Adesso il segnale forte deve arrivare dalla Ue

Trattando delle conseguenze della recente infezione denominata Sq Hell, "Il Sole-24 Ore" del 30 gennaio ha opportunamente citato alcuni dati sulla crescita degli attacchi subiti dai sistemi Ict (informatica più tlc) di imprese e pubbliche amministrazioni italiane rilevati dall'Osservatorio criminalità Ict (Oci), realizzato dal Forum per la tecnologia dell'informazione in collaborazione con il Centro Space dell'Università Bocconi. In effetti, questi dati indicano che le principali minacce all'integrità, disponibilità e riservatezza dell'informazione e della comunicazione sono associate, nell'ordine, al diffondersi dei virus informatici, alla esecuzione di malicious code e al verificarsi di attacchi del tipo denial of service. Proprio la serie di incidenti determinata Sq Hell.

Le strategie da adottare. Nonostante l'ampia comunicazione sui rischi per la sicurezza Ict che l'uso pervasivo di una Rete aperta e globale come Internet determina, le organizzazioni dimostrano difficoltà ad adottare quei criteri guida di consapevolezza (della necessità di dover dedicare risorse alla sicurezza) e di responsabilità (della sicurezza dei propri sistemi) sempre più necessari nella gestione dei sistemi informativi. Criteri che, ove fossero stati applicati, avrebbero determinato la tempestiva installazione degli aggiornamenti software messi a disposizione dal fornitore del sottosistema attaccato dal virus in questione. Non resta allora che attuare con decisione politiche tecnico-organizzative che riducano la soglia di rischio. È chiaro, ad esempio, che il gap tecnologico nell'Ict che il nostro Paese sperimenta ha degli effetti non solo sulla competitività del sistema economico, ma anche sulla sicurezza informatica. Infatti, saper gestire la sicurezza di sistemi complessi ed eterogenei costituiti da apparati, programmi, architetture delle quali si conosce un insieme limitato di prestazioni è molto difficile, quasi impossibile. Sarebbe quindi importante, da un lato, incrementare attività di formazione e aggiornamento per tecnici e specialisti e, dall'altro, avere un colloquio permanente con i fornitori sulle caratteristiche di sicurezza intrinseca di ciascun prodotto o servizio.

Le soluzioni adottate. Nel frattempo, è necessario adottare di più e meglio tecnologie per la sicurezza. I dati Oci riportano sul campione analizzato percentuali soddisfacenti, seppure non ottimali, per i prodotti antivirus (87%) e per i dispositivi firewall (80%), ma solo il 12% dei soggetti intervistati ha introdotto tecniche di Vpn (Virtual private network) e il 9% fa uso di Pki (Public key infrastructure), soluzioni in grado di isolare più efficacemente le linee di comunicazione e le applicazioni strategiche per il business. Ma l'indicatore più insoddisfacente riguarda l'attuazione dei piani di sicurezza Ict. È vero che il 70% dei soggetti intervistati li adotta, ma solo nel 17% dei casi sono state previste specifiche azioni di formazione del personale, mentre l'attività di audit sui piani adottati è irregolare, quindi scarsamente efficace, nel 58% dei casi. Proprio gli episodi recenti indicano che questo atteggiamento è inadeguato: il ciclo di definizione e di applicazione delle politiche di sicurezza ai sistemi Ict, che parte dall'analisi dei rischi, non può infatti considerarsi concluso una volta per tutte, ma è invece un ciclo permanente, che deve prevedere una costante azione di revisione e di monitoraggio dell'evoluzione del sistema e dello scenario tecnico di contesto.

Politiche comuni. Ma occorre ancora di più. In una situazione internazionale che dal settembre 2001 è purtroppo pre-bellica, la sicurezza ha una connotazione strategica. È noto come il Governo statunitense, nell'ambito delle proprie strategie globali di sicurezza nazionale, abbia rinnovato le sue specifiche linee di intervento su questo tema, ma anche l'Europa dovrebbe prendere iniziative concrete. Un primo passo è stato, lunedì scorso, l'annuncio della prossima creazione di un'agenzia Ue per la sicurezza delle reti e dell'informazione, che dal 2004 proverà a coordinare a livello europeo la lotta contro la violazione di siti Internet e la diffusione di virus informatici. Una specifica linea d'azione riguarda la revisione dei sistemi nazionali di gestione degli incidenti informatici e la promozione dello scambio di informazioni ed esperienze tra i Paesi europei, in modo da aiutare gli operatori pubblici e privati ad agire in modo più tempestivo e cooperativo per prevenire, rilevare e reagire a emergenze. Ciò sembra, accanto alla negoziazione di standard tecnici globali, particolarmente decisivo. Un approccio comune che può rafforzare le infrastrutture nazionali dedicate alle funzioni di segnalazione e gestione degli incidenti e delle vulnerabilità dei sistemi e che può evitare che l'area europea rimanga priva di queste fondamentali competenze e capacità. Quest'iniziativa meriterebbe maggiori risorse finanziarie ed è coerente con la risoluzione del Consiglio (2002/C 43/02) dell'Unione europea che proponeva un approccio comune al crimine informatico e alle politiche attive per la sicurezza.