Ventidue Agenzie federali Usa su 24 sono indifese sul fronte cyber. E da noi? Dalle nostre parti, per fortuna, non succede nulla. E se mai dovesse capitare potrebbe anche darsi che nessuno se ne accorga.
Parliamo di cybersecurity e delle nefaste conseguenze che un attacco informatico potrebbe avere sul ciclo biologico del Paese. In Italia la profilassi sembra non conoscere alternativa: convegni, conferenze, workshop e seminari sono l’arma segreta con cui debellare il rischio di un’apocalisse digitale. Le chiacchiere, immancabili in qualunque contesto lambito dalla politica, sembrano essere più efficaci di qualsiasi progetto e di qualunque azione fattiva. E così in questi anni abbiamo anche appreso che un tramezzino e un succo di frutta nel coffee-break possono garantire un livello di tutela inferiore a quello assicurato da una luculliana colazione di lavoro, mentre un paio di slide raddoppiano il beneficio operativo di una relazione letta – magari sottovoce – dal soporifero speaker di turno.
Altrove si è di avviso diverso e il problema della vulnerabilità è alla costante attenzione di chi governa, ben sapendo che le tecnologie hanno ruolo vitale e averne padronanza non si traduce nel saper twittare o nel postare proclami o selfie su qualche social.
Il Government Accountability Office (GAO), il braccio armato del Congresso statunitense, ha appena pubblicato un desolante report sullo stato di “salute” della sicurezza cibernetica delle Agenzie federali americane. Il documento “Federal Information Security – Agencies Need to Correct Weaknesses and Fully Implement Security Programs” punta il dito sulla necessità di correggere, ridurre ed eliminare criticità e debolezze e di implementare gli opportuni programmi di protezione e difesa.
Nonostante sforzi e investimenti significativi, 24 Agenzie continuano ad evidenziare debolezze croniche ad altissimo rischio: si comincia con la ridotta capacità di limitare, prevenire e rilevare gli accessi indebiti alle loro risorse informatiche e si prosegue con un’insufficiente adeguatezza della gestione di programmi ed apparati tecnologici. Tra i talloni di Achille la mancata applicazione delle regole di separazione di competenze e responsabilità tra i dipendenti (norme utili per impedire che un singolo individuo in posizione chiave – il tanto famoso quanto famigerato “uomo solo al comando” – possa avere il controllo assoluto di una determinata procedura), l’assenza di pianificazione delle iniziative volte ad assicurare la continuità di esercizio in caso di incidente o disastro, l’incapacità di dar luogo a controlli efficaci, risolvere i problemi insorgenti, gestire gli imprevisti, limitare i rischi.
Queste carenze persistono a dispetto delle tante raccomandazioni che gli ispettori del GAO hanno inoltrato direttamente alle realtà interessate e reso pubbliche con documenti messi a disposizione su Internet allo scopo di elevare gli standard di affidabilità, salvaguardia e tutela delle amministrazioni pubbliche e delle organizzazioni private negli Usa.
La recente disavventura che ha visto protagonista l’Office of Personnel Management è emblematica: venti milioni di schede individuali corrispondenti a funzionari, impiegati e consulenti sono finite – complete di impronte digitali e di ogni genere di dati biometrici e sensibili – nelle mani di pirati informatici probabilmente al soldo della Repubblica Popolare Cinese.
Negli Stati uniti è stata – tra l’altro – varata la “National Initiative for Cybersecurity Education (NICE)”, dimostrazione che qualunque progresso deve partire da un piano di istruzione che prepari chi deve occuparsi di un determinato settore. Quattro gli obiettivi: la creazione consapevole della sicurezza cibernetica nazionale e del relativo ruolo; la formazione professionale di specialisti; la definizione e la realizzazione di una struttura dedicata capace di permeare trasversalmente l’apparato governativo e di attrarre, reclutare e mantenere operatori qualificati indispensabili per la delicata missione; l’attuazione di un programma educativo permanente per l’addestramento e l’aggiornamento del personale militare, civile e a contratto a disposizione degli enti federali.
Pur a fronte di un impegno non occasionale su questo fronte, i severi controllori del GAO hanno constatato un decremento nei livelli di capacità operativa delle Agenzie, quasi a testimoniare quanto sia difficile tenere il passo con la fulminea evoluzione tecnologica che ogni giorno espone a nuove insidie. Se nel 2013 tra le 24 organizzazioni esaminate, 17 risultavano promosse nel difendere le proprie reti telematiche, la pagella per l’anno fiscale 2014 dà la sufficienza solo a 12.
Oltreoceano, 22 Agenzie su 24 non risultano adeguate nel controllare gli accessi ai propri sistemi. Fortunatamente da noi non ci sono check di questa natura, ma sarebbe curioso conoscere almeno i risultati ambulatoriali della sicurezza della Pubblica amministrazione centrale e locale, e magari dei colossi del mondo bancario, assicurativo, energetico, industriale.
La paura passerebbe quasi subito. Un tweet ottimista è sempre pronto a rimuovere brutti pensieri.