Dossieraggio, una cosa è certa: i server dello Stato sono un colabrodo

Dossieraggio, una cosa è certa: i server dello Stato sono un colabrodo

Le recenti indagini per presunte operazioni di dossieraggio e il conseguente dibattito hanno aperto una serie di questioni molto serie sulla sicurezza degli apparati tecnologici su cui si fonda la pubblica amministrazione. E sulla scalabilità delle informazioni riservate per la pubblica sicurezza da parte di attori malintenzionati. La recente indagine del Tribunale di Milano ha, a tal proposito, acceso il faro su scenari complessi e potenzialmente inquietanti, se confermati, circa la penetrabilità di questi server ad opera di attori malintenzionati. Mentre sul piano giudiziario il garantismo è d’obbligo, su quello securitario è legittimo porsi dubbi sulla tutela degli asset critici per la trasmissione di dati sensibili la cui compromissione può danneggiare la collettività. Del tema, Affaritaliani.it discute con l’esperto di cybersicurezza Michael Clemente, Ceo di Clio Security.

Clemente, cosa ci insegnano i vari casi di dossieraggio sulla sicurezza dei server dello Stato?

Ci insegnano che i server dello Stato sono molto poco protetti. Il livello generale della sicurezza delle infrastrutture tecniche pubbliche è basso. E ci tengo a precisare che in questo calcolo la tecnologia è sempre un “di cui”. Tra gli addetti ai lavori si è usi dire: la sicurezza è per l’80% processo, per il 20% tecnologia. Possiamo avere le migliori tecnologie, e non è detto che per molte strutture dello Stato non sia cosi, ma dobbiamo chiederci: come sono integrate? Come sono gestite? A chi vengono affidate? Quanto è competente il personale? Sono domande fondamentali anche per capire i casi in cui la tecnologia è supervisionata da un team di lavoro e magari operata da un altro.

Perché lo Stato fatica ad attrarre professionalità all’altezza?

C’è sicuramente un tema di competitività. Spesso i migliori professionisti lavorano dove sono pagati di più. E non mi sembra che la Pa sia al vertice come stipendi e benefit.

Cosa ci ha portati all’attuale situazione di criticità?

La situazione che stiamo vedendo è la punta dell’iceberg. Decenni di sotto-investimento non si risolvono con pochi anni di impegno o con i soldi del PNRR, che sulla cybersecurity comunque latitano: su 600 milioni, a terra è arrivato poco, si sta spendendo soprattutto in consulenza. La sicurezza è una cosa seria.

Come porre rimedio a ciò?

Ci vogliono persone serie, soldi, risorse e tempo. E queste necessità sono complementari: anche con i migliori professionisti, i migliori investimenti, le migliori risorse ci vorrà tempo per una sana cultura della sicurezza. Guardando quello che sono stati in grado di fare certi soggetti c’è da mettersi le mani nei capelli. Nello Stato manca un meccanismo di cifratura dei dati tale da renderli inintelligibili qualora siano rimossi dai server della Pa. C’è poi un fattore umano da non sottovalutare.

Prego…

Le persone al centro dell’inchiesta più recente avevano altissimi privilegi sui sistemi. E questo è un tema trasversale a pubblico e privato: gli amministratori di sistema hanno grandi responsabilità e c’è il rischio che aggirino le misure di sicurezza. Queste eventualità devono essere prese in considerazione nello sviluppo di sistemi di sicurezza multilivello, a prova di sabotaggi dei loro gestori. Servono sistemi che evitino alterazioni e in cui anche gli ingressi degli amministratori restino tracciati. Se fosse vero che alcuni soggetti hanno fatto estrazioni per anni, vuol dire che in molti server niente e nessuno controllava il cattivo uso di masse di terabyte di dati. Non c’è alcun tipo di giustificazione alla sottovalutazione di una fuoriuscita tanto massiccia di dati. O chi li ha compiuti è stato capace di alterare i sistemi o aveva complici tra chi doveva guardare la sicurezza dei dati.

Cosa ci insegnano in definitiva i casi di dossieraggio riguardo la sicurezza collettiva dei nostri sistemi?

La situazione è molto pesante. I dossieraggi sono sempre esistiti ed esisteranno. Nel contesto della totale digitalizzazione della nostra economia la sicurezza è stata trascurata a lungo. Esiste un mercato profondo delle informazioni. Spesso tendiamo a fare dei netti distinguo tra la cybersecurity e la security normale. Io cerco di essere realista. Come nell’intelligence delle agenzie di sicurezza, c’è una complementarietà necessaria tra uso di fonti aperte (Osint) e human intelligence (Humint). Sia nel cyber che nella realtà, la conoscenza da fonti aperte va verificata, per massimizzare la sicurezza, tramite le conoscenze umane, i dati reperiti sul terreno, le dinamiche che si possono toccare con mano. Vale sia in termini offensivi che difensivi.

Come pensa si stia sviluppando il dibattito sul tema?

Sono preoccupato perché la situazione è serissima e sembra sottovalutata. E i casi si stanno moltiplicando: ci sono casi che dovrebbero portare molti esponenti apicali delle istituzioni a realizzare di essere dotati di utenze forabili e così poco protette. Sarebbe impensabile in qualsiasi organizzazione privata, ad esempio, avere utenze le cui password non scadono mai: un’azienda del genere sarebbe rapidamente asfaltata dai cybercriminali. Bisogna innovare e migliorare continuamente i processi: la battaglia per la sicurezza è aperta e va combattuta ogni giorno.