3 copie di ciascun file, una principale e due di backup;  salvare le copie in almeno 2 memorie fisiche diverse; almeno un backup su un cloud. Nei casi in cui serve maggiore sicurezza conservare i dati su memorie fisiche non accessibili da internet. Controllo severo del traffico internet di tutti coloro che hanno accesso a dati sensibili. Serve personale preparato per garantire la sicurezza informatica.

Troppo spesso sia enti pubblici e sia aziende private risparmiano sulla sicurezza informatica. Anzi non conoscono nemmeno i fondamentali della sicurezza informatica.

In un paese in cui un’ufficio pubblico non ha il materiale di cancelleria, come pretendere che venga curata la sicurezza delle reti informatiche?

Il Decreto Legge 14 giugno 2021 n.82 istituisce l’Agenzia per la cybersicurezza nazionale, con lo scopo di: « esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche».

La speranza è che l’Agenzia per la cybersecurity nazionale non rimanga solo sulla carta e che riesca ad inalzare lo standard di sicurezza delle centinaia di enti pubblici.

Qualche dubbio sulla futura reale efficacia dell’Agenzia è però legittimo. Ad esempio, quante pubbliche amministrazioni applicano la circolare AgID n.2/2017 del 18 aprile 2017 recante « Misure minime di sicurezza ICT per le pubbliche amministrazioni» ?

L’Italia è il paese delle mille norme e dei cento enti che dovrebbero applicarle. Senza coordinamento. Senza l’accentramento delle funzioni di sicurezza informatica. Il disastro è certo.

Un pirata informatico con la giusta preparazione e mezzi adeguati può, se trova una falla,  togliere l’energia elettrica a zone d’Italia, impedire agli aerei di atterrare. Una minaccia reale. Terribile.

Quanto successo alla Regione Lazio è il primo atto di una guerra. Che non possiamo perdere.