Il presidente di Clusit (Associazione italiana per la sicurezza) analizza la situazione in Italia e nella Pa
In Italia, l’attenzione ai temi della It security è di certo sempre maggiore: il problema è che questa crescita d’interesse non sta andando veloce quanto servirebbe, perché i pericoli e le difficoltà sono sempre crescenti rispetto all’intensità con cui si risponde. Così Gigi Tagliapietra, presidente di Clusit (Associazione italiana per la sicurezza informatica), inquadra il panorama evolutivo del settore nel nostro paese, che definisce in miglioramento lento. Ma mentre spiega che non crede vi siano grandi organizzazioni che abbiano sottovalutato il problema, e come le piccole e medie aziende siano in genere più veloci nell’adottare nuove misure tecnologiche, individua la Pubblica amministrazione locale come uno dei fattori critici: «Le grandi istituzioni pubbliche, come l’Inps o i ministeri, sono protetti, ma gli 8.100 comuni italiani, che amministrano acquedotti, anagrafi o informazioni fondamentali per la vita dei cittadini, non hanno certamente lo stesso grado di attenzione o la stessa consapevolezza». Tutto ciò tenendo comunque in conto che il paese può contare su un sistema legislativo e normativo sostanzialmente corretto. «Credo che quello che è stato fatto con la legge sulla privacy, tanto vituperata, ma che di fatto obbliga le aziende ad affrontare il tema delle misure minime di sicurezza, abbia dato un segnale forte e positivo in questo senso» commenta.
Una sottolineatura un po’ diversa va fatta quando si pone a confronto la situazione italiana con quella europea in termini di infrastrutture governative o a supporto dei governi nel controllo dell’It security. «Da questo punto di vista, francamente siamo messi meno bene di altri paesi europei – osserva Tagliapietra -. Spesso, come presidente di Clusit, ho rappresentato l’Italia a Bruxelles nelle riunioni intergovernative e lì il livello di attenzione delle altre nazioni è largamente superiore.
Non mi riferisco alle grandi istituzioni, come il settore della Difesa, dove l’Italia è assolutamente in linea, ma alla percezione della sicurezza come infrastruttura per la società. In altri stati, mi viene in mente ad esempio il Govcert olandese piuttosto che il Bsi tedesco, esistono apposite strutture nazionali che si occupano di sicurezza a 360 gradi.
Su questo piano siamo drammaticamente in ritardo anche se, ripeto, abbiamo punte di eccellenza nelle grandi infrastrutture pubbliche». Pur ricordando che l’Italia deve certamente fare i conti con altre e numerose emergenze nazionali, oltre che con quella informatica, Tagliapietra rileva in generale la necessità di elevare il livello di percezione della strategicità della sicurezza It per il paese.
Fragilità dell’infrastruttura
Internet nel nostro paese è ormai largamente utilizzata, anche a livello di massa. Gli italiani seguono i grandi fenomeni, sono su Facebook, Twitter. Ma proprio tale straodinaria diffusione e positiva crescita della Rete è in parte causa del suo male. «Il rischio è che questo impetuoso sviluppo renda l’infrastruttura estremamente fragile. Infatti, più il Web si espande e più diventa tecnicamente complesso e quindi difficile da governare. Soprattutto perché le nuove forme d’attacco fanno leva sulla Rete: come gli attacchi di denial of service, che attraverso le cosiddette botnet, formate da migliaia di computer, colpiscono simultaneamente un sito. Questa è una delle cose più pericolose che ci siano, perché cambia i paradigmi del senso comune».
Una prima convinzione a cadere è la visione accattivante, secondo cui gli hacker s’immaginano come pirati informatici che fanno notizia per esser riusciti a penetrare con stile e bravura entro confini elettronici considerati invalicabili. «Oggi per la criminalità il Web è soprattutto un grande, fantastico mercato» chiarisce Tagliapietra. Il secondo paradigma che salta è credere che il nostro pc, solo perché non è un server aziendale o una macchina importante, non possa essere oggetto di mire criminali. «In realtà quello che avviene è che se la mia macchina non è protetta, qualcuno potrà inserirvi in maniera nascosta del software per farla diventare, appunto, parte di una botnet in grado di danneggiare altri. Il terzo paradigma che cambia, forse il più importante, è che nella security tradizionale si parlava di sicurezza perimetrale, quella fornita dai firewall». Ma oggi questo perimetro non esiste più, dice Tagliapietra, pensando alla multiformità dei dispositivi e interfacce di accesso alla Rete e all’esistenza di smartphone e dispositivi mobile con memoria di svariati gigabyte, contenenti grandi moli di dati aziendali. «Gestire la complessità di un sistema come questo, che non ha più perimetri ben definibili, diventa maledettamente più difficile». Anche perché poi ci sono da considerare le leggerezze in princìpi di sicurezza commesse dagli esseri umani, che non sono solo utilizzatori, ma parte della Rete e, alla fine, ne costituiscono l’anello più debole.