L'INCHIESTA
E se anche Sicilia fosse attaccata dagli hacker? Ecco le falle nel sistema informatico della Regione
Abbiamo provato a capire cosa succederebbe qui se i “pirati tecnologici” assaltassero i sistemi digitali pubblici
Cosa succederebbe se i sistemi informatici della Sicilia fossero sottoposti a un attacco hacker simile a quello che ha mandato nel caos la Regione Lazio? Il dubbio non è un capriccio, visto che la stessa domanda se l’è posta l’Arit in una nota ufficiale indirizzata a Sicilia Digitale. Il riferimento esplicito è al «gravissimo attacco informatico subito dai sistemi Itc della Regione Lazio» con i «relativi danni causati in termini di blocco funzionale e compromissione dei dati».
Con questa premessa, il 3 agosto scorso, l’Autorità regionale per l’Innovazione tecnologia pone ai vertici della partecipata (che per statuto si occupa dello «svolgimento di tutte le attività informatiche di competenza delle amministrazioni regionali») una questione seria: ovvero «se i livelli di sicurezza attivati presso i nostri sistemi regionali siano in grado di contrastare analoghi attacchi anche in relazione alle vulnerabilità riscontrate». L’Arit, braccio informatico dell’assessorato all’Economia, chiede inoltre a Sicilia Digitale «l’innalzamento di tutte le misure di sicurezza, avuto riguardo altresì alla coincidenza con il periodo feriale».
La risposta arriva il 5 agosto, controfirmata dall’amministratore unico Ignazio Bertuglia. Il quale rassicura sul fatto che «il sistema di accesso remoto in Vpn alla Rete regionale» (lo stesso violato in Lazio) sia aggiornato «all’ultima versione rilasciata dal fornitore», con «l’assenza di vulnerabilità in atto»; a ogni buon conto «sono già in corso le misure più idonee all’innalzamento del livello di sicurezza».
Ma Sicilia Digitale avverte che «appare necessario intervenire, oltre che sull’aspetto tecnologico, anche su quello procedurale, nonché dei comportamenti di ogni soggetto che interagisce con l’infrastruttura regionale». E su questo punto, più che una soluzione arriva un auspicio: occorre che «il personale (interno ed esterno, compresi i fornitori/consulenti)» che utilizza postazioni di lavoro dell’amministrazione regionale o che accede ai sistemi della Regione «ponga in essere tutte le cautele necessarie, per evitare di esporre l’intranet aziendale ai rischi di un attacco informatico». E per fare questo, a “mamma Regione” Sicilia Digitale raccomanda «un’attenta opera di sensibilizzazione». Che, specifica, «andrà estesa ai fornitori affinché innalzino i livelli di sicurezza per gli operatori esterni».
Dalla nota si evince incidentalmente che «gli operatori esterni» hanno accesso alle «infrastrutture del Centro tecnico di Tdr», il cuore informatico della Regione dove si trovano, ad esempio, i sistemi «Siope Plus, Esc e PagoPa». Sicilia Digitale ritiene «indispensabile, altresì richiedere l’innalzamento delle misure di sicurezza sui sistemi di posta elettronica, veicolo principale di malware».
La garanzia della sicurezza informatica della Regione, dunque, non è un punto fermo. Ma si basa anche sulla «disponibilità» di Sicilia Digitale a «partecipare agli eventuali tavoli tecnici che si dovessero istituire» allo scopo di «supportare l’Amministrazione regionale nell’approntamento di un piano d’azione per un processo continuo di innalzamento dei livelli di sicurezza del perimentro informatico della Regione Siciliana».
Un piano che, evidentemente, non c’è. L’amministratore unico Bertuglia conclude ricordando all’Arit, come già fatto un una nota di luglio, «la necessità d’implementare, non solo dal punto di vista logico, ma anche da quello fisico, la sicurezza dei sistemi». Ribadendo «una volta di più quanto sia importante che tutti gli apparati software e hardware del Centro Tecnico siano adeguatamente coperti da necessari contratti di manutenzione e aggiornamento, al fine di prevenire guasti e bug di sicurezza».
Insomma, non c’è proprio da dormire sonni tranquilli. Come conferma Nuccio Di Paola: «Se da un lato si registra ’investimento di tre milioni l’anno in software e hardware – afferma il deputato regionale del M5S – dall’altro ci sono numerosi elementi di preoccupazione su altri versanti della sicurezza informatica della Regione, oltre che sul futuro di Sicilia Digitale». Rispetto alla situazione attuale, Di Paola punta il dito su due aspetti. Il primo è «la carenza di personale specialistico, sopratutto tecnici informatici esperti di sicurezza, all’interno della società partecipata». Il secondo è più complessivo: «La carenza di formazione e aggiornamento di tutto il personale regionale, per il quale non risulta siano stati svolti corsi di recente, per cui rischiamo grosso a maggior ragione in regime di smart working». Il deputato grillino si dice «molto preoccupato» anche del «controllo sull’esternalizzazione dei servizi, una giungla in cui manca una cabina di regia».
E infine la questione di prospettiva: il futuro di Sicilia Digitale, partecipata con 88 dipendenti, erede di Sicilia e-Servizi, che secondo un dossier del M5S «non prende più commesse dalla Regione». Il governatore Nello Musumeci, dopo aver appreso che la piattaforma informatica era gestita da una società esterna di consulenza, spiegò che Sicilia Digitale «l’abbiamo trovata che era una scatola vuota. Purtroppo era stata concepita per favorire l’amico del giaguaro. Magari la accorperemo ad altre partecipate». E il progetto, sul tavolo dell’assessore Gaetano Armao, c’è già: accorpamento di Sicilia Digitale, Sis (Società interporti siciliana) e Parco scientifico tecnologico. «Se il progetto è affossare il principale asset digitale della Sicilia – sbotta Di Paola – il governo Musumeci deve dirlo con chiarezza. L’alternativa c’è ed è chiara: potenziare la società, assumendo specialisti e valorizzando le risorse umane, per trasformarla da potenziale carrozzone a snodo decisivo per la sicurezza e la qualità dei sistemi informatici nell’Isola».
COPYRIGHT LASICILIA.IT © RIPRODUZIONE RISERVATA