ROMA. A seguito dell’attacco mondiale del nuovo virus informatico SoBig F.che sta mietendo non poche vittime anche nell’ambito della pubblicaamministrazione italiana e’ intervenuto il Ministro per l’Innovazione e leTecnologie Lucio Stanca il quale ha dichiarato che attacchi da nuovi eimprevisti virus come SoBig.F. sono sempre possibili, ma l’amministrazionepubblica italiana e’ attrezzata per difendersi e posizionarsi su una lineaminima di sicurezza. Il Ministro ha precisato che in considerazione dell’importanza e delicatezza della sicurezza delle reti informatiche aveva gia’emanato lo scorso anno a marzo una direttiva relativa proprio alle minaccedi intrusione ed alla possibilita’ di diffusione non autorizzata diinformazioni, nonche’ di interruzione e di distruzione del servizio. Regoleche sono state inviate a tutte le amministrazioni dello Stato, alle aziendee amministrazioni autonome dello Stato e anche agli enti pubblici noneconomici nazionali. Di conseguenza le amministrazioni che hanno applicatoquesta direttiva dovrebbero essere uscite indenni anche dal recente attaccodel virus SoBig F.Naturalmente il Ministro per l’Innovazione e le Tecnologie fa riferimentoalla Direttiva sulla sicurezza ICT emanata dalla Presidenza del Consiglio -Dipartimento per l’Innovazione e le Tecnologie sulla Sicurezza Informatica edelle Telecomunicazioni nelle Pubbliche Amministrazioni Statali il 16gennaio 2002 e pubblicata sulla Gazzetta Ufficiale n. 69 del 22 marzo 2002.Il provvedimento ha interessato tutti gli Enti Pubblici ed ha cercato ditracciare un quadro generale sul problema “sicurezza” ICT e di suggeriredegli interventi necessari per ottenere “una base minima di sicurezza” inattesa della predisposizione di un vero e proprio programma di azionegovernativo per la sicurezza ICT.La Direttiva del Dipartimento dell’Innovazione Tecnologica ha volutoprincipalmente fornire gli strumenti necessari affinche’ gli Enti pubblicipotessero giungere ad un esauriente livello di consapevolezza delle proprieesigenze di sicurezza adeguate alla effettiva dimensione organizzativa equindi di conseguenza fossero in grado di mettere in atto le necessarieiniziative per ottenere una base minima di sicurezza che puo’ costituire unbuon inizio rispetto a quello che dovra’ essere in seguito un modellostandard. In altri termini secondo la Direttiva ed i relativi allegati era necessariotener conto prioritariamente: dell’organizzazione della sicurezza con lacreazione di un Comitato per la sicurezza ICT e di un Consigliere Tecnicoche deve affiancare il Ministro; ogni Ente poi deve avere il proprioresponsabile della sicurezza ICT; della gestione della sicurezza e quindi lac.d. Carta della sicurezza che definisce gli obiettivi e le finalita’ dellepolitiche di sicurezza; dell’analisi del rischio, fondamentale ai fini diuna corretta pianificazione, realizzazione e gestione di qualsiasi sistemadi sicurezza ICT; del controllo fisico e logico degli accessi; dellaprotezione antivirus; delle misure di prevenzione; della gestione deisupporti; della gestione degli incidenti e delle emergenze.]]>
A seguito dell’attacco mondiale del nuovo virus informatico SoBig F. che sta mietendo non poche vittime anche nell’ambito della pubblica amministrazione italiana e’ intervenuto il Ministro per l’Innovazione e le Tecnologie Lucio Stanca il quale ha dichiarato che attacchi da nuovi e imprevisti virus come SoBig.F. sono sempre possibili, ma l’amministrazione pubblica italiana e’ attrezzata per difendersi e posizionarsi su una linea minima di sicurezza. Il Ministro ha precisato che in considerazione dell’importanza e delicatezza della sicurezza delle reti informatiche aveva gia’ emanato lo scorso anno a marzo una direttiva relativa proprio alle minacce di intrusione ed alla possibilita’ di diffusione non autorizzata di informazioni, nonche’ di interruzione e di distruzione del servizio. Regole che sono state inviate a tutte le amministrazioni dello Stato, alle aziende e amministrazioni autonome dello Stato e anche agli enti pubblici non economici nazionali. Di conseguenza le amministrazioni che hanno applicato questa direttiva dovrebbero essere uscite indenni anche dal recente attacco del virus SoBig F.
Naturalmente il Ministro per l’Innovazione e le Tecnologie fa riferimento alla Direttiva sulla sicurezza ICT emanata dalla Presidenza del Consiglio – Dipartimento per l’Innovazione e le Tecnologie sulla Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali il 16 gennaio 2002 e pubblicata sulla Gazzetta Ufficiale n. 69 del 22 marzo 2002. Il provvedimento ha interessato tutti gli Enti Pubblici ed ha cercato di tracciare un quadro generale sul problema “sicurezza†ICT e di suggerire degli interventi necessari per ottenere “una base minima di sicurezza†in attesa della predisposizione di un vero e proprio programma di azione governativo per la sicurezza ICT. La Direttiva del Dipartimento dell’Innovazione Tecnologica ha voluto principalmente fornire gli strumenti necessari affinche’ gli Enti pubblici potessero giungere ad un esauriente livello di consapevolezza delle proprie esigenze di sicurezza adeguate alla effettiva dimensione organizzativa e quindi di conseguenza fossero in grado di mettere in atto le necessarie iniziative per ottenere una base minima di sicurezza che puo’ costituire un buon inizio rispetto a quello che dovra’ essere in seguito un modello standard. In altri termini secondo la Direttiva ed i relativi allegati era necessario tener conto prioritariamente: dell’organizzazione della sicurezza con la creazione di un Comitato per la sicurezza ICT e di un Consigliere Tecnico che deve affiancare il Ministro; ogni Ente poi deve avere il proprio responsabile della sicurezza ICT; della gestione della sicurezza e quindi la c.d. Carta della sicurezza che definisce gli obiettivi e le finalita’ delle politiche di sicurezza; dell’analisi del rischio, fondamentale ai fini di una corretta pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT; del controllo fisico e logico degli accessi; della protezione antivirus; delle misure di prevenzione; della gestione dei supporti; della gestione degli incidenti e delle emergenze.
Naturalmente il primo atto conseguente alla Direttiva in argomento e’ stata l’istituzione del Comitato Tecnico Nazionale sulla Sicurezza Informatica nella Pubblica Amministrazione, avvenuta il 24 luglio 2002 con Decreto Interministeriale presso il Dipartimento per l’Innovazione e le Tecnologie.
Il Comitato e’ composto da cinque esperti e svolge funzioni di indirizzo e coordinamento delle iniziative in materia di sicurezza sulle tecnologie dell’informazione e della comunicazione nelle pubbliche amministrazioni, formulando proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione, proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonche’ ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione ed infine elaborando linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT. Ma la strategia globale per la sicurezza ICT si fonda su cinque azioni principali e cioe’ 1. la gia’ avvenuta (come si e’ visto) introduzione della direttiva sulla sicurezza ICT; 2. la creazione di un Comitato Tecnico Nazionale sulla Sicurezza ICT (anch’essa avvenuta); 3. la creazione di un modello organizzativo sulla sicurezza ICT che dovra’ consistere nella realizzazione di un’architettura nazionale in termini di strutture e responsabilita’ sulla sicurezza ICT, capace di sviluppare linee guida, raccomandazioni, standards e tutte le procedure di certificazione; 4. l’introduzione di uno Piano Nazionale sulla Sicurezza ICT in grado di definire attivita’, responsabilita’, tempi per l’introduzione degli standard e delle metodologie necessarie per pervenire alla certificazione di sicurezza nella Pubblica Amministrazione; 5. la certificazione finale della sicurezza ICT entro 5 anni per la Pubblica Amministrazione. Purtroppo, contrariamente a quanto affermato dal Ministro Stanca bisogna riconoscere che per quanto la Direttiva preveda le azioni principali da porre in essere al fine di raggiungere la piena sicurezza informatica degli enti pubblici, i tempi necessari per la realizzazione di un Piano Nazionale sulla sicurezza ICT sono troppo lunghi ed i continui attacchi di pirati informatici contro i sistemi informativi degli uffici pubblici rendono inevitabilmente necessaria l’introduzione di specifici organismi di intervento immediato come quello preannunciato poco tempo fa da Carlo Sarzana di S. Ippolito, membro del Comitato tecnico nazionale della sicurezza informatica e delle telecomunicazioni nella P.A.
Il magistrato difatti aveva anticipato la messa a punto di una bozza di decreto del Presidente del Consiglio dei Ministri per l’istituzione di un Cert (Computer emergency response team) centralizzato e per l’attuazione di un piano di formazione dei dipendenti della P.A. ai fini della sicurezza informatica. Di fronte a virus informatici come SoBig F. che si propagano molto velocemente utilizzando gli account di posta elettronica e’ necessario, difatti, un pronto intervento che puo’ essere assicurato solo da organismi specializzati. Lo stesso CNIPA – Centro Nazionale Per l’Informatica nella Pubblica Amministrazione (ex AIPA) per favorire al massimo la conoscenza del nuovo contagio informatico e stimolare una diffusa azione di prevenzione ha dovuto diramare una specifica comunicazione di allerta, contenente non solo le caratteristiche del nuovo virus, ma anche come riconoscerlo nella posta elettronica e soprattutto come rimuoverlo.
Commenta!