Indicazioni per la nostra nuova agenzia della cyber sicurezza

Indicazioni per la nostra nuova agenzia della cyber sicurezza

Finalmente anche l’Italia si è attivata per mettere a punto un programma di miglioramento della sicurezza informatica di infrastrutture pubbliche di livello critico. Le indicazioni degli Stati Uniti che si sono attivati diverso tempo.

Il General accounting Office, che è il grande controllore delle attività svolte dalle agenzie federali, da decenni tiene sotto controllo il livello di sicurezza informatica delle agenzie federali. L’attività ispettive comportano la pubblicazione periodica di un importante documento, che fa il punto sulla situazione ed offre indicazioni per il futuro. Dal momento che questa attività ha cominciato essere svolta sin dal 1997, non può stupire nessuno il fatto che il rapporto, recentemente pubblicato, possa dare indicazioni preziose per chi deve affrontare questi problemi, di qua e di là dell’Atlantico.

Ecco i quattro punti fondamentali da prendere in considerazione.

Occorre stabilire una strategia di cyber sicurezza ben articolata ed occorre effettuare un monitoraggio costante di quanto fatto.

Un aspetto fondamentale di questa strategia è che essa deve essere costantemente aggiornata, al massimo una volta all’anno, per rispecchiare l’evoluzione dei sistemi informativi, la criticità delle applicazioni e soprattutto la crescente abilità degli attaccanti.

Il fatto di disporre di una struttura centrale di monitoraggio rappresenta indubbiamente un vantaggio, di cui l’Italia adesso potrà cominciare ad avvalersi.

Pubblicità

Occorre mettere in sicurezza tutti i sistemi federali alle informazioni in esse contenute.

È ben vero che il governo federale ha fatto dei progressi in questo settore, ma esistono ancora delle grandi differenze fra le varie agenzie federali, che hanno presentato e presentano delle debolezze di cybersecurity assai differenziate. Il fatto che queste agenzie federali siano spesso fra loro intercollegate fa sì che una debolezza di una agenzia possa costituire un punto di penetrazione, che potrebbe mettere in difficoltà anche i sistemi informativi delle altre agenzie collegate. È questo un aspetto fondamentale che l’agenzia italiana per la cyber sicurezza dovrà sicuramente affrontare al più presto, in quanto l’esperienza dimostra come il livello di sicurezza dei vari enti governativi coinvolti sia, ancora oggi, assai diverso.

Occorre avviare un programma specializzato di protezione delle infrastrutture critiche.

È questo uno dei motivi per cui anche l’Italia si è attivata con il recente decreto legislativo. A questo proposito, gli ispettori del General accounting Office hanno raccomandato più volte che il programma di protezione sia basato su norme di livello internazionale, che in Italia oltretutto hanno il pregio di costituire conformità alla regola d’arte. Negli Stati Uniti le norme afferenti alla sicurezza informatica sono pubblicate dal National Istitute of standard and technology- NIST, mentre in Italia possiamo avvalerci delle norme elaborate dai comitati tecnici dell’unione europea.

Occorre proteggere al meglio i dati sensibili e personali.

Anche se gli Stati Uniti non dispongono di un documento così articolato, come il regolamento generale europeo sulla protezione dati personali, dispongono tuttavia di numerosi provvedimenti legislativi, che impongono a chiunque tratti dati sensibili e personali di adottare appropriate misure di protezione. L’attenzione degli ispettori si è in particolare concentrata sulle violazioni dei dati, sia di natura dolosa, sia di natura accidentale, che più volte hanno portato alla pubblicazione di dati, che avrebbero dovuto essere protetti in modo ben più efficace.

Al proposito, occorre sottolineare che la situazione legislativa negli Stati Uniti è meno efficiente ed efficace, rispetto a quella presente nell’unione europea, perché ancora gli Stati Uniti non dispongono di una legge ben articolata che governi la raccolta, l’uso, la vendita o altre forme di comunicazione a terzi di informazioni personali di un consumatore.

Come il lettore ha certamente potuto vedere, si tratta di raccomandazioni preziosi che quanto prima verranno attuate, tanto maggiore sarà la sicurezza dei sistemi informativi critici.

Adalberto Biasiotti

Licenza Creative Commons