sicurezza

Protetti dal cybercrime con il Sistema pubblico dell’identità digitale: ecco come

In questa ondata di minacce informatiche, giova ricordare un progetto italiano che può essere una soluzione: Spid. Una volta che un cittadino è stato appropriatamente identificato e ha ricevuto delle credenziali, quelle credenziali possono essere usate per identificarlo anche su altri servizi, con risparmi enormi di costi, tempi, e soprattutto con un accresciuto livello di sicurezza

Pubblicato il 26 Feb 2016

Stefano Zanero

Organizing Committee Itasec

anti-virus-malware-120112131744

Siamo, non è una novità, schiavi dell’immagine, e dell’impatto sul momento. Molti mettono, nelle proprie risoluzioni per l’anno nuovo, mirabolanti percorsi in palestre piene di ogni tipo di macchinari, anziché fare esercizi a corpo libero che possono tranquillamente essere svolti in casa. Nella tecnologia, cerchiamo in modo ossessivo soluzioni fantascientifiche, trascurando spesso elementi di base e fondamentali. In altre parole, siamo più ossessionati da ciò che è sexy, che da ciò che è utile.

Prendiamo, ad esempio, lo svilupparsi del tema della sicurezza delle infrastrutture critiche nazionali, ed in particolare di quelle della PA. Dopo esserci mossi con mostruoso e colpevole ritardo (la prima direttiva a riguardo è il DPCM 24 febbraio 2013 del governo Monti, quando ormai da anni tutti gli esperti di settore esprimevano allarme per la mancanza di una strategia italiana in merito), la pubblica amministrazione centrale ha fatto vari passi avanti nel 2015: ha posto a responsabile del CERT-PA un esperto come Corrado Giustozzi; ha accelerato e potenziato le funzioni del DIS in merito alla sicurezza informatica nazionale; ha iniziato un dialogo con le grandi infrastrutture industriali del paese.

Nel notare questi segnali positivi, purtroppo, non possiamo dimenticare l’enorme, sconfinato panorama delle pubbliche amministrazioni centrali e periferiche, dei loro sistemi evidentemente datati ed inadeguati (oltre che, spesso, inutilizzabili da parte dei cittadini). Sono sotto gli occhi di tutti, nelle cronache locali e nazionali, i casi di amministrazioni infettate dai cosiddetti “ransomware”, specifici tipi di malware che cercano di costringere al pagamento di un riscatto cifrando i dati dei sistemi colpiti. Ho letto titoli che paventavano “attacchi hacker” ai danni della PA, e a volte “cyberterrorismo” o “cyberguerra”, in merito a questi episodi.

Lasciatemi essere chiaro: un ransomware non è né terrorismo, né guerra. Nella scala della guerra, sarebbe un petardo. Bagnato. Nella scala delle minacce informatiche, se si trattasse di una malattia umana, non sarebbe peste nera né arma batteriologica, ma comune raffreddore. Anzi peggio: giacché evitare il raffreddore, lo sappiamo tutti, è difficile. Ma evitare il problema dei ransomware è banale, basilare. Qual è la minaccia di un ransomware? Cifrare i dati. Qual è la risposta più banale e basilare? Avere un backup dei dati stessi. Lo sappiamo tutti, è la prima cosa che ci viene insegnata nell’informatica, lo imparano persino i bimbi mentre giocano per la prima volta con una console: salva!

Allora ogni volta che vedete un titolo di questo genere, pensate: questa amministrazione non aveva i backup. Non aveva provveduto a salvare i dati dei cittadini. Non aveva provveduto alle basi, al minimo sindacale. Agli esercizi a corpo libero.

Un altro esempio? L’incubo vero dell’autenticazione informatica sui portali di comuni, regioni, ordini professionali. Un intreccio di meccanismi, ognuno diverso dall’altro, ognuno che richiede vari dati personali per “autenticare” il cittadino. Cittadino che già possiede varie credenziali di autenticazione, ma ne deve generare sempre di nuove, in una foresta inestricabile che ha solo due possibili effetti: costringerlo a non utilizzare il servizio (che è poi l’esperienza che tutti i dati sull’accesso ai servizi online della PA ci dimostra), oppure ridurre la sicurezza del servizio stesso al meccanismo di recupero della password, solitamente via mail.

Fortunatamente, qualcosa si è mosso, grazie all’iniziativa sia del governo ma sopratutto di alcuni parlamentari (tra cui non posso non menzionare l’amico Stefano Quintarelli). Sto parlando del progetto SPID, la realizzazione di un sistema di identificazione federato per l’accesso ai siti della pubblica amministrazione (e non solo).

L’idea di base di SPID, che è non solo condivisibile, ma ovvia e necessaria come l’aria, è che una volta che un cittadino è stato appropriatamente identificato e ha ricevuto delle credenziali, quelle credenziali possono essere usate per identificarlo anche su altri servizi, con risparmi enormi di costi, tempi, e soprattutto con un accresciuto livello di sicurezza. Perché accresciuto? Perché si focalizza la risorsa scarsa dell’attenzione del cittadino sulla custodia di un singolo identificativo, e perché grazie alla concentrazione di risorse si può pensare di utilizzare un’autenticazione a due fattori (magari combinata con il telefono cellulare, elemento ormai ubiquo e in Italia fortemente collegato all’identità del possessore).

Certo, il progetto SPID come tutti i progetti è perfettibile, va allineato con le direttive europee eIDAS e ha dei difetti nella strategia di partnership pubblico-privata (in particolare nell’identificazione di un appropriato modello di business per i gestori di identità digitali). Ma va nella direzione giusta, ed è (come sempre) uno di quei progetti poco “sexy” ma assolutamente necessari. Un progetto infrastrutturale, insomma, come tutti quelli che dobbiamo assolutamente realizzare nella nostra agenda digitale nel 2016.

I progetti infrastrutturali, lo sappiamo, non vengono bene sulle slide. Ma allo stesso modo, le case non vengono bene senza fondamenta. Prima di imparare a volare, le nostre P.A. devono imparare a camminare. E prima di pensare a cyber-guerre e cyber-fantasmi, è il caso di pensare ai fondamentali, come si direbbe in gergo sportivo.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2