CAD e CERT

La sicurezza (digitale e non) nei Comuni italiani: un quadro a tinte fosche

La sicurezza, digitale e fisica, continua a essere una chimera nei comuni italiani. Le norme ci sono, ma sono spesso disattese per insensibilità, mancanza di formazione, trascuratezza. Facciamo il punto

22 Apr 2020
Manuel Salvi

DPO GRC Team


Nonostante quanto fatto negli anni per consentire ai Comuni italiani di attrezzarsi a dovere per proteggere i dati in loro possesso, la sicurezza digitale e fisica risulta ancora fortemente trascurata.

Il fattore umano continua a rimanere insensibile all’importanza della data protection, talvolta per mancanza di formazione, oppure per trascuratezza.

Il fattore tecnologico, vuoi per mancanza di risorse, o per scarsa comprensione del problema, da parte di coloro che dovrebbero stanziare i budget, è sovente sotto dimensionato e assolutamente inadeguato per far fronte alle minacce del cyber crime, dato da qualsiasi osservatore, in forte crescita.

Eppure, il Codice dell’Amministrazione Digitale (CAD), testo unico che riunisce e organizza le norme riguardanti l’informatizzazione della Pubblica Amministrazione, è stato istituito ben 15 anni fa, il 7 marzo 2005 (D.Lgs. 82/2005 e sue modifiche D.Lgs. 179/2016 e D.Lgs. 217/2017).

Il CERT-PA ha attuato un servizio di early warning per mantenere la PA informata e aggiornata sulle nuove vulnerabilità di sicurezza. Per usufruire del servizio per le amministrazioni pubbliche è sufficiente accreditarsi.

L’Agid ha da tempo individuato e concretizzato un pacchetto di misure consistenti in controlli di natura tecnologica, organizzativa e procedurale, utili alle Amministrazioni per valutare il proprio livello di sicurezza informatica.

Tale pacchetto comunemente chiamato “misure minime” si compone invero di tre livelli di attuazione: Avanzate, Standard e Minime.

L’adeguamento alle misure minime sarebbe dovuto avvenire, per i soggetti che compongono la PA, obbligatoriamente entro il 31 dicembre 2017.

L’azienda con cui collaboro, ancora oggi partecipa a bandi per inizializzare realtà comunali al pacchetto misure minime.

L’owner della sicurezza

Chi dovrebbe occuparsi della data protection all’interno della PA?

Il CAD all’art. 17 introduce la figura del “Responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie”.

Purtroppo, però, spesso le norme rimangono disapplicate in larga parte.

Gli esempi sono relativi poiché mostrano una specifica casistica, forse estrema, ma spesso rivelatrice.

Nel comune capoluogo di una delle provincie più popolose e ricche d’Italia il “Responsabilità dell’Ufficio Transizione al Digitale” è anche DPO e pure Responsabile per l’ufficio Demografici. Tralasciando il fatto che vi è una palese incompatibilità tra le diverse funzioni che ricopre, l’incarico di traghettare l’ente nel XXI secolo può essere annacquata fra altre responsabilità altrettanto gravose?

Nella quotidianità, muovendomi come consulente privacy fra molteplici organizzazioni pubbliche e private, vedo una trascuratezza di fondo relativamente ai compiti della protezione dei dati, sia lato GDPR, sia lato CAD. Sovente il responsabile o il designato a occuparsi di queste materie viene scelto con la tecnica della “pagliuzza più corta” e questo oggi è inaccettabile.

Nell’era digitale dove una delle tre più importanti minacce alla stabilità europea è quella della cyber security, la difesa dell’infrastruttura ICT può essere affidata a uno qualunque, senza competenze, senza esperienza, senza vocazione al compito assegnatogli?

Il 15 dicembre 2019 un ransomware ha colpito il sistema informatico del Comune di Spoleto. Ancora oggi il sito del Comune di Spoleto risulta contrassegnato come “non sicuro” dai principali browser e continua ad utilizzare il vecchio protocollo di connessione non protetta “http” invece del più affidabile e moderno “https”.

Uno Studio dell’Osservatorio Federprivacy ha evidenziato che su ben 3.000 siti di comuni italiani ispezionati, 1.435 di essi (47%) avevano connessioni non sicure esponendo i dati dei cittadini a rischio di attacchi hacker.

Spero di non sembrarvi troppo pessimista ma senza persone adeguatamente formate e con la necessaria competenza, maturata sul campo, difficilmente la nostra pubblica amministrazione potrà progredire e considerarsi a pieno titolo al passo con i tempi.

Le misure minime

La Circolare del 18 aprile 2017, n. 2/2017 «Misure minime di sicurezza ICT per le pubbliche amministrazioni (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015), è piuttosto chiara e ci dice:

“Obiettivo della presente circolare è indicare alle pubbliche amministrazioni le misure minime per la sicurezza ICT che debbono essere adottate al fine di contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi. (Art.1 – Scopo).

Il Responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie di cui all’art.17 del C.A.D., ovvero, in sua assenza, il dirigente allo scopo designato, ha la responsabilità della attuazione delle misure minime di cui all’art. 1 (Art. 3 – Attuazione delle misure minime).

Le modalità con cui ciascuna misura è implementata presso l’amministrazione debbono essere sinteticamente riportate nel modulo di implementazione. Dopo la sottoscrizione esso deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell’incidente stesso. (Art. 4).

Entro il 31 dicembre 2017 le amministrazioni dovranno attuare gli adempimenti di cui agli articoli precedenti (Art. 5. Tempi di attuazione)”.

Questa circolare è largamente disapplicata in toto in talune realtà e in parte in altre.

Chi volesse approfondire il tema delle misure di sicurezza (Minime, Standard, Avanzato) può trovare sul sito AGID il Modulo di Implementazione.

Ma vediamo in dettaglio quali sono queste “fantomatiche” misure minime e cosa dovreste fare se ne foste l’owner:

  • Inventario dei dispositivi autorizzati e non autorizzati: gestite attivamente i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario), in modo che l’accesso sia dato solo ai dispositivi autorizzati, registrandone almeno l’indirizzo IP (ABSC_ID 1.1.1, 1.3.1, 1.4.1). Questa attività è solo apparentemente semplice per chi non conosce la complessità di enti comunali di una certa grandezza e difficilmente ottemperabile senza un DCM (Desktop & Mobile Device Management) e senza un software di scansione della rete, che producano dei report continuamente aggiornati.
  • Inventario dei software autorizzati e non autorizzati: stilate un elenco dei software autorizzati e relative versioni (ad esempio anticipando l’obsolescenza di taluni sistemi come accaduto per Windows 7 nei mesi scorsi), eseguite scansioni regolari sul software installato, verificate la presenza di software non autorizzato, impeditene l’installazione o l’esecuzione (ABSC_ID 2.1.1, 2.3.1). Se monitorare tutto l’hardware in una realtà complessa è difficile, figuriamoci qualcosa di impalpabile come il software con tutti quei programmini autoinstallanti, che riempiono le memorie dei nostri dispositivi. L’utilizzo di un DMC, una regolare attività sistemistica e la definizione di una white/black list dei software autorizzati è la soluzione.
  • Proteggete le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server: utilizzate configurazioni sicure standard accompagnate da software di sicurezza (es. antivirus, anti-intrusione) per la protezione dei sistemi operativi. Eventuali sistemi in esercizio, che vengano compromessi, devono essere ripristinati utilizzando la configurazione standard. Le immagini d’installazione devono essere memorizzate offline. Le operazioni di amministrazione remota devono essere eseguite per mezzo di connessioni protette (protocolli intrinsecamente sicuri – HTTPS). (ABSC_ID 3.1.1, 3.2.1, 3.2.2, 3.3.1, 3.4.1). Sovente le Policy standard vengono modificate dai singoli dipendenti per esigenze momentanee o per un’apparente eccessiva rigidità delle policy stesse. Nella gestione di talune attività, certe limitazioni potrebbero dar noia e la loro disattivazione, sguarnisce difese e depaupera i protocolli di sicurezza, che lo dice anche il nome, sono minimi (qui infatti stiamo parlando solo delle “Misure Minime” e dello loro requisiti, per l’appunto minimi).

Una policy per la gestione degli accessi da remoto, da consegnare a tutto il personale, con l’evidenza che strumenti quali Teamviewer e analoghi debbano essere usati solo a richiesta, per periodi limitati e con la supervisione del personale assegnatario del dispositivo, potrebbe apparire superflua ma talvolta è necessaria.

Anche in questo caso un DCM può rilevare a posteriori le configurazioni e in caso di sistemi compromessi può ripristinare automaticamente le impostazioni standard.

  • Valutate e correggete continuamente le vulnerabilità: eseguite scansioni delle vulnerabilità periodicamente, assicurandovi che gli strumenti di scansione siano aggiornati e istallate automaticamente patch e aggiornamenti. Verificate che le vulnerabilità emerse dalle scansioni siano state risolte sia per mezzo di patch, o implementando opportune contromisure, oppure documentando e accettando un ragionevole rischio. Definite un piano di gestione del rischio, attribuendo delle azioni per la risoluzione delle vulnerabilità, che tenga conto del livello di priorità in base al rischio associato (ABSC_ID 4.1.1, 4.4.1, 4.5.1, 4.5.2, 4.7.1, 4.8.1, 4.8.2). Un software di scansione automatizzato è indispensabile. Gli aggiornamenti quotidiani dovrebbero comprendere Secinfo, NTVs, CVEs, CPEs, OVAL Definitions, DFN-CERT Advisories, CERT-Bund Advisories).
  • Un uso appropriato dei privilegi di Amministratore (AdS) è indispensabile. E’ recente la notizia che il Garante è intervenuto in maniera decisa su un provider italiano per l’inaccettabile gestione dei cosiddetti “Super User”. Prevedete di limitare i privilegi di amministrazione ai soli utenti, che abbiano le competenze adeguate e la necessità operativa di modificare la configurazione dei sistemi. Registrate ogni accesso effettuato e mantenete i registri per 6 mesi (ABSC_ID 5.1.1, 5.1.2, 5.2.1, 5.3.1, 5.7.1, 5.7.3, 5.7.4, 5.10.1, 5.10.2).

La figura di Amministratore di Sistema è ben descritta successivamente. La rilevazione di Access Log è facilmente ottenibile con un software dedicato (sul mercato ve ne sono molti).

Un errore comune, che farà felice qualunque hacker, è collegare alla rete un nuovo dispositivo senza sostituire le credenziali predefinite, che sono solitamente molto deboli (es: ID: 1234, Password: 1234).

  • Una Policy per le password è imperativa. Sovente quando parlo di password, loro complessità e tempi di modifica (password aging – password history) vedo negli astanti cenni d’assenso quasi stessi parlando di tematiche trite e ritrite. Quando poi ispeziono le postazioni di lavoro, trovo le stesse password scritte a penna su post-it affissi sul monitor, sotto la tastiera o condivise con i colleghi, quasi fossero il segreto di Pulcinella. Le utenze privilegiate debbono essere oltre che nominative e riconducibili ad una sola persona, con livelli di sicurezza maggiori. E’ necessaria o l’autentificazione a più fattori o credenziali di elevata robustezza (almeno 14 caratteri).
  • Difese contro i malware: E’ necessario installare su tutti i sistemi connessi alla rete locale strumenti atti a rilevare la presenza e bloccare l’esecuzione di malware (antivirus locali), firewall, IPS personali. Limitate l’uso di dispositivi esterni se non strettamente necessari; disattivate l’esecuzione automatica dei contenuti, dell’apertura automatica di messaggi di posta, l’anteprima dei contenuti dei file. Effettuate scansioni anti-malware, filtrate i contenuti di posta elettronica (strumenti antispam) e il contenuto del traffico web. Implementate una procedura di risposta agli incidenti, che preveda la trasmissione al provider di sicurezza dei campioni di software sospetto, per la generazione di firme personalizzate (ABSC_ID 8.1.1, 8.1.2, 8.3.1, 8.7.1, 8.7.2, 8.7.3, 8.7.4, 8.8.1, 8.8.2, 8.9.1, 8.9.2, 8.9.3, 8.10.1, 8.11.1).

Oltre all’utilizzo di soluzioni antivirus, firewall e software di protezione è utile creare momenti formativi per sensibilizzare il personale a comportamenti coerenti alla sicurezza informatica. Strutturate Policy di Dominio. Utilizzate provider di posta elettronica con funzionalità antispam e antivirus, installate content filtering.

  • Copie di sicurezza: effettuate back up almeno settimanalmente a garantire il completo ripristino del sistema. La riservatezza delle copie può essere contenuta con un’adeguata protezione fisica dei supporti ovvero mediante cifratura. La codifica effettuata prima della trasmissione consente la remotizzazione del backup anche nel cloud (ABSC_ID 10.1.1, 10.3.1, 10.4.1).
  • Protezione dei dati: Effettuate un’analisi dei dati per individuare quelli con particolari requisiti di riservatezza (dati rilevanti) e segnatamente quelli ai quali va applicata la protezione crittografica. Bloccate il traffico da e verso url presenti in una blacklist (ABSC_ID 13.1.1, 13.8.1).

Amministratore di sistema e responsabili

Utilizzando un vecchio passaggio di manzoniana memoria potremmo dire: “L’Amministratore di Sistema: chi è costui?”

La figura dell’Amministratore di Sistema (AdS) non ha mai avuto in chiave normativa una connotazione chiare a definita, e forse è questo il motivo per cui continua a far discutere e mettere in difficoltà chi si occupa di protezione dei dati.

Per fare chiarezza sulla figura dell’Amministratore di Sistema (AdS) dobbiamo ricorrere al Provvedimento del Garante privacy del novembre 2008.

Gli AdS sono: “in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. …vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.” (Definizione del Garante Italiano nel Decreto del 2008)

Vediamo nel dettaglio le categorie ipotizzate nel lontano 2008, un’era geologica fa considerando la velocità con cui si muove l’evoluzione tecnologica.

  • Amministratore delle basi di dati (Database Administrator), responsabile dell’integrità dei dati stessi, dell’efficienza e delle prestazioni del sistema-database, dei back-up e dei disaster recovery;
  • Amministratore della rete (Network Administrator) che gestisce l’infrastruttura delle reti e cioè gli apparati fisici come macchine, cavi, sistemi wi-fi, hub, switch e router ed effettua le diagnosi dei vari computer o server presenti in rete ;
  • Amministratore della sicurezza (Security Administrator), che si occupa della custodia delle credenziali, della gestione dei sistemi di autenticazione e di autorizzazione, dei privilegi di accesso nonché della gestione dei dispositivi di sicurezza firewall, antivirus e l’adozione di misure di sicurezza in generale;
  • Amministratore web (Web Administrator), che si preoccupa della gestione dei servizi web, in internet e intranet, ovvero servizi che permettono ad utenti interni e/o esterni di accedere ai siti web e ai servizi di rete internet in upload e download e di navigazione in generale.

Sovente le attività sopracitate vengo esternalizzate dalla PA a fornitori esterni. Esigenze di bilancio e carenza di risorse (persone, locali, tecnologie) costringono gli enti locali italiani ad appaltare esternamente quelle attività necessarie per completare una migrazione ancora lontana verso un sistema di eGovernment, in cui la PA possa definirsi realmente digitalizzata.

Il soggetto (persona fisica) che materialmente dovrebbe portare la digitalizzazione (cavi, collegamenti, banda, e tutto quello che è necessario per smaterializzare/digitalizzare la PA) è l’Amministratore di Sistema (AdS).

Talvolta, quindi, si confonde l’AdS con la società a cui si è affidato il bando. Qualora non si abbia una figura interna, quale ad esempio il Responsabile CED, ma si esternalizzi l’attività, la persona giuridica incaricata è il Responsabile esterno mentre la persona fisica (dipende/collaboratore del soggetto incaricato), che concretamente accede alle strutture fisiche o informatiche dell’ente, è l’AdS.

Lato GDPR serviranno 2 nomine, una per il Responsabile esterno (persona giuridica – Art. 28 GDPR) e una per l’AdS (addetto).

L’Amministratore di Sistema sarà incaricato, valutandone i requisiti di esperienza, capacità e affidabilità, con apposita lettera o nomina, la quale dovrà contenere i seguenti elementi:

  • l’attestazione che l’Ads ha le caratteristiche richieste dalla legge;
  • l’elencazione analitica delle funzioni e degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato;
  • l’indicazione delle “verifiche” almeno annuali che il titolare svolgerà sulle attività svolte dall’AdS;
  • l’indicazione che la nomina ed il relativo nominativo sarà comunicato al personale e eventualmente a terzi secondo le modalità richieste dalla legge.

Altre incombenze necessarie sono:

  • il Registro degli Amministratori di Sistema contenente i dati identificativi degli AdS, con la specifica delle funzioni e degli ambiti ad essi attribuiti. Questo documento è soggetto ad accertamento del Garante.
  • La Verifica delle attività dell’AdS, con cadenza almeno annuale.
  • Il Registrazione degli accessi (Access log) conservate per un periodo, non inferiore a sei mesi.

Nella mia esperienza quotidiana presso enti comunali, minore è la taglia dell’ente e maggiore è la trascuratezza degli adempimenti accennati. Vuoi la mancanza di risorse, vuoi l’assenza di profili professionali con un taglio marcatamente ITC, le necessarie attività spesso sono ignorate o trascurate.

Sicurezza fisica

Se la sicurezza digitale è sovente trascurata per mancanza di competenze o comprensione dei fenomeni, la sicurezza fisica è spesso inapplicata per trascuratezza.

Il D.Lgs. 196/2003 all’Allegato B presentava un breve elenco di 27 indicazioni operative per migliorare la sicurezza delle informazioni all’interno delle organizzazioni.

Il GDPR ha cambiato completamente la prospettiva introducendo il concetto di Accountability.

Ciò che io mi aspetterei dopo 15 anni di “Codice Privacy” e di applicazione delle prescrizioni dell’allegato B, è che tali prassi operative siano divenute così persistenti nelle abitudini delle persone da essere un comportamento abituale, una di quelle routine quotidiane il cui distaccamento dovrebbe risultare fastidioso.

Purtroppo in molte organizzazioni pubbliche le prescrizioni dell’Allegato B, così come la dematerializzazione, che qui mi limiterò a definire semplicisticamente, “l’azione volta all’eliminazione dei supporti documentali cartacei” e la digitalizzazione “processo volto a ripensare processi e procedimenti in contesto digitale”, non sono mai stati pienamente adottati.

Fatto salvo pochi casi pionieristici in Italia le amministrazioni di tutti i livelli commettono errori grossolani in materia di sicurezza fisica e a titolo esemplificativo i comportamenti più comuni sono:

  • Gli archivi, se pur dotati di serratura, non vengono chiusi a chiave, anche qualora siano ubicati in locali di pubblico accesso o transito come corridoi o sale riunioni.
  • La “politica della scrivania pulita” è sconosciuta ai più, mentre in alcune aziende private innovative gli addetti alle pulizie hanno la direttiva di cestinare qualsiasi documento, che rimane sulle scrivanie per più di due giorni.
  • Password e username sono spesso mal conservate (annotati su post-it nei pressi della postazione di lavoro) e non riservate (conosciute e condivise ai colleghi).
  • I server raramente sono conservati in locali idonei e ad accesso riservato.
  • Le porte d’ingresso USB sono aperte e usate in maniera impropria (Chiavette USB a uso promiscuo).

PS: qualora voleste presentarmi casistiche virtuose, che mi ridiano entusiasmo e sfatino questa mia ricostruzione a tinte fosche della sicurezza nella PA italiana, sarei lieto di conoscere le vostre esperienze.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4