A distanza di pochi giorni un attacco ransomware alla RFI e una caduta di tensione a SOGEI hanno mostrato una realtà di cui vantarsi poco e preoccuparsi tanto, quello di un Paese che sembra non aver capito bene quanto sia importante garantire la sicurezza informatica.
Era il 2017 quando scrissi un articolo dal titolo piuttosto chiaro “La Cultura della Sicurezza”, un argomento davanti al quale bisognerebbe quantomeno fare una riflessione, soprattutto se si vuole parlare di cloud nazionale, interoperabilità, etc…
Invece l’Italia ha avuto una settimana a dir poco imbarazzante ed è difficile non citare e non essere d’accordo con l’editoriale di Rapetto sul suo Infosec News.
Il tripudio in questa triste quaresima digitale andrebbe moderato perché il Venerdì Santo non è ancora arrivato e le avvisaglie della fragilità del sistema nervoso nazionale sono ogni giorno più inquietanti.
Fonte: Infosec News
La caduta di tensione della SOGEI, in particolare, è imbarazzante perché ha immobilizzato realtà importanti come l’Agenzia delle Entrate, Entrate Riscossione, Dogane e Monopoli. Nel 2022 questa motivazione è quantomeno inaccettabile, soprattutto se la stessa SOGEI si è proposta di realizzare il Polo Strategico Nazionale all’interno di una cordata con Tim, Leonardo e Cassa depositi e prestiti. La caduta di tensione è un evento tecnologicamente prevedibile e tranquillamente gestibile se consideriamo che realtà come INPS hanno implementato nel loro piano di disaster recovery complessità ben più serie:
Il Piano di ripristino è predisposto per far fronte a diverse tipologie di danneggiamento (scenari) che coinvolgono in parte, o totalmente, il Sistema Informativo. Lo scenario non prende in esame il tipo di evento danneggiante che si può verificare (incendio, allagamento, terremoto ecc.), ma piuttosto la tipologia di danneggiamento che si è verificata, in quanto è la natura della struttura danneggiata e la gravità del danno che determinano le azioni da intraprendere per il ripristino del servizio.
Fonte: “Descrizione del Contesto Tecnologico dell’INPS e della soluzione di Disaster Recovery Richiesta” – LINK
In merito agli SLA
Come riportato da molti editorialisti e interessati alla materia, c’è poi la tematica dei Service Level Agreement (SLA), i livelli di servizio a cui una fornitura e/o un servizio sono assoggettati per la corretta erogazione. Le infrastrutture più critiche, come SOGEI o come RFI (Rete Ferroviaria Italiana), sono generalmente assoggettate a SLA del 99,9% di disponibilità il che significa che il servizio oggetto di fornitura deve essere garantito con un’interruzione massima di 8h 45m 56s annui, pari ad una pausa dall’erogazione di 1m 26s giornaliera. Se si avesse voglia di calcolare gli SLA e rendersi conto di come “oscillano”, si può consultare il portale “SLA & Uptime calculator“. Gli SLA hanno un valore forte: condizionano le modalità di fornitura e consentono di esercitare, da parte del cliente/utente finale, i propri diritti in termini di penali.
L’Italia in ambito nazionale e internazionale
L’Italia ha questo comportamento anche in ambiti extra nazionali, ricorderete la faccenda di un Ministro dell’Interno che si è fatto i selfie dentro l’ufficio compromettendo potenzialmente la sicurezza dell’ambiente ma si ritiene utile citare un passo del libro “Oligarchi”.
Nel pieno dell’operazione, ha scritto «Il Foglio», Rocco Casalino, il portavoce del premier italiano, mandava ai giornalisti messaggini con la sua geolocalizzazione all’aeroporto di Bengasi, facendo infuriare le alte sfere dell’Aise, i servizi esteri italiani, e causando sconcerto nei vertici dell’agenzia, convinti che in questo modo la liberazione degli ostaggi italiani fosse stata messa in pericolo. Casalino verrà convocato d’urgenza al Copasir. Non farà in tempo ad andarci, per la caduta del governo Conte.
Fonte: “Oligarchi” di Jacopo Iacoboni e Gianluca Paolucci, Ed. Laterza, 2021
Conclusioni
Nel caso di RFI, l’imbarazzante scenario che si è sviluppato su Twich, è frutto di una mancanza di cultura della sicurezza informatica che non riguarda solo l’implementazione di firewall, antivirus, hardware e software ma l’analisi ex-ante di strategie e l’adozione di comportamenti eticamente ineccepibili. Il caso SOGEI lascia semplicemente perplessi, soprattutto quando si affianca quanto accaduto a termini come Polo Strategico Nazionale, Cloud Nazionale, etc…
Analizzando questi casi (e a dire il vero non solo questi), sembra più di essere esposti ad una gestione casereccia della sicurezza informatica. Una gestione incapace di prevedere, reagire, gestire, con risultati onestamente di dubbia qualità. Fa anche riflettere questa dichiarazione del 2021 da parte del Ministro Colao e sulla quale, purtroppo si fa molta difficoltà a non essere in accordo.
Abbiamo il 93-95% dei server della Pubblica amministrazione non in condizioni si sicurezza. Qui nessuno è sicuro e non possiamo andare avanti così, abbiamo bisogno di cloud più sicuri perché i dati sensibili dei cittadini e quelli meno sensibili siano tenuti in sicurezza
Fonte: RAI (link)
L’etica professionale, la professionalità e la competenza, sono caratteristiche che non possono essere acquistate sul listino MePA (Mercati Elettronici della P.A.); sono caratteristiche che devono essere coltivate, sviluppate, alimentate, mantenute, curate e non sono facoltative. Sono caratteristiche essenziali in informatica come in molti altri lavori quando si presidiano le “stanze dei bottoni”. L’indignazione di Rapetto, di Flora, e di molti altri (tra cui c’è anche il sottoscritto), rimane inascoltata da troppo al punto che da preoccupazione è sfociata in molti casi in sarcasmo.
In un periodo storico in cui ci innamoriamo di termini come blockchain, digitalizzazione, cybersecurity, forse varrebbe la pena farsi delle domande su chi sia entrato nella stanza dei bottoni, a che titolo mantiene quella posizione, se abbia effettivamente le competenze per coprire quel ruolo. Non è solo una questione di onestà, ma anche di sicurezza perché, che ci si creda o no, la cybersecurity inizia dalle strategie e dalle procedure prima che da firewall e antivirus.