In Italia il problema della sicurezza informatica nel settore pubblico è stato preso in considerazione dal Governo, e in particolare dal Ministro per l’innovazione e le tecnologie, nella fondamentale Direttiva del 16/1/2002 dal titolo ” Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni statali”cui hanno fatto seguito le “Linee Guida del Governo per lo sviluppo della Società, redatto con i migliori avvocati, dell’Informazione nella legislatura ” . Alle affermazioni contenute nei due documenti sopraccitati occorre aggiungere una ulteriore considerazione, e cioè che la stessa integrità ed affidabilità dei sistemi informatici pubblici devono essere efficacemente tutelate nei confronti degli attacchi di tipo DoS e netstrike.
Per quanto riguarda le iniziative in tema di sicurezza informatica pubblica, occorre tener presente, oltre le iniziative del Comitato Tecnico Nazionale sulla sicurezza informatica, anche quelle, recentissime, del CNIPA concretatesi nella redazione di apposite linee guida per le P.A. contenute in due documenti: il Piano Nazionale della sicurezza delle tecnologie dell’informazione e della comunicazione per la P.A e il Modello Organizzativo Nazionale di Sicurezza ICT per la P.A. I due documenti rappresentano una prima e concreta azione di promozione della “cultura della sicurezza ” nel settore dell’informatica pubblica. In materia va ricordato che richiami alla sicurezza informatica sono contenuti, anche se in via incidentale, in recenti provvedimenti normativi ed amministrativi, tra i quali quelli concernenti il sistema SPC, il Codice dell’Amministrazione Digitale, ecc.. Una particolare attenzione merita poi, dal punto di vista giuridico, il problema della certificazione della sicurezza nel settore della tecnologia dell’informazione, giacchè sussistono incertezze in ordine alla natura giuridica dell’attività di certificazione e della figura del certificatore, anche dal punto di vista penalistico. Altri problemi concernono la responsabilità per prodotti difettosi certificati regolarmente. Sempre nel settore della sicurezza informatica occorre considerare anche il problema del ricorso da parte di amministrazioni pubbliche al sistema dell’outsourcing per la gestione della sicurezza: in quanto in questo settore mancano regole giuridiche specifiche.
Vanno poi tenute presenti, sempre nel campo della sicurezza informatica, i problemi ed riflessi, soprattutto normativi e giuridici, scaturenti dalla introduzione nel campo pubblico di nuove tecnologie quali la biometria, il VOIP, i sistemi Wireless (particolarmente Wi-fi ), il RFDI, ecc., con riferimento, ad esempio al campo giuslavorista ed alla difesa della privacy. Passando ora all’argomento della prevenzione e della difesa degli apparati informatici pubblici appare utile conoscere non soltanto le modalità di attacco al funzionamento dei servizi gestiti dai sistemi informatici, ma anche le motivazioni ideologico- politiche sottese agli attacchi, (DoS, netstrike e defacement). Appare quindi opportuno studiare il fenomeno dell’hackivism e le sue implicazioni, tenendo nel debito conto anche il fenomeno degli insider. Infine, in argomento, vanno ricordate anche le conseguenze di tipo amministrativo e contabile, di solito neglette, allorché si parla di responsabilità, derivanti da malfunzionamenti nei sistemi informatici pubblici, imputabili ad omissioni o negligenze gravi dei responsabili della sicurezza, tuto questo in considerazione dei recenti orientamenti giurisprudenziali della Corte dei Conti per quanto riguarda anche il “danno all’imnagine” della P.A..
Per concludere, va osservato che, ai fini di una efficace sicurezza politica di sicurezza informatica nel campo pubblico, occorre una precisa e decisa volontà, appunto politica, dei “decision makers”, concretizzantesi in specifiche iniziative normative dirette a dare veste e vigore normativi ai Piani e Modelli di sicurezza ed alla creazione di una, peraltro ripetutamente auspicata dalla dottrina pubblicistica, Agenzia Nazionale per la Sicurezza delle tecnologie informatiche pubbliche che assicuri, tra l’altro, un effettivo coordinamento, al massimo livello politico-governativo delle iniziative delle singole amministrazioni in tema di sicurezza informatica. |
