10 regole sulla sicurezza nel settore pubblico

Alcune premesse

Il settore pubblico è uno di quegli ambiti tra i più interessanti da studiare in un’ottica di sicurezza informatica ma, anche, particolarmente impegnativo e, in molti casi, frustrante.

Si pensi a una dilagante mancanza di progettualità e capacità di usare le risorse, alla fragilità delle infrastrutture più complesse o periferiche, alle tante falle presenti nelle configurazioni, nei servizi e nei software e alla difficoltà di monitorarle tutte in tempo reale. Oltre a problemi di formazione di tutti i dipendenti e anche a una ostilità diffusa, in alcune realtà, nell'investire su questi temi e azioni.

La compromissione delle e-mail è, come noto, il primo problema in tutte le amministrazioni pubbliche, e i casi di violazioni di sicurezza legate a questa falla occorrono in un numero elevatissimo.

I dipendenti di tantissimi enti forniscono senza particolare problema, ogni giorno, credenziali e dati di sistema o, addirittura, dati sensibili a terzi e, molto spesso, anche dati aziendali utili per attaccare il sistema.

Si aggiunga il comportamento diffuso di non aggiornamento dei sistemi degli uffici e la presenza di servizi da remoto vulnerabili (tutti quelli che consentono accesso da remoto ai servizi della PA), e il quadro appare subito ancora più critico.

Le amministrazioni centrali possono risultare vulnerabili anche per motivi politici e in relazione a ritorsioni collegate a vicende nazionali o internazionali. Si pensi ad attacchi a specifiche amministrazioni occidentali con lo scopo di creare caos o di distruggere le capacità online degli uffici di fornire specifici servizi ai cittadini quando è in corso una guerra.

DIECI semplici regole da apprendere su questi temi

1. Procedere a un rinnovo completo di tutti i sistemi obsoleti negli uffici pubblici sia centrali sia periferici.
2. Diffondere sensibilizzazione a tutti i livelli per un uso corretto e sicuro della posta elettronica e delle sue credenziali.
3. Continuare a sensibilizzare tutti i dipendenti per un uso corretto e sicuro degli allegati.
4. Prestare particolare cura, anche con regolamenti appositi, all’uso di dispositivi mobili e chiavette USB.
5. Obbligare all’uso di VPN per attivare collegamenti da remoto ai sistemi dell'azienda o dell'ente.
6. Diffondere la prassi della cifratura dei dati, sia statici, sia durante le connessioni.
7. Prevedere sempre dei ruoli chiari in ambito cybersecurity, anche con riferimento ai profili gerarchici.
8. Avere chiaro il punto di riferimento essenziale rappresentato dal DPO e le sue funzioni in ambito di protezione dei dati e di tutela dei dati dei cittadini.
9. Prestare particolare cura anche al livello di sicurezza dei fornitori esterni di servizi informatici
10. Prestare costante attenzione al sito web dell’ente e alle sue possibili vulnerabilità.