|
|
 |
|
Pubblica amministrazione |
|
|
|
La sicurezza informatica: iniziative amministrative e
normative nel settore pubblico |
|
di Carlo Sarzana di S. Ippolito* - 27.01.06
(Relazione presentata alla conferenza "La sicurezza ICT nella PA:
strategie e azioni " - Roma, 17 gennaio 2006)
|
| |
In Italia il problema della sicurezza informatica nel settore pubblico è
stato preso in considerazione dal Governo, e in particolare dal Ministro
per l'innovazione e le tecnologie, nella fondamentale Direttiva del 16/1/2002
dal titolo " Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche
Amministrazioni statali"cui hanno fatto seguito le "Linee Guida del Governo
per lo sviluppo della Società dell'Informazione nella legislatura " del
giugno 2002. Alle affermazioni contenute nei due documenti sopraccitati occorre
aggiungere una ulteriore considerazione, e cioè che la stessa integrità ed
affidabilità dei sistemi informatici pubblici devono essere efficacemente
tutelate nei confronti degli attacchi di tipo DoS e netstrike.
Per quanto riguarda le iniziative in tema di sicurezza informatica
pubblica, occorre tener presente, oltre le iniziative del Comitato Tecnico
Nazionale sulla sicurezza informatica, anche quelle, recentissime, del
CNIPA concretatesi nella redazione di apposite linee guida per le
P.A. contenute in due documenti: il Piano Nazionale della sicurezza delle
tecnologie dell'informazione e della comunicazione per la P.A e il
Modello Organizzativo Nazionale di Sicurezza ICT per la P.A. I due documenti
rappresentano una prima e concreta azione di promozione della "cultura
della sicurezza " nel settore dell'informatica pubblica. In materia va
ricordato che richiami alla sicurezza informatica sono contenuti, anche se in
via incidentale, in recenti provvedimenti normativi ed amministrativi, tra i
quali quelli concernenti il sistema SPC, il Codice dell'Amministrazione
Digitale, ecc.. Una particolare attenzione merita poi, dal punto di vista
giuridico, il problema della certificazione della sicurezza nel settore
della tecnologia dell'informazione, giacchè sussistono incertezze in ordine
alla natura giuridica dell'attività di certificazione e della figura del
certificatore, anche dal punto di vista penalistico. Altri problemi concernono
la responsabilità per prodotti difettosi certificati regolarmente. Sempre nel
settore della sicurezza informatica occorre considerare anche il
problema del ricorso da parte di amministrazioni pubbliche al sistema dell'outsourcing
per la gestione della sicurezza: in quanto in questo settore mancano
regole giuridiche specifiche.
Vanno poi tenute presenti, sempre nel campo della sicurezza informatica, i
problemi ed riflessi, soprattutto normativi e giuridici, scaturenti dalla
introduzione nel campo pubblico di nuove tecnologie quali la biometria, il VOIP,
i sistemi Wireless (particolarmente Wi-fi ), il RFDI, ecc., con
riferimento, ad esempio al campo giuslavorista ed alla difesa della
privacy. Passando ora all'argomento della prevenzione e della
difesa degli apparati informatici pubblici appare utile
conoscere non soltanto le modalità di attacco al funzionamento
dei servizi gestiti dai sistemi informatici, ma anche le motivazioni
ideologico- politiche sottese agli attacchi, (DoS, netstrike e defacement).
Appare quindi opportuno studiare il fenomeno dell'hackivism e le sue
implicazioni, tenendo nel debito conto anche il fenomeno degli insider.
Infine, in argomento, vanno ricordate anche le conseguenze di
tipo amministrativo e contabile, di solito neglette, allorché si parla di
responsabilità, derivanti da malfunzionamenti nei sistemi
informatici pubblici, imputabili ad omissioni o negligenze gravi dei
responsabili della sicurezza, tuto questo in considerazione dei recenti
orientamenti giurisprudenziali della Corte dei Conti per quanto
riguarda anche il "danno all'imnagine" della P.A..
Per concludere, va osservato che, ai fini di una efficace sicurezza politica di
sicurezza informatica nel campo pubblico, occorre una precisa e decisa volontà,
appunto politica, dei "decision makers", concretizzantesi in specifiche
iniziative normative dirette a dare veste e vigore normativi ai Piani e Modelli
di sicurezza ed alla creazione di una, peraltro ripetutamente auspicata dalla
dottrina pubblicistica, Agenzia Nazionale per la Sicurezza delle tecnologie
informatiche pubbliche che assicuri, tra l'altro, un effettivo coordinamento,
al massimo livello politico-governativo delle iniziative delle singole
amministrazioni in tema di sicurezza informatica.
|
|
* Presidente aggiunto onorario della Corte di
cassazione e componente CTNSI
|
|
|
|
|
|
|
Pagina stampabile
