La sicurezza informatica

La sicurezza informatica: iniziative amministrative e normative nel settore pubblico

di Carlo Sarzana di S. Ippolito

 
In Italia il problema della sicurezza  informatica nel settore pubblico è stato preso  in considerazione dal Governo, e in particolare dal Ministro per l’innovazione e le tecnologie, nella fondamentale Direttiva del 16/1/2002 dal titolo ” Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni statali”cui hanno fatto seguito le “Linee Guida del Governo per lo sviluppo della Società, redatto con i migliori avvocati, dell’Informazione nella legislatura ” . Alle affermazioni contenute nei due documenti sopraccitati occorre aggiungere una ulteriore considerazione, e cioè che la stessa integrità ed affidabilità dei sistemi informatici pubblici devono essere efficacemente tutelate nei confronti degli attacchi  di tipo DoS e netstrike.
Per quanto riguarda le iniziative in tema di  sicurezza informatica pubblica, occorre tener presente, oltre le iniziative del Comitato Tecnico Nazionale sulla sicurezza informatica, anche  quelle, recentissime, del CNIPA  concretatesi nella redazione di apposite linee guida per le P.A.  contenute in due documenti: il Piano Nazionale della sicurezza delle tecnologie dell’informazione e della comunicazione per la P.A e   il Modello Organizzativo Nazionale di Sicurezza ICT per la P.A. I due documenti   rappresentano una prima e concreta azione di promozione della “cultura della sicurezza ” nel settore dell’informatica pubblica. In materia  va ricordato che richiami alla sicurezza informatica sono contenuti, anche se in via incidentale, in recenti provvedimenti normativi ed amministrativi, tra i quali  quelli concernenti il sistema SPC, il Codice dell’Amministrazione Digitale, ecc.. Una particolare attenzione merita poi, dal punto di vista giuridico,  il problema della certificazione della sicurezza nel settore della tecnologia dell’informazione, giacchè sussistono incertezze in ordine alla natura giuridica dell’attività di certificazione e della figura del certificatore, anche dal punto di vista penalistico. Altri problemi concernono la responsabilità per prodotti difettosi certificati regolarmente. Sempre nel settore della sicurezza informatica  occorre considerare anche  il problema del ricorso da parte di  amministrazioni pubbliche al sistema dell’outsourcing  per la gestione della sicurezza: in quanto in questo  settore mancano regole giuridiche specifiche.
Vanno poi tenute presenti, sempre nel campo della sicurezza informatica,  i problemi ed riflessi, soprattutto normativi e giuridici, scaturenti  dalla introduzione nel campo pubblico di nuove tecnologie quali la biometria, il VOIP, i sistemi  Wireless (particolarmente Wi-fi ), il RFDI, ecc.,  con riferimento, ad esempio al campo giuslavorista ed alla  difesa della privacy.  Passando ora all’argomento della prevenzione e della difesa  degli apparati informatici pubblici  appare utile  conoscere non soltanto  le modalità di attacco al funzionamento dei servizi gestiti dai sistemi informatici, ma anche  le motivazioni ideologico- politiche sottese agli attacchi, (DoS, netstrike e  defacement). Appare quindi opportuno studiare il fenomeno dell’hackivism e le sue implicazioni, tenendo  nel debito conto anche il fenomeno degli insider. Infine, in argomento, vanno  ricordate anche le conseguenze di tipo amministrativo e contabile, di solito neglette, allorché si parla di responsabilità, derivanti da  malfunzionamenti nei sistemi informatici pubblici, imputabili ad omissioni o negligenze gravi dei responsabili  della sicurezza, tuto questo in considerazione dei recenti orientamenti giurisprudenziali della Corte  dei Conti  per quanto riguarda anche il “danno  all’imnagine” della P.A..
Per concludere, va osservato che, ai fini di una efficace sicurezza politica di sicurezza informatica nel campo pubblico, occorre una precisa e decisa volontà, appunto politica, dei “decision makers”, concretizzantesi in specifiche iniziative normative dirette a dare veste e vigore normativi ai Piani e Modelli di sicurezza ed alla creazione di una, peraltro ripetutamente auspicata dalla dottrina pubblicistica, Agenzia Nazionale per la Sicurezza delle tecnologie informatiche pubbliche che assicuri, tra l’altro, un effettivo coordinamento, al massimo livello politico-governativo delle iniziative delle singole amministrazioni in tema di sicurezza informatica.

* Presidente aggiunto onorario della Corte di cassazione e componente CTNSI

la sicurezza informatica

WeeJay