La nuova falla scovata in Lombardia Informatica, da cui chiunque può avere accesso ai dati personali del cittadino, dimostra che chi ha sviluppato quell’applicazione non ha tenuto conto di criteri di sicurezza che dovrebbero essere la base della cultura informatica di cybersecurity.
Questo succede perché la sicurezza è gestita ancora con una logica di venti anni fa, incollata posticciamente su architettura e sistemi. E’ un po’ come progettare un aereo e poi pensare di metterlo in sicurezza. Succede che l’aereo cade. Le aziende invece progettano aerei sicuri, non si preoccupano di questo aspetto a posteriori.
Allo stesso modo, nel 2015 la cyber security è “by design”: deve far parte di tutti gli aspetti di sviluppo. E’ anche “secure coding”: progettare in modo sicuro un sistema. E poi gestirlo in modo sicuro, in ogni momento.
Un concetto che per la PA italiana è rivoluzionario, in tempi di depaurazione di investimenti, di scarse competenze diffuse. Altro che tagli IT alla PA, come quelli che vorrebbe la nuova Legge di Stabilità. C’è bisogno invece di investire in cultura e management per la sicurezza. Altrimenti, vedremo tanti altri casi “Lombardia Informatica” da qui in futuro.
