10 regole sulla sicurezza nel settore pubblico
Alcune premesse
Il settore pubblico è uno di quegli ambiti tra i più interessanti da studiare in un’ottica di sicurezza informatica ma, anche, particolarmente impegnativo e, in molti casi, frustrante.
Si pensi a una dilagante mancanza di progettualità e capacità di usare le risorse, alla fragilità delle infrastrutture più complesse o periferiche, alle tante falle presenti nelle configurazioni, nei servizi e nei software e alla difficoltà di monitorarle tutte in tempo reale. Oltre a problemi di formazione di tutti i dipendenti e anche a una ostilità diffusa, in alcune realtà, nell'investire su questi temi e azioni.
La compromissione delle e-mail è, come noto, il primo problema in tutte le amministrazioni pubbliche, e i casi di violazioni di sicurezza legate a questa falla occorrono in un numero elevatissimo.
I dipendenti di tantissimi enti forniscono senza particolare problema, ogni giorno, credenziali e dati di sistema o, addirittura, dati sensibili a terzi e, molto spesso, anche dati aziendali utili per attaccare il sistema.
Si aggiunga il comportamento diffuso di non aggiornamento dei sistemi degli uffici e la presenza di servizi da remoto vulnerabili (tutti quelli che consentono accesso da remoto ai servizi della PA), e il quadro appare subito ancora più critico.
Le amministrazioni centrali possono risultare vulnerabili anche per motivi politici e in relazione a ritorsioni collegate a vicende nazionali o internazionali. Si pensi ad attacchi a specifiche amministrazioni occidentali con lo scopo di creare caos o di distruggere le capacità online degli uffici di fornire specifici servizi ai cittadini quando è in corso una guerra.
DIECI semplici regole da apprendere su questi temi
- Procedere a un rinnovo completo di tutti i sistemi obsoleti negli uffici pubblici sia centrali sia periferici.
- Diffondere sensibilizzazione a tutti i livelli per un uso corretto e sicuro della posta elettronica e delle sue credenziali.
- Continuare a sensibilizzare tutti i dipendenti per un uso corretto e sicuro degli allegati.
- Prestare particolare cura, anche con regolamenti appositi, all’uso di dispositivi mobili e chiavette USB.
- Obbligare all’uso di VPN per attivare collegamenti da remoto ai sistemi dell'azienda o dell'ente.
- Diffondere la prassi della cifratura dei dati, sia statici, sia durante le connessioni.
- Prevedere sempre dei ruoli chiari in ambito cybersecurity, anche con riferimento ai profili gerarchici.
- Avere chiaro il punto di riferimento essenziale rappresentato dal DPO e le sue funzioni in ambito di protezione dei dati e di tutela dei dati dei cittadini.
- Prestare particolare cura anche al livello di sicurezza dei fornitori esterni di servizi informatici
- Prestare costante attenzione al sito web dell’ente e alle sue possibili vulnerabilità.