Vulnerabilità siti web della PA: come arginare il problema?

Succede a volte d’ascoltare un vecchio conoscente, o leggere un trafiletto su un giornale, o d’imbattersi in una notizia in rete e venire a conoscenza di una di quelle sventure che, per quanto frequenti, riteniamo a noi mai possa capitare. È l’approccio che si tende ad avere quando veniamo a sapere di azioni di pirateria informatica.

Solo di una manciata di giorni fa è, per esempio, la notizia rimbalzata da un ufficio all’altro della PA che ha informato di un potente attacco hacker a 500.000 caselle di posta elettronica certificata e 98.000identificativi Pec di utenti della Pubblica Amministrazione.

Ancora più recente è il caso dell’attacco al database delle prenotazioni di una enorme catena di alberghi che ha coinvolto i dati di 500 milioni di clienti dal 2014, profilandosi come uno dei più grandi data breach di sempre. Di quest’anno è anche la vicenda del data gate che ha messo in grande difficoltà Facebook e interessato i dati personali di decine e decine di milioni di individui.

Nella PA e in particolare tra gli enti medio-piccoli, si potrebbe essere indotti a pensare che “certe cose” accadano solo ai colossi della rete, agli stati nazione, forse ad una grande e importante capitale o a chi è alle prese in una lotta informatica con la Spectre: insomma, ci si convince che le informazioni in proprio possesso non agitino l’appetito dei banditi del web.

Eppure, un recente rapporto di Clusit (Associazione Italiana per la Sicurezza Informatica) afferma chenel corso dell’ultimo anno,  gli attacchi ad opera di pirati informatici nei confronti dei portali web istituzionali e delle banche dati in possesso della Pubblica Amministrazione, siano stati almeno un migliaio: si va dai ministeri ai governi regionali; dalle città capoluogo di provincia ai comuni più piccoli.

Queste, le notiziefacilmente recuperabili in rete; poi, c’è tutto un sommerso di attacchi informatici perpetrati ai danni di enti d’ogni dimensione, che si sono visti sottrarre dati fondamentali per la quotidiana gestione amministrativa e che arrivano anche a pagare dei riscatti, pur di riaverli “indietro” (il fenomeno cdransomware).

Dunque, ognuno può essere raggiunto, chiunque può essere colpito.

E tuttavia sappiamo bene che a dispetto di quanto detto, l’idea che “a noi tanto non succede”, si conserva.

Ora, per la verità, se gli enti locali fossero ben strutturati sul piano dell’innovazione digitale, se avessero predisposto tutte quelle azioni, in fatto di hardware così come di software, necessarie a garantire la sicurezza informatica della propria organizzazione, allora se non proprio al riparo, quanto meno le possibilità di essere vittime di sabotaggi, attacchi o furti ad opera degli hackers, sarebbero notevolmente ridotte.

Tuttavia, la gran parte degli enti presenta ritardi, disfunzioni, approssimazioni diffuse in merito ai procedimenti tesi a garantire sicurezza: sono per esempio tanti, troppi i comuni che hanno siti web con CMS obsoleti; addirittura, da una indagine AgID, risulta che il 70% delle organizzazioni della PA è inadempiente rispetto all’adeguamento al GDPRe si aggiunga inoltre che molti enti locali non sono a conoscenza del proprio stato di sicurezza informatica: vuoi per una indisponibilità delle risorse competenti, vuoi per la mole di adempimenti che ne impedisce una puntuale ottemperanza, vuoi per “pigrizia” amministrativa.

Sarebbe opportuno che le amministrazioni pubbliche avviassero un check del grado divulnerabilità informatica della propria organizzazione: per questo è possibile rivolgersi a imprese  specializzate come Golem ICT srl, società del gruppo Golem Software, che agisce nel settore informatico,offre servizi per la Pubblica Amministrazione locale e dispone di risorse adatte a verificare la tenuta dell’infrastruttura tecnologica del comune e, quindi, in grado di suggerire e operare interventi finalizzati ad ass icurare quella formidabile mole di dati personali di cui l’ente è titolare.

A cogliere certe opportunità si potrebbe evitare di trasformarsi in “quel vecchio conoscente” che racconta di una sventura che credeva mai potesse capitargli.