I recenti eventi afferenti all’accesso abusivo a banche dati di primaria rilevanza, in particolare gestite da istituzioni pubbliche ma non solo, aldilà delle indagini penali e delle iniziative che verranno assunte dall’Autorità Garante per la protezione dei dati personali e dalle altre autorità competenti, inducono ad alcune riflessioni sui requisiti di sicurezza che da un lato gli standard per la gestione della sicurezza informatica (ISO 27001 in primis) e dall’altro il GDPR richiedono per la tutela non solo di disponibilità e integrità ma anche della riservatezza delle informazioni.

Occorre premettere che tali 3 caratteristiche sono ciascuna di rilievo, in quanto:

– la disponibilità permette di gestire i processi di trattamento delle informazioni in maniera regolare e tempestiva;
– l’integrità è necessaria perché le informazioni che attengono a un fenomeno come una persona devono essere complete per una compiuta valutazione delle sue caratteristiche;
– la riservatezza consente che sia rispettata l’esigenza di need to know, più in generale, del rispetto della privacy,

e fra di loro collegate in quanto, ad esempio, la disponibilità di dati non integri equivale a non disporre di informazioni essenziali e l’integrità di dati non tutelati sotto il profilo della riservatezza può comportare il maggior danno possibile per persone fisiche e giuridiche.

Ciò posto, ciò che eventi come quelli in questi giorni sui giornali, sempre più frequenti e profondi sono esemplificativi di come a volte (o spesso) la linea manageriale non è consapevole dei rischi connessi al trattamento delle informazioni oppure considerano la sicurezza informatica come un vincolo al business.

Ebbene, tali eventi mostrano che così non è.

Basterebbe qui considerare tre delle diverse previsioni in materia di protezione delle informazioni per capire come occorra procedere ad una forte e consapevole azione di irrobustimento:

a) ricorso a fornitori esterni per la realizzazione di progetti IT – Il ricorso al mercato anziché alla produzione in house può essere da un lato meno onerosa e, dall’altro, consente di poter reperire risorse esperte circa le evoluzioni del coding. Benissimo, ma: non bisogna dimenticare che l’interazione con tali fornitori deve rispettare specifici requisiti di sicurezza per gestire due rischi: quello di culpa in eligendo e quello di culpa in vigilando. In sintesi, le righe di codice prodotto devono essere comunque oggetto di riscontro per evitare il rischio se non di backdoor, di debolezze di cui attaccanti esterni potrebbero approfittare;

b) amministratori di sistema – Il loro ruolo è peculiare e articolato. A seconda dei poteri concessi potrebbero operare non solo per la funzionalità della macchina IT ma anche intervenire in lettura, scrittura, modifica e cancellazione dei dati. Dunque, il loro ruolo deve essere ben profilato e, come dal 2008 ci dice il Garante, oggetto di controllo;

c) logging e monitoring (e SIEM) – Bisogna impostare un robusto processo definire, essere consapevoli dell’attività svolta, all’interno di un’infrastruttura IT, da risorse IT e da risorse umane (inclusi gli operatori abilitati dall’organizzazione, interni o esterni che siano) per una immediata percezione delle anomalie.

Il dubbio, che per qualsiasi cittadino sorge leggendo le notizie di questi giorni, è che qualcosa non abbia funzionato. Che non ci sia o non si comprenda l’importanza che le base dati sono un patrimonio da tutelare, specialmente per le organizzazioni pubbliche che tali informazioni gestiscono in nome della collettività.

Allora, i system owner delle diverse organizzazioni dovrebbero cominciare a porre attenzione a questi aspetti. Ad esempio considerando – ove i sistemi IT già lo prevedano, altrimenti provvedendo per la loro impostazione – i report e gli alert sugli accessi e focalizzarsi in primis su quelli che appaiono distonici ad es per l’orario di accesso, per la numerosità degli accessi pro capite, per accessi svolti su eventi di località diverse, per la concentrazione su specifiche coorti di soggetti, etc.

Sulle eventuali responsabilità penali ci penserà la magistratura, ma su quelle civili e amministrative occorre essere consapevoli che chi ha la responsabilità delle informazioni potrà essere chiamato a risponderne. E, comunque, la reputazione delle organizzazioni colpite ne risentirà.

In tutto questo, le molteplici figure già previste dalle norme – ad es, in ambito pubblico, dal titolare del trattamento al responsabile per la prevenzione della corruzione della trasparenza, dal responsabile per la transizione digitale al referente per la cybersicurezza (ruoli che potrebbero essere assegnati al medesimo soggetto) – possono e devono essere attivi e, assieme alle competenze del security manager e alla consulenza del Responsabile per la protezione dei dati (Data Protection Officer), rendere il patrimonio informativo, delle P.A. come delle organizzazioni private, protetto e monitorato. In caso contrario ne potrà risentire l’intero sistema, ai livelli politico, sociale ed economico.

Quindi ciò che occorrerebbe fare, se non lo si è fatto già da ieri, è verificare l’assetto delle risorse IT – con continuità – e assumere le più idonee iniziative consapevolmente.

Inoltre occorre maturare una cultura del rischio tale che le misure di sicurezza non siano considerate come un onere formale da lasciare ai tecnici “perché il manager ha il business da seguire” e non può perdere tempo in adempimenti tecnici. È falso che, se nulla accade, le risorse dedicate alla gestione dei rischi sono uno spreco. Piuttosto evitano maggiori costi (se non la fine stessa di una organizzazione) purché utilizzate in maniera incisiva e sostanziale.