Con l’obiettivo di accentuare la sicurezza nazionale e’ stato costituito il Gruppo di lavoro per la protezione delle infrastrutture critiche informatiche, con il compito di monitorare e sviluppare iniziative per migliorare la disponibilita’ e l’integrita’ delle infrastrutture critiche rispetto a qualunque genere di minacce ed emergenze.
Lo ha reso noto il Ministro per l’Innovazione e le Tecnologie Lucio Stanca intervenendo al convegno “Nuovo terrorismo: la capacita’ di difesa del Sistema Paese” tenutosi presso la Camera dei Deputati: il Ministro ha dichiarato che molte delle reti essenziali per la vita del Paese, come quelle idriche, energetiche, dei trasporti e delle telecomunicazioni, ma anche quelle finanziarie, nonche’ la stessa Pubblica Amministrazione hanno sofisticati apparati informatici per il loro controllo e la loro gestione e la distruzione o temporanea indisponibilita’ di tali risorse strategiche puo’ avere effetti negativi sull’economia, sulla vita quotidiana dei cittadini e sulle capacita’ di difesa del Paese.
Per questo l’incremento della loro protezione, nel momento attuale di grave incertezza internazionale e’ una priorita’ non piu’ differibile.

Di tale Gruppo di Lavoro fanno parte i Ministeri dell’Interno, Comunicazioni, Giustizia, Infrastrutture, Attivita’ Produttive oltre che quello dell’Innovazione e Tecnologie che lo presiede, ma anche l’Autorita’ per le Comunicazioni, l’ABI, l’ASI, gli operatori delle telecomunicazioni, le istituzioni della ricerca e dell’universita’, i gestori di reti di servizi, come il GRTN, Rete Ferroviaria Italiana, Snam, Sogin.
Nell’intervento tenuto presso la Camera dei Deputati il Ministro Stanca ha sottolineato che lo sviluppo delle reti e delle informazioni che viaggiano su di esse costituiscono un grande patrimonio come ad esempio le banche dati: l’anagrafe tributaria e quella dell’INPS, il catasto e gli archivi informatici regionali e locali.
E’ quindi necessario che vengano sviluppati specifici sistemi che proteggano queste strutture dalle intrusioni o dalle aggressioni.
Questa cautela preventiva, inoltre, permette di proteggere anche la privacy dei cittadini, consentendo cosi’ che a tali archivi di dati sensibili accedano solo le persone autorizzate.
Lo sviluppare software e tecnologie a protezione di questo enorme valore rappresentato dalle banche dati e’ insomma un impegno di tutte le grandi organizzazioni e in primo luogo della Pubblica Amministrazione.
Il Ministro per l’Innovazione e le Tecnologie ha ricordato che solo nel 2003 piu’ del 40% delle imprese italiane ha subito attacchi di virus e in taluni casi sono stati persi dati fondamentali per l’attivita’, con conseguenti oneri per il danno e per il ripristino della normalita’. Secondo valutazioni a livello europeo ogni attacco informatico ad una Piccola Media Impresa ha un costo medio di almeno 5 mila euro.

A livello mondiale solo i tre worms diffusi nell’agosto scorso, concentrati in 12 giorni, hanno causato danni per 2 miliardi di dollari.
Stanca ha infine ricordato che il 23 dicembre l’Assemblea generale dell’ONU ha approvato una risoluzione (58/199) che incoraggia le iniziativa nazionali ed internazionali di ricerca e sviluppo per la “creazione di una cultura diffusa della sicurezza informatica e sulla protezione delle infrastrutture informatiche critiche”.
D’altro canto gia’ da tempo il Ministero per l’Innovazione e le Tecnologie si e’ occupato della sicurezza informatica della P.A. con la Direttiva sulla sicurezza ICT emanata dalla Presidenza del Consiglio – Dipartimento per l’Innovazione e le Tecnologie sulla Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali il 16 gennaio 2002 e pubblicata sulla Gazzetta Ufficiale n. 69 del 22 marzo 2002.
Il provvedimento ha interessato tutti gli Enti Pubblici ed ha cercato di tracciare un quadro generale sul problema “sicurezza” ICT e di suggerire degli interventi necessari per ottenere “una base minima di sicurezza” in attesa della predisposizione di un vero e proprio programma di azione governativo per la sicurezza ICT.

La Direttiva del Dipartimento dell’Innovazione Tecnologica ha voluto principalmente fornire gli strumenti necessari affinche’ gli Enti pubblici potessero giungere ad un esauriente livello di consapevolezza delle proprie esigenze di sicurezza adeguate alla effettiva dimensione organizzativa e quindi di conseguenza fossero in grado di mettere in atto le necessarie iniziative per ottenere una base minima di sicurezza che puo’ costituire un buon inizio rispetto a quello che dovra’ essere in seguito un modello standard.
In altri termini secondo la Direttiva ed i relativi allegati era necessario tener conto prioritariamente: dell’organizzazione della sicurezza con la creazione di un Comitato per la sicurezza ICT e di un Consigliere Tecnico che deve affiancare il Ministro; ogni Ente poi deve avere il proprio responsabile della sicurezza ICT; della gestione della sicurezza e quindi la c.d. Carta della sicurezza che definisce gli obiettivi e le finalita’ delle politiche di sicurezza; dell’analisi del rischio, fondamentale ai fini di una corretta pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT; del controllo fisico e logico degli accessi; della protezione antivirus; delle misure di prevenzione; della gestione dei supporti; della gestione degli incidenti e delle emergenze.
Naturalmente il primo atto conseguente alla Direttiva in argomento e’ stata l’istituzione del Comitato Tecnico Nazionale sulla Sicurezza Informatica nella Pubblica Amministrazione, avvenuta il 24 luglio 2002 con Decreto Interministeriale presso il Dipartimento per l’Innovazione e le Tecnologie.

Il Comitato e’ composto da 5 esperti e svolge funzioni di indirizzo e coordinamento delle iniziative in materia di sicurezza sulle tecnologie dell’informazione e della comunicazione nelle pubbliche amministrazioni, formulando proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione, proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonche’ ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione ed infine elaborando linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT.
Ma la strategia globale per la sicurezza ICT si fonda su cinque azioni principali e cioe’ la gia’ avvenuta (come si e’ visto) introduzione della direttiva sulla sicurezza ICT; la creazione di un Comitato Tecnico Nazionale sulla Sicurezza ICT (anch’essa avvenuta); la creazione di un modello organizzativo sulla sicurezza ICT che dovra’ consistere nella realizzazione di un’architettura nazionale in termini di strutture e responsabilita’ sulla sicurezza ICT, capace di sviluppare linee guida, raccomandazioni, standards e tutte le procedure di certificazione; l’introduzione di uno Piano Nazionale sulla Sicurezza ICT in grado di definire attivita’, responsabilita’, tempi per l’introduzione degli standard e delle metodologie necessarie per pervenire alla certificazione di sicurezza nella Pubblica Amministrazione; la certificazione finale della sicurezza ICT entro 5 anni per la Pubblica Amministrazione.

Purtroppo, l’applicazione integrale della Direttiva richiede inevitabilmente tempi troppo lunghi per cui si e’ resa necessaria la creazione di uno specifico gruppo di lavoro che dovra’ occuparsi solo delle infrastrutture cd. critiche la cui protezione e’ stata ritenuta un’esigenza di massima priorita’.

Scritto da