Non so se restare sbalordito dall’ovvietà di certe affermazioni o rimanere impietrito per la serenità con cui si dichiara che il nostro Paese è – tutto sommato – nei guai quanto tanti altri.
La rilassata prospettazione di un simile quadro di situazione la si ritrova sintetizzata nell’articolo di Maroc Ludovico su Il Sole 24 Ore del 23 Ottobre scorso che titola “Attacchi cyber: l’Italia non è pronta ma nessun Paese lo è”. Dinanzi a simili asserzioni non vale la pena di scomodare nemmeno l’indimenticabile Sora Lella per farle pronunciare il ritrito “Annamo bene… proprio bene…”.
Le asserzioni del neodirettore dell’Agenzia Cyber e del Presidente di Leonardo solleticano la curiosità e magari qualcuno si domanda innocentemente cosa ha combinato Baldoni dal 2017? Cosa è successo nei lunghi quattro anni in cui Baldoni è stato vicedirettore del DIS ed era “al volante” della possente macchina che aveva competenza su queste faccende? Qualcosina forse la si poteva pur fare, anche poco poco così da non essere costretti a dire che a distanza di tempo oggi non siamo ancora pronti…
I più pignoli non si accontentano di tirare le somme del duro lavoro degli ultimi quattro anni e ritengono sia forse più corretto ampliare l’arco temporale in cui il professor Baldoni ha avuto istituzionalmente a che fare con il problema che per il momento ci ritroviamo costretti ad ammettere sia irrisolto.
Volendo si può andare indietro al 2011, cosa si è combinato da quando il Dipartimento per le Informazioni per la Sicurezza, al tempo diretto da Gianni De Gennaro (poi finito al vertice di Finmeccanica/Leonardo), firma un duraturo accordo con l’Università La Sapienza per affrontare sistematicamente il tema in questione?
Poco importa siano trascorsi quattro o dieci anni. Il risultato non cambia. Non siamo pronti. Punto.
Luciano Carta nel corso dell’evento dei Giovani Imprenditori di Confindustria dice testualmente che “Servono pertanto investimenti, strutture e capacità tecnologiche per rilevare e mitigare gli attacchi cyber”. Impossibile non concordare con lui.
Lo stesso Presidente di Leonardo tiene poi a ribadire che “ciò che appare urgente è mettere in sicurezza i dati di 180 amministrazioni strategiche dello Stato e ammodernare i server della Pubblica amministrazione che, per quanto ci ha detto il ministro Colao, per oltre il 90% sono obsoleti”.
Questa sua precisazione induce il lettore di Infosec News a domandarsi come mai quell’oltre 90 per cento dei sistemi informatici pubblici sia obsoleto, quindi non idoneo ad assolvere le funzioni cui è preposto e soprattutto si configuri come pericoloso e inaffidabile in termini di sicurezza digitale.
Il cittadino legittimamente indignato si chiede di chi sia tale pesante responsabilità e magari auspica l’intervento di qualche politico pronto a volerne sapere di più nei previsti contesti parlamentari e forse auspica – come avviene negli USA quando si muove il General Accountability Office – l’azione della magistratura contabile visto che di soldi dei contribuenti ne sono stati spesi a bizzeffe.
Già, chi aveva l’onere della modernizzazione e della “messa in sicurezza” della Pubblica Amministrazione che il Ministro Colao considera pubblicamente a dir poco scandalosa?
Nessuno – forse nemmeno il Ministro Colao – ha cercato “il colpevole” di una tanto indecorosa situazione. Eppure facendo ricorso ad un banale motore di ricerca si possano trovare link quanto meno suggestivi.
Chi, senza particolari abilità, si imbatte in https://www.leonardocompany.com/it/press-release-detail/-/detail/sicurezza-digitale-pa-digital-security-services e clicca su quel link (“provare per credere” recitava un famoso teleimbonitore che vendeva arredamento), finisce su una pagina web del sito ufficiale di Leonardo risalente alle ore 11 e 15 del 30 giugno 2016.
E’ lì che si scopre che da cinque anni è proprio Leonardo che guida il raggruppamento temporaneo di imprese che fornisce i servizi di sicurezza digitale alla Pubblica Amministrazione, quegli stessi servizi che hanno meritato il severo giudizio di Colao.
E’ proprio lì che si legge che “Saranno sviluppati servizi di protezione delle infrastrutture e dei sistemi e servizi di test per rilevare le vulnerabilità delle applicazioni al fine di migliorare la salvaguardia dei dati dei cittadini.”
Vista la recente impietosa valutazione del Ministro Colao, varrebbe la pena rileggere cosa dichiarava orgogliosamente l’allora Amministratore delegato di Leonardo-Finmeccanica: “Siamo estremamente soddisfatti di essere stati selezionati per accompagnare la Pubblica Amministrazione nel processo di trasformazione previsto dall’Agenda Digitale italiana e dal documento di Strategia per la Crescita digitale del Governo. Il ruolo di Leonardo sarà centrale per tutte le fasi del progetto, considerato il ruolo chiave della componente di sicurezza nelle transazioni con la Pubblica Amministrazione, a garanzia dell’integrità e dell’autenticità dei dati. Il nostro successo è basato sul continuo sviluppo di forti competenze nei servizi di cyber security e sulle significative esperienze maturate nell’ambito della gestione di applicazioni e servizi per la Pubblica Amministrazione”
Dopo cinque anni di fornitura e dopo quell’ “oltre il 90 per cento” di sistemi non protetti, varrebbe la pena ricordare che non è andato in pensione il vecchio adagio secondo il quale tra il dire e il fare c’è di mezzo il mare.
In vista dell’assegnazione della concessione per il “Cloud Nazionale” forse varrà la pena tener conto dei “precedenti”. L’Italia non può e non deve andare incontro ad ulteriori mortificazioni e, un domani, ritrovarsi dinanzi ad un Ministro che dice “Abbiamo il 93-95% dei server della Pubblica amministrazione non in condizioni di sicurezza”. Il cittadino non se lo merita. Il portafogli del contribuente nemmeno.