Roma – Nel corso della Conferenza Nazionale dell’alta dirigenza statale tenutasi a Roma il Ministro per l’Innovazione e le Tecnologie Lucio Stanca ha rivelato che di recente lo stesso virus cinese denominato “SQHell”, che aveva creato grossi problemi a tutta la rete Internet pochi giorni fa, ha attaccato la Rete della Pubblica Amministrazione centrale con milioni di tentativi al giorno. Fortunatamente gli attacchi sono stati respinti, ma il segnale e’ allarmante. Lo stesso Ministro ha ricordato che gia’ da gennaio 2002 e’ stata emanata una Direttiva in cui si chiede a tutta la Pubblica amministrazione di avere un programma di autodiagnosi. Inoltre una commissione specifica su questi rischi e’ al lavoro da mesi ed a marzo sara’ operativa una unita’ di emergenza per gestire e prevenire anche le situazioni di crisi.

Giusta la preoccupazione del Ministro sul versante sicurezza informatica ed effettivamente i continui rischi connessi alla diffusione di virus o ad attacchi di pirati informatici (terroristi o sprovveduti che siano) invitano a non abbassare mai la guardia su questo fronte.
La Direttiva cui ha fatto riferimento il Ministro nel corso della Conferenza e’ la Direttiva sulla sicurezza ICT emanata dalla Presidenza del Consiglio – Dipartimento per l’Innovazione e le Tecnologie sulla Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali il 16 gennaio 2002 e pubblicata sulla Gazzetta Ufficiale n. 69 del 22 marzo 2002.
Il provvedimento ha interessato tutti gli Enti Pubblici ed ha cercato di tracciare un quadro generale sul problema “sicurezza” ICT e di suggerire degli interventi necessari per ottenere “una base minima di sicurezza” in attesa della predisposizione di un vero e proprio programma di azione governativo per la sicurezza ICT.
La Direttiva del Dipartimento dell’Innovazione Tecnologica ha voluto principalmente fornire gli strumenti necessari affinche’ gli Enti pubblici potessero giungere ad un esauriente livello di consapevolezza delle proprie esigenze di sicurezza adeguate alla effettiva dimensione organizzativa e quindi di conseguenza fossero in grado di mettere in atto le necessarie iniziative per ottenere una base minima di sicurezza che puo’ costituire un buon inizio rispetto a quello che dovra’ essere in seguito un modello standard.
In altri termini secondo la Direttiva ed i relativi allegati era necessario tener conto prioritariamente:
• dell’organizzazione della sicurezza con la creazione di un Comitato per la sicurezza ICT e di un Consigliere Tecnico che deve affiancare il Ministro; ogni Ente poi deve avere il proprio responsabile della sicurezza ICT;
• della gestione della sicurezza e quindi la c.d. Carta della sicurezza che definisce gli obiettivi e le finalita’ delle politiche di sicurezza;

• dell’analisi del rischio, fondamentale ai fini di una corretta pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT;
• del controllo fisico e logico degli accessi;
• della protezione antivirus;
• delle misure di prevenzione;
• della gestione dei supporti;
• della gestione degli incidenti e delle emergenze.

Naturalmente il primo atto conseguente alla Direttiva in argomento e’ stata l’istituzione del Comitato Tecnico Nazionale sulla Sicurezza Informatica nella Pubblica Amministrazione, avvenuta il 24 luglio 2002 con Decreto Interministeriale presso il Dipartimento per l’Innovazione e le Tecnologie.
Il Comitato svolge funzioni di indirizzo e coordinamento delle iniziative in materia di sicurezza sulle tecnologie dell’informazione e della comunicazione nelle pubbliche amministrazioni, formulando proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione, proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonche’ ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione ed infine elaborando linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT.
Ma, considerati gli inevitabili tempi lunghi che mal si conciliano con l’urgenza del problema sicurezza, lo stesso Ministro Stanca ha preannunciato che a marzo e cioe’ fra pochissimo, sara’ operativa una specifica unita’ di crisi che avra’ principalmente funzioni di prevenzione, anche se non si escludono, purtroppo, interventi immediati tendenti a limitare danni ai sistemi informatici pubblici.

Scritto da