The Italian Cloud
di Agostino Pellegrino
La rapida evoluzione dei fatti in merito alle questioni relative alla Cyber Security ha subìto un’ulteriore accelerazione negli ultimi mesi a causa di numerosi eventi, più o meno gravi, che hanno messo a dura prova le già deboli e disorganizzate infrastrutture informatiche nazionali.
Diciamocelo chiaramente: se dovessimo paragonare lo stato dell’arte dal punto di vista Cyber Security in America, Cina, Giappone (giusto per citarne alcuni) con quello Italiano, la differenza in termini evolutivi sarebbe quella presente tra i mitragliatori automatici e le lance con punta in pietra, neanche levigata.
La risposta veemente da parte del Governo Tecnico, perché tale è che lo si ammetta o meno, la troviamo nel Piano Triennale ICT al punto 3: Il Cloud per la PA ( https://docs.italia.it/italia/piano-triennale-ict/cloud-docs/it/stabile/cloud-della-pa.html ).
Iniziamo col commentare il grande coraggio col quale si intende gestire i tempi di attuazione del piano: tre anni. Apprezziamo l’impegno, certo, ma migrare in cloud i dati dell’amministrazione di Sesto Campano e Roccapipirozzi (si, esiste 41°26′N 14°03′E) e di una miriade di altre amministrazioni credo possa portare via un po’ di tempo in più. D’altronde non ho, a mia memoria, esempi valutabili di operazioni condotte in maniera tempestiva in questo paese: tutte, e dico tutte, le operatività volte ad evoluzioni legislative, infrastrutturali e tecnologiche, in Italia, hanno visto fiorire ed appassire intere generazioni di nostri connazionali.
Esaminato il fattore tempo, passo ad esaminare una importante discriminazione, effettuata nel punto 3.1 “I Criteri di scelta dei servizi cloud”, che riporto integralmente:
“Nella maggior parte dei casi in cui il servizio richiesto non gestisce dati di particolare rilevanza per la sicurezza nazionale la PA potrà ricorrere all’utilizzo di servizi commerciali o pubblici (public cloud CSP o community cloud SPC) dove la scelta sarà guidata esclusivamente dalle caratteristiche di qualità e prezzo offerte dai fornitori CSP o SPC, nel rispetto della normativa vigente in ambito di acquisizione di beni e servizi.”
In queste poche righe si compie una tragedia, si declina un dramma in tutte le sue accezioni: la PA avrà una “lista di fornitori” certificati e dovrà scegliere, in base alla tipologia di informazioni gestite, quale fornitore sfruttare purché esso si adegui agli standard di interoperabilità imposti al 3.1.1 “SaaS e interoperabilità”, quindi basandosi su API (le librerie di codice che consentono ai programmatori di utilizzare degli standard comuni) che dovranno attenersi alle “Linee guida per l’interoperabilità”.
Ai programmatori è ben noto come la teoria possa, talvolta, distare interi Parsec rispetto alla realtà: definire un “Marketplace delle infrastrutture e dei servizi cloud” (3.2) significa coinvolgere un quantitativo considerevole di soggetti, aziende, fornitori che dovranno generare servizi che la PA potrà acquistare in base alle più granulari esigenze. L’idea, stupenda, è quella di creare un network di sistemi interoperanti con uno standard condiviso. All’atto pratico il rischio più grande è quello di introdurre un quantitativo fuori controllo di bug e vulnerabilità, sia a livello infrastrutturale che a livello applicativo, che potrebbe consentire potenzialmente ad utenza malintenzionata di accedere a dati che, seppur non immediatamente considerati “critici”, esattamente come critici non lo erano quelli della Regione Lazio, restano di importanza talvolta vitale per il singolo cittadino al quale, by default, non viene garantita la stessa “service continuity” di cui invece godranno “soggetti terzi” ai quali, per motivi di sicurezza nazionale, verranno assegnati diritti di accesso ai servizi dati in affidamento a qualcuno tra i 35 data center su 1252 presenti sul territorio nazionale candidabili all’utilizzo da parte del Polo Strategico Nazionale che si sono rivelati “in compliance” coi requisiti (risultati del censimento, imbarazzanti, visualizzabili qui https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/02/20/cloud-pa-concluso-il-censimento-ict ).
E’ proprio dall’analisi del censimento che si evince come tutto questo possa degenerare in un processo lungo decenni; riportando quanto descritto nel documento, i risultati parlano così:
“L’82% delle PA consultate ha dichiarato di possedere un data center di proprietà, il restante 18% ha detto di affidarsi a data center di terzi.
Dal censimento è emerso che il 13% dei data center è stato realizzato prima del 1996, il 28% tra il ’96 e il 2005, il 46% tra il 2006 e il 2015, il 13% dopo il 2015.
Il 64% dei data center censiti sono stati oggetto di un ultimo intervento di ammodernamento dopo il 2015, mentre il 36% prima del 2015.
In base ai dati raccolti nella rilevazione, oltre il 42% delle PA afferma di aver già adottato servizi Cloud, il 22% di prevederne un prossimo utilizzo, mentre il restante 36% non ne ha ancora previsto l’adozione.”
Chiunque operi nel settore della Cyber Security è conscio del fatto che, alla base di una corretta gestione dei sistemi, è indispensabile un’attenzione alle infrastrutture e ai software quotidiana, costante, meticolosa. Dal censimento deduciamo che, nel caso migliore, l’ultimo intervento di ammodernamento (definire, prego…) può essere stato apportato fino a sette anni fa! Avete idea di cosa possa voler dire? Chiunque abbia un minimo di cognizione in questo senso, rabbrividisce! Vogliamo parlare del 36% della PA che non ha nemmeno preso in considerazione il passaggio al cloud? Come si può anche solo pensare di affidare a “privati” una transizione così importante? Lo Stato, che dovrebbe mantenersi garante rispetto alla sicurezza, anche informatica, dei cittadini, cosa fa? Delega al privato? Io da cittadino esigo chiarezza, da tecnico sono certo che ci saranno problemi enormi perché le variabili che si andranno ad introdurre saranno praticamente incontrollabili. Chi gestirà i miei dati? Come lo farà? Dove saranno fisicamente questi dati, come ne saranno gestite eventuali copie di sicurezza, quali strategie di continuity verranno adottate, come sarà realmente testata la sicurezza delle infrastrutture delegate… sono tutte domande che andrebbero poste a chi vuole granularizzare il servizio sapendo di non essere in grado di controllare quella stessa granularità.
Per quanto faccia sempre di tutto per mantenere la mia analisi oggettiva, mi rendo conto che la sola espressione di un proprio pensiero sia di per sé deformata dall’essere di ciascuno, quindi anche dal mio. Tentando di rifarmi a qualcuno che questa situazione nemmeno poteva immaginarla, forse, prendo spunto da una regola d’oro che ho fatto profondamente mia: “Se conosci il nemico, e te stesso, di sicuro vincerai” (Sun Tzu).
Chi sta combattendo questa guerra, purtroppo, non conosce né sé stesso né tantomeno il suo nemico.
Agostino Pellegrino