sprovveduti digitali
5 Febbraio Feb 2020 0600 05 febbraio 2020

Cybersicurezza, la pubblica amministrazione è un colabrodo (e i nostri dati sono a rischio)

Le università sono quelle messe peggio, tra gli uffici pubblici italiani, sul fronte della sicurezza informatica. A seguire le Regioni, i ministeri, gli ospedali, le città metropolitane. E gli investimenti per garantirci non si avvicinano lontanamente ai livelli di Francia e Germania

Hacker Linkiesta
(Pixabay)

Le Università sono quelle messe peggio tra gli uffici pubblici italiani: 50 su 71 ammettono di aver subito uno o più attacchi informatici nell’ultimo anno. Un dato allarmante – contenuto nel “Censimento permanente delle istituzioni pubbliche” – che passa inosservato in un Paese con una scarsa alfabetizzazione digitale. Ma se si pensa solo a quanti dati sulle ricerche scientifiche e sui profili degli 1,7 milioni di studenti universitari sono custoditi nei server degli atenei, si può intuire quanto ogni falla in questi sistemi sia pericolosa. A seguire, tra le istituzioni pubbliche più deboli sul fronte della cybersicurezza, ci sono le Regioni, i ministeri, gli ospedali e le aziende sanitarie, le province e le città metropolitane. Il 28% delle istituzioni centrali dello Stato ha subito almeno dieci attacchi in un anno: un colabrodo, in pratica. E a pagarne le conseguenze sono i cittadini, spesso inconsapevoli del furto dei propri dati. Mentre gli investimenti pubblici nella sicurezza informatica – di cui non si conosce esattamente l’ammontare (dovrebbero essere tra i 150 e i 200 milioni euro) – non si avvicinano neanche lontanamente ai livelli di Francia e Germania.

«Gli atenei, soprattutto, si concentrano molto più sulla conservazione e digitalizzazione delle informazioni, ma non sulla sicurezza», spiega Valerio Pastore, ceo della Boole Server, che oggi si occupa della sicurezza delle informazioni sensibili e classificate del governo italiano e della Commissione europea. «Spesso si utilizzano servizi commerciali o gratuiti. Quindi tutti i file, anche riservati, di fatto sono gestiti in maniera poco sicura», continua Pastore. «Si dovrebbe conoscere il valore delle informazioni che si hanno in mano prima di metterle a disposizione dei servizi commerciali, perché la maggior parte degli attacchi avviene sui sistemi senza password, quelli che ad esempio vengono usati abitualmente per condividere file e documenti all’interno delle università. Che sono facilmente attaccabili da chiunque. Non bisogna per forza essere un hacker per farlo».

Con l’aggiunta che non sempre si ha la consapevolezza di aver subito il furto dei file. «Se ho una macchina, la mattina mi sveglio, vado in garage e non la trovo, so di aver subito un furto. Con un file no. Il dato viene copiato, quindi non avrò mai la consapevolezza di questa cosa finché magari un database viene pubblicato su Internet», spiega Pastore. Nel silenzio, così, i dati sensibili dei cittadini “custoditi” nei server della pubblica amministrazione, ospedali e cliniche compresi, possono diventare merce venduta a peso d’oro nei mercati illegali del dark web. I più ambiti dagli hacker sono proprio i dati protetti dal Regolamento Europeo sulla Protezione dei Dati Personali (Gdpr), che hanno maggiore valore. «Pochi sanno che nel dark web vengono vendute informazioni pubbliche che dovrebbero essere protette da password e invece sono disponibili a pagamento», dice Pastore.

In termini di misure di sicurezza adottate, se nella quasi totalità delle istituzioni pubbliche vengono usati software antivirus, firewall o procedure di salvataggio dei dati in dispositivi off line, meno diffusa è invece la formazione dei dipendenti, così come l’impiego di sistemi di autenticazione a due fattori, penetration test e della cifratura completa o parziale dei dati. E senza una centralizzazione delle informazioni, il rischio è ancora più alto. Perché ogni comune, ogni singola istituzione, fa un po’ a modo suo. Con livelli di sicurezza differenti.

Proprio lo scorso novembre è stato scoperto quello che la Polizia postale ha definito il più importante attacco hacker alla pubblica amministrazione italiana, in cui le vittime erano diversi comuni sul territorio italiano, le banche dati di Agenzia delle entrate, Inps, Aci e Infocamere. Centinaia di nomi, cognomi, dati sensibili, indirizzi, posizioni retributive e contributive rubati senza che le vittime ne fossero a conoscenza e messi a disposizione su un portale illecito. Dove i dati dei cittadini venivano venduti a pagamento.

E non è solo un problema di privacy. «Informazioni di questo tipo possono essere vendute per questioni di sicurezza nazionale, nei casi più complessi», spiega ancora Valerio Pastore. «Ma anche solo per ragioni di marketing, per inviare pubblicità mirate». E magari per ragioni marketing politico, come sappiamo dopo l’esplosione del caso Cambridge Analytica.

E mentre in Germania e in Francia, la discussione e l’attenzione quando si parla di sicurezza dei dati e delle informazioni gestite dalla pubblica amministrazione si sta spostando verso la necessità di avere server proprietari, di utilizzare soluzioni, strumenti, prodotti “nazionali” o europei, in Italia il dibattito non è neanche aperto. «I Paesi europei coinvolgono molto di più le aziende interne, cosa che in Italia non si fa. Parliamo tanto di “sistema Paese”, ma poi compriamo servizi all’estero, soprattutto americani», spiega Pastore. E in un periodo in cui i sovranisti spopolano, di “server sovrani” non parla nessuno (forse perché in pochi, in realtà, conoscono l’argomento).

In occasione del Summit Digitale 2019, il governo tedesco ha presentato Gaia-X, l’infrastruttura cloud made in Ue che propone una soluzione a livello comunitario per la conservazione dei dati. Un problema che finora abbiamo risolto sistemando i dati di governi, istituzioni, ospedali e scuole nelle “casseforti virtuali” delle imprese straniere, americane in primis. I dati vengono archiviati su server che, anche se fisicamente si trovano in Europa, sono comunque di società statunitensi e sottostanno alle norme statunitensi di accesso ai dati. E, nello specifico, al Cloud Act, che consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dal posto dove questi dati si trovano.

«Ci vorrebbe un cloud italiano, che poi sia collegato a un cloud europeo», spiega Pastore. «Avere server nazionali ed europei consentirebbe di non dover più temere improvvise interruzioni di servizi, di controllo dati, di gestione di infrastrutture critiche, di perdita di dati per una “interruzione” dei cavi sottomarini o anche semplicemente per la “spinta di un pulsante” che dall’altra parte dell’oceano. E oltre che garantire una autonomia e autosufficienza, consentirebbe di riprendere il controllo di parte dell’economia digitale e di considerare i dati dei cittadini Ue un bene pubblico, e non solo un semplice mezzo di profitto». Evitando, per fare un esempio per eccesso, che se Microsoft domani mattina dovesse “spegnere” i suoi server in Europa, il sistema di un ospedale di una qualsiasi provincia italiana rischi all’improvviso di non funzionare più.

Potrebbe interessarti anche
 Iscriviti alla newsletter

Vuoi essere sempre aggiornato? Iscriviti alla newsletter de Linkiesta.it .

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

 Seguici su Facebook