Database eGov: prepariamoci ai mega furti di dati personali dei cittadini

Sicurezza

Nei bandi di gara della PA troviamo da alcuni anni la voce “spese di sicurezza”, riferita agli incidenti sul lavoro (dalla legge 626 in poi), ma in nessun caso sono previste e messe a “budget” le spese per la sicurezza delle informazioni. Risultato: il disastro della privacy a venire

di Raoul Chiesa, Security Brokers

La digitalizzazione della pubblica amministrazione apre problemi inediti per i dati personali dei cittadini. Perché il nostro Paese sta correndo verso il digitale senza però aver acquisito una sufficiente cultura della sicurezza informatica. 

Un conto è il database di una piccola ASL, un altro il database di un comune, un altro ancora un’anagrafe centralizzata. Ma c’è un fattore che li accomuna: archivi digitali, un insieme di file residenti su dei sistemi informatici – magari in “Cloud”, per risparmiare.

Qui risiede il problema: nel difficile connubio tra sicurezza delle informazioni e database pubblici. Abbiamo citato l’anagrafe unica e le ASL, ma pensiamo alle associazioni (migliaia, in Italia), alle ONLUS, ma anche la stessa Camera di Commercio, nei cui database troviamo sì aziende e partite iva, ma anche e soprattutto nomi, cognomi, date di nascita, indirizzi di residenza e codici fiscali: la manna per il ladro di identità.

Questi dati, infatti, sono la base, il minimo comune denominatore per il furto di identità, come vedremo in un altro articolo di questo speciale Repubblica Inchieste.

Il cybercriminale, la potenza straniera, il crimine organizzato si calano, come api sul miele, su questi database: qui risiedono i dati che fanno loro gola, quel “file” che loro sanno come trasformare, immediatamente, in denaro sonante, attraverso truffe di basso, medio ed alto livello, commerciando in quello che è noto agli operatori del settore come “il mercato nero” delle identità virtuali.

Va da sé il concetto per il quale, man mano che l’e-Government diverrà realtà ed i sistemi della Pubblica Amministrazione e delle aziende private, con i loro succulenti database, saranno sempre più connessi alla rete Internet, i malintenzionati aumenteranno il loro interesse nel concentrare i propri sforzi verso un unico obiettivo, il quale può restituire loro, in premio, centinaia di migliaia, o magari milioni, di dati: perché sforzarsi per colpire e violare decine di piccoli archivi, se in un colpo solo i bad guys possono fare il classico jackpot?

Questa è la problematica principale del piano di sviluppo di un’Italia totalmente digitale, dove il “fattore sicurezza” è, la maggior parte delle volte, sottovalutato o addirittura non contemplato.

Nei bandi di gara della PA troviamo da alcuni anni la voce “spese di sicurezza”, riferita agli incidenti sul lavoro (dalla legge 626 in poi), ma in nessun caso sono previste e messe a “budget” le spese per la sicurezza delle informazioni.

Da un’analisi che ho condotto, gli hacker abbiano violato con successo i database sfruttando falle e vulnerabilità “web-based”.

Questo, in altre parole, significa che il mercato nazionale che acquista i programmatori, non richiede conoscenze specifiche su argomenti quali la programmazione sicura, il test di vulnerabilità, l’analisi del codice sorgente dei software per evidenziare proattivamente problematiche sicurezza.

Il tutto si traduce nelle notizie che, quasi quotidianamente, leggiamo sui giornali: web defacement all’azienda “x”, furto di dati dei cittadini dalla PA “y”, cyber-­espionage verso un’azienda o una nazione nemica (o amica).

Forse è giunta l’ora che l’interi sistema cambi verso un approccio differente, se non vogliamo che il vantaggio competitivo proprio dell’Information & Communication Technology non si trasformi invece in un boomerang verso l’economia nazionale.

19 Novembre 2014

TAG: sicurezza, chiesa