La recente conferenza del CNIPA su "La sicurezza ICT nella pubblica
amministrazione: strategie ed azioni", cui purtroppo non ho avuto modo di
assistere, ma della quale ho studiato le relazioni disponibili, mi offre lo
spunto per alcune riflessioni "allargate" sul rapporto tra pubblica
amministrazione e sicurezza.
Occupandomi da tempi non sospetti della divulgazione della cultura della
sicurezza, ed essendo fermamente convinto che la prima arma di difesa è l'informazione,
vedo ovviamente con piacere ogni evento che miri a sensibilizzare il pubblico
generale sui temi connessi alla tutela delle infrastrutture ICT e dei patrimoni
informativi nella società dell'informazione, soprattutto se l'attore
principale è lo Stato.
D'altro canto vedo con una certa preoccupazione il
proliferare di molteplici iniziative in materia, spesso scoordinate se non
addirittura in conflitto tra loro, ad opera dei soggetti pubblici più
disparati. È singolare tutto questo fervore ultimamente sbandierato dalla PA, a
quasi ogni livello, verso i temi della sicurezza ICT. La mia sensazione, che mi
piacerebbe vedere smentita dai fatti futuri, è che tale committment sia
spesso più di facciata che di sostanza. Diciamocelo francamente: la sicurezza
al giorno d'oggi va di moda, e spesso basta invocarla per vedersi magicamente
aprire opportunità (leggi: budget) che altrimenti sarebbero rimaste precluse.
Da questo punto di vista, forse, la sicurezza ha preso quel posto che negli anni
'80 e '90 è stato dell'informatica in generale, quando la "vecchia"
PA bruciò miliardi e miliardi in una tanto frenetica quanto disordinata "corsa
all'informatizzazione" che sfociò in progetti solo in parte efficaci in
quanto poco armonizzati, male strutturati e peggio gestiti.
D'altronde i fatti parlano chiaro quantomeno nel
ridimensionare, se non proprio nello smentire, taluni dei proclami che a più
riprese questa o quella PA hanno fatto nel corso degli anni. Basta vedere il
faticoso e lento procedere dell'innovazione all'interno dei labirintici
meandri dell'amministrazione dello Stato per rendersi conto che, in buona
sostanza, a tanto parlare spesso non seguono azioni concrete. Il protocollo
informatico e la posta elettronica certificata, strumenti nati per snellire i
rapporti tra le pubbliche amministrazioni, e che avrebbero dovuto essere in peno
esercizio da tempo, sembrano appena usciti dalla sperimentazione ed iniziano ora
a muovere per davvero i loro primi incerti passi tra lo scetticismo dei più.
L'Indice delle pubbliche amministrazioni che, istituito nel lontano 2000,
avrebbe dovuto costituire il repository centralizzato delle informazioni
di interfaccia tra cittadini e PA, è popolato quasi solo da volenterose
comunità montane e ardite agenzie in vena di sperimentazione, ma brilla per l'assenza
di ministeri e regioni (in compenso c'è una interessante amministrazione che
si chiama "Test".).
Per non parlare del fatto che, a due anni dall'entrata in
vigore della "legge sulla privacy", si è reso necessario promulgare l'ennesima
proroga della proroga dei tempi di adeguamento, proprio per venire incontro alle
tante PAC e PAL che ancora non hanno fatto pressoché nulla per ottemperare alle
tutto sommato semplici, e perfino intelligenti, richieste della legge.
Tutto ciò stride alquanto con taluni proclami trionfalistici
che, una volta abbassatosi il polverone, rivelano scenari piuttosto desolanti.
Quali quello di un GovCERT che, a tre anni dalla sua istituzione, non ha ancora
un proprio sito Web, continua ad operare con un organico di quattro persone
(più il direttore.), è riuscito a coagulare solo 31 amministrazioni su 59 e
produce, quale servizio di punta, un bollettino mensile sulle nuove
vulnerabilità della Rete.
In tutto ciò il CNIPA ha, onestamente, compiuto un lavoro
egregio, anche se spesso paragonabile alla fatica di Sisifo, cercando di porre
ordine in una giungla di iniziative tecniche e legislative che rischiano di
intrecciarsi creando una giungla inestricabile. Purtroppo però la normazione la
fanno i comitati, e come si sa, in Italia un comitato non lo si nega a nessuno.
Da qui la proliferazione di comitati più o meno estesi, afferenti a questo o
quell'altro dicastero, con compiti spesso sovrapposti, contro cui nemmeno il
CNIPA, oltretutto degradato da autorità a centro tecnico, può più di tanto.
Tutto ciò non fa il bene del Paese e nemmeno quello della
sicurezza. La sicurezza è, soprattutto, organizzazione e coordinamento: laddove
non vi è né l'uno né l'altro non si può ragionevolmente pensare di fare
sicurezza. Come mettere ordine in questa situazione confusa e, anche invocando
la perfetta buona fede di tutti, quantomeno inefficiente?
Chissà, forse una cura omeopatica potrebbe servire: se venisse davvero fatta la
tanto invocata agenzia nazionale per la sicurezza delle tecnologie informatiche
pubbliche, e le fossero conferiti sul serio i poteri di indirizzo e
coordinamento che dovrebbe avere, la situazione potrebbe modificarsi. A patto
che questa volta vi sia davvero buona volontà e voglia di fare, perché non
abbiamo affatto bisogno dell'ennesima agenzia ingessata ed impotente, specie
quando si parla di sicurezza.
|
Pagina stampabile
