Pare che la frase “Tutti cavalieri!”, che l’imperatore Carlo V avrebbe pronunciato durante la sua visita ad Alghero, sia una fake news prima dei tempi. Con quella frase, avrebbe voluto estendere il cavalierato a tutti gli abitanti di Alghero. Di certo molto più pratico di tante cerimonie singole per assegnare il titolo nobiliare.
Ma questo modo di fare un po’ sbrigativo – per così dire – nel regolare le questioni amministrative di cyber security in Italia è rimasto. Vediamo un avvenimento, che risale a qualche lustro fa ma che potrebbe tranquillamente ripetersi in forme simili anche domani.
La formazione alla cyber security è un investimento che ritorna
Indice degli argomenti
Gestire la cyber security: l’antefatto
Nel marzo 2005 si verificò un ripetuto accesso non autorizzato ai dati dell’anagrafe del Comune di Roma. I dati delle anagrafi comunali, è bene ricordarlo, non sono solamente “personali” (come ovvio) ma anche “sensibili”. Infatti, è nell’anagrafe che sono conservati, ad esempio, i dati relativi ai cambi di sesso e la propria paternità/maternità.
Quindi, come dati sensibili, dovrebbero godere di maggior tutela e protezione rispetto agli accessi indebiti e alla diffusione (o, più in generale, al data breach, se preferite).
Nel 2005 qualcosa a Roma va storto: vengono rilevati dal Comune oltre 2.600 accessi al sistema anagrafico da un utente esterno alla rete comunale. Accessi e scaricamento dati che avvengono per la gran parte di notte o di domenica, e che non sono effettuati da PC collegati alla intranet capitolina.
Si indaga e si scopre, dopo neanche tanto tempo, che – come spesso avviene – l’intrusore non è esterno: è la Regione Lazio stessa. E, più precisamente, la sua società controllata Laziomatica per la gestione dei sistemi informativi regionali (adesso, dopo varie vicissitudini aziendali, è divenuta LazioCrea S.p.A.). Alcuni dipendenti di Laziomatica avevano un accesso legittimo all’anagrafe per motivi legati all’erogazione di prestazioni sanitarie. E se n’erano un po’ approfittati, diciamo così.
Il problema delle minacce interne
Ma perché mai la Regione avrebbe dovuto interessarsi così da vicino alle informazioni sui cittadini dell’Urbe? La questione era legata alle vicine elezioni regionali, per le quali era necessaria una raccolta di firme (non poche, 2.500) per consentire la presentazione di una lista. E chiaramente è molto più veloce scaricare un elenco di nomi, cognomi, date di nascita e numeri di carta d’identità da un PC anziché aspettare 2.500 autografi a un banchino.
Al di là della motivazione che causò l’intrusione, di cui all’epoca si parlò molto sulla stampa e sul web, è interessante notare che gli “hacker” del 2005 erano in realtà degli operatori autorizzati ad amministrare da remoto il sistema stesso: degli amministratori di sistema, insomma.
E in risposta a questa intrusione – che definirei sicuramente grave, ma non gravissima – ai danni dei cittadini romani, lo Stato reagì approvando, nel giro di “soli” tre anni, una misura che per certi versi fu davvero stupefacente: il provvedimento “Amministratori di Sistema” del Garante Privacy del novembre 2008, tuttora in vigore anche se modificato. Alzi la mano chi se lo ricorda ancora oggi, nel 2023.
In sostanza, si affermò che gli amministratori di sistema, definiti come “figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti […] o anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi” devono essere competenti e onesti in quanto (“[la loro nomina avviene] previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza”).
E questo va benissimo: dell’amministratore di sistema ci si deve poter fidare, e ci mancherebbe.
Gli amministratori, inoltre, devono essere identificati e nominati con atto ufficiale e questo è già meno scontato. Soprattutto negli enti di dimensioni molto piccole – dove si fa fatica ad individuare anche un solo “amministratore” – o molto grandi, dove i ruoli e le competenze sono spesso suddivise fra molti funzionari, uffici, aziende esterne, capire chi è l’Amministratore non è sempre facile.
Ma tutto ciò non basta: si obbligano gli Enti a introdurre delle misure di controllo della loro attività sul sistema, “sistemi idonei alla registrazione dei log di accesso agli elaboratori e agli archivi elettronici degli amministratori di sistema” ovvero a loggare ogni ingresso, uscita, query, inserimento di file, cancellazione di dati che questi soggetti effettuino sul loro sistema.
Siamo “tutti delinquenti”?
La misura del “log obbligatorio” applicata erga omnes, oltre ad avere un che di vessatorio, è difficilissima da applicare: che cosa devo “loggare”? Su quali server e PC in azienda? Anche il solo “logon” e la mera visualizzazione di informazioni senza modifica? E dove scrivo questo data set informativo, che si presume immodificabile? Devo registrare anche le modifiche che come amministratore apporto alle difese perimetrali della rete?
E ancora: chi guarda le guardie? Ovvero: come posso io, amministratore di sistema, lasciare di fatto le chiavi del mio sistema a un collega, o ad un terzo che deve come minimo essere un power user se non proprio un amministratore di dominio sulla mia infrastruttura?
E infine: il software per gestire tutta questa mole di logging, software estremamente pervasivo e “impiccione”, perché deve controllare ogni singolo bit in transito, chi lo installa, aggiorna e controlla?
Non l’amministratore di sistema, ovviamente. E quindi si dovrebbe dare il via libera all’installazione di un programma con “sonde” piazzate ovunque, che rileva sostanzialmente quello che vuole e magari, Dio non voglia, lo spedisce a qualche destinatario fuori dalla rete.
No, a mio modo di vedere era ed è del tutto inaccettabile. Anche perché non risulta che esistano software di questo tipo realizzati in modalità open source e quindi un po’ più garantiti dal punto di vista della sicurezza.
Forse sarà anche per questo che di questa norma del 2008 ce ne siamo scordati in tanti.
