Team digital Piacentini, quale ruolo per l’ethical hacking

In un’azienda, quando c’è un problema di poca sensibilità dei vertici aziendali alla sicurezza dei propri sistemi informativi, una strada comune per aumentare l’attenzione è quella di commissionare un penetration test. Per le PA invece è meglio affidarsi a volontari. Come vuole fare Piacentini. Ma con due rischi da tenere sott’occhio

10 Feb 2017
Claudio Telmon

Information & Cyber Security Advisor” P4I

sicurezza-120214171459

Il Team per la Trasformazione Digitale si è certamente imbarcato in un’impresa che ha dell’eroico, impresa nella quale tanti prima di loro sono falliti, spesso malamente: far fare passi avanti importanti nella digitalizzazione delle nostre Pubbliche Amministrazioni. Fallimenti corredati di accuse reciproche sulle cause del fallimento e comunque sempre annunciati, anche nei pochi casi in cui invece le iniziative hanno avuto successo.

Una di queste accuse reciproche, probabilmente la più comune, riguarda il ruolo delle strutture centrali rispetto a quelle periferiche. Le strutture periferiche accusano quelle centrali di imporre norme e regole “dall’alto”, senza percezione o attenzione alle vere capacità e problematiche delle strutture periferiche. Le strutture centrali accusano quelle periferiche di disinteresse e di proteggere i propri orticelli. Probabilmente entrambe hanno spesso ragione. Il team di Piacentini, “Jumping out of the system”, sembra aver scelto la strada dell’operatività: fornire, nelle loro parole, “una serie di componenti fondamentali sui quali costruire servizi più semplici ed efficaci tra i cittadini, le imprese e la Pubblica Amministrazione attraverso prodotti digitali innovativi”. Quello che chiamano il “Sistema Operativo” del paese.  Ne gioiranno sicuramente i molti, ad esempio fra i sostenitori del software libero, che hanno sempre sostenuto che con tante attività simili che le pubbliche amministrazioni svolgono, lo sviluppo di componenti (possibilmente aperti, o almeno riusabili) da rendere disponibili a tutte le PA avrebbe portato un notevole beneficio in termini di efficienza e di interoperabilità.

In tutto questo, veniamo al tema della sicurezza. Nelle parole del Team “Sicurezza e privacy sono i principi più importanti; mai, per nessuna ragione, scenderemo a compromessi”. Dopo una tale premessa, il fatto che immediatamente dopo lo stesso Team abbia messo in evidenza l’ethical hacking come attività di primaria importanza può creare qualche perplessità, soprattutto pensando alle nostre pubbliche amministrazioni.

Quale ruolo per l’ethical hacking per servizi sicuri

Vale la pena quindi di ragionare su quale sia il ruolo dell’ethical hacking nello sviluppo di servizi sicuri. Per la realizzazione di servizi sicuri, la sicurezza entra in gioco subito: la progettazione deve tenere conto delle esigenze e dei vincoli di sicurezza, in modo da non sviluppare software insicuro a cui debba poi essere “appiccicata” malamente. Ma un servizio sicuro non è solo software: l’architettura dell’ambiente di esecuzione ed i processi di gestione, sia dello sviluppo che dell’esercizio, sono altrettanto importanti. Tutti temi abbondantemente trattati negli standard di settore. Tutto questo si somma naturalmente ad una buona gestione complessiva del sistema informativo: è inutile avere un firewall se non si sa neanche quali macchine sono in esercizio e con chi devono comunicare. Alla fine, come “prova del nove”, si può anche provare un’attività di ethical hacking, per verificare che non sia sfuggito qualcosa.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Su tutto questo, diciamo che buona parte delle pubbliche amministrazioni avrebbero ancora parecchia strada da fare, strada che si è provato nel tempo a far loro percorrere, spesso con gli interventi normativi di cui sopra. È chiaro che lo sviluppo di software non rimedia a questi aspetti, se non nella prospettiva molto specifica del “codice sicuro”. Qualunque servizio può essere realizzato in modo del tutto insicuro utilizzando software perfettamente sicuro, specialmente dove ci siano poca cura, poca competenza o addirittura l’interesse a fare le cose secondo diverse priorità.

In un’azienda, quando c’è un problema di poca sensibilità dei vertici aziendali alla sicurezza dei propri sistemi informativi, una strada comune per aumentare l’attenzione è quella di commissionare un penetration test. In pratica, si incarica una società specializzata di cercare di entrare “abusivamente” (in realtà in modo autorizzato e controllato, seppure violando i meccanismi di difesa) nei sistemi dell’azienda, per metterne in evidenza le falle e la facilità o meno con cui possono essere sfruttate.  Di fronte ai risultati di questa attività, generalmente allarmanti, di solito l’azienda si decide a prestare maggiore attenzione alle problematiche di sicurezza. Si tratta però di una strada difficilmente percorribile per migliaia o decine di migliaia di pubbliche amministrazioni: anche quelle che decidessero di farlo (e sarebbe una dimostrazione di attenzione non comune), avrebbero il problema di trovare abbastanza fornitori competenti e, ancora di più, fidati. Quella di “hacking etico”, infatti, è evidentemente un’attività estremamente delicata che richiede estrema correttezza da parte del fornitore e del personale coinvolto nelle attività presso i clienti, che si trova a conoscere (con possibilità di utilizzare o diffondere) informazioni chiave sulla loro (in)sicurezza.

È a questo punto che potrebbe innestarsi l’attività volontaria di ethical hacking alla quale il Team fa appello quando dice: “Vogliamo creare una policy che spieghi a tutti coloro che identificano un problema di sicurezza come segnalarlo in modo adeguato, tutelando gli utenti coinvolti grazie a una pronta risoluzione, e incentivare così tutti i cosiddetti “hacker etici” ad aiutarci in questo compito”. Un’attività di verifica sui sistemi delle PA porterebbe all’attenzione dei responsabili e del Team le vulnerabilità dei servizi esposti. A quel punto, i responsabili di quei servizi non potrebbero esimersi dal prendere provvedimenti, adottando strumenti e processi più sicuri che prima avevano trascurato, e dando necessariamente più spazio alle indicazioni del Team ed alle norme, che per buona parte già esistono ma sono per lo più disattese.

I problemi dell’ethical hacking in Italia

Sembrerebbe quindi una buona idea, ma ci sono alcuni punti di attenzione. Il primo lo conosce chiunque si sia trovato, per caso o per altro, a conoscenza di una vulnerabilità di un’organizzazione, ed abbia provato a comunicarla. Il rischio è quello di essere accusato di aver tentato un accesso abusivo ai sistemi, o di averli danneggiati, con l’aggravante eventuale dei sistemi di pubblica utilità e di accesso a dati personali o sensibili. Non credo che basti la benedizione del Team ad evitare che il nostro hacker si scontri con un dirigente zelante che decida di denunciarlo.

Il secondo rischio, più grave, è che il dirigente zelante abbia ragione. Dopotutto, l’hacker etico si distingue da quello non etico principalmente per quello che fa dopo aver trovato la vulnerabilità, non prima. E la possibilità di danneggiare i servizi è reale in ogni caso.

Non si tratta probabilmente di problemi insormontabili, e l’intenzione di creare una policy, espressa dal Team, probabilmente va proprio nella direzione di rendere la cosa più praticabile. Da tempo ci si pone il problema ad esempio di come proteggere i cosiddetti whistleblower, e anche se il tema non è esattamente lo stesso, qualcosa se potrebbe imparare da quel contesto. L’importante è affrontare il problema, soprattutto a tutela degli entusiasti che potrebbero raccogliere la sfida. In questo caso, l’ethical hacking potrebbe essere effettivamente quella spinta in più che potrebbe portare le pubbliche amministrazioni meno attente ad affrontare in modo più efficace la sicurezza dei propri servizi.

C’è sempre un’altra possibilità: che l’idea di ethical hacking sia riferita ad una installazione “di test”, i cosiddetti “challenge”. Purtroppo, questa soluzione sarebbe inefficace, perché la sicurezza di una installazione di test è ben diversa da quella di molte installazioni in esercizio. Per quel genere di verifiche, c’è l’open source.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2