La sicurezza informatica non abita a Cuneo
30 Giugno 2012 Pubblicato da Pino Bruno
Ecco un bel caso di studio per i registi di Agenda Digitale Italiana che, tra gli obiettivi da perseguire, indica le “politiche di rafforzamento della sicurezza delle reti”. Ora, lo sanno anche i neonati digitali che tra i capisaldi della sicurezza c’è il certificato digitale, che protegge con la crittografia i siti in cui si svolgono transazioni delicate e si trattano dati sensibili. Ad esempio i siti della Pubblica Amministrazione, che dovrebbero essere preservati e garantiti da chiavi crittografiche robuste. Ebbene, alla Provincia di Cuneo avranno pensato che non è necessario acquistare certificati di sicurezza da una Certification Authority ufficiale. Meglio fare tutto in casa e autocertificarsi. E se poi il browser (giustamente) lancia il messaggio di allarme”QUESTA CONNESSIONE NON E’ AFFIDABILE”, i solerti funzionari della Provincia di Cuneo si inventano addirittura le istruzioni per ignorare ogni precauzione. Peccato che non ci si possa autocertificare. Per questo esistono le Certification Authority.
Qualche anno fa il Garante per la Protezione dei dati personali impose all’Agenzia delle Entrate di adeguare i livelli di sicurezza degli accessi via web all’anagrafe tributaria. Nel provvedimento del 18 settembre 2008 (Anagrafe tributaria: sicurezza e accessi), Il Garante sottolineava che:
“Per le web application è stato utilizzato un certificato Ssl di tipo self signed (non firmato da una Ca, Certification authority, ufficiale) non attendibile che, in mancanza di una Ca affidabile, non offre le garanzie di certezza dell’identità dell’erogatore del servizio tipiche della certificazione digitale tramite Pki (public key infrastructure): risultano pertanto facilitate azioni di phishing in danno di utenti del sistema e la possibile acquisizione indebita di credenziali di autenticazione, idonea a consentire utilizzi impropri dell’applicazione”.
E che:
“L’Agenzia deve prevedere che tutte le applicazioni accessibili da rete pubblica in forma di web application siano implementate con protocolli https/ssl provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali emessi da una Certification Authority ufficiale, evitando il ricorso a certificati di tipo self-signed”.
Chiaro, inequivocabile. Anche la Provincia di Cuneo tratta dati sensibili e dunque non può ostentare una pagina come questa. Non si può prendere alla leggera un tema importante e delicato come la sicurezza informatica. Davvero un caso di studio, per l’Agenda Digitale Italiana.
(Grazie a Massimo F. Penco e all’associazione Cittadini di Internet per la collaborazione e la documentazione messa a disposizione).
PS. La Provincia di Cuneo ha risposto, civilmente, con questa nota:
“Il certificato utilizzato dalla Provincia di Cuneo, ancorché non emesso da una Certification Authority (CA), ha garantito – ad oggi – la sicurezza delle connessione dei servizi on-line erogati attraverso il portale internet provinciale. Accogliamo comunque la critica costruttiva ricevuta e segnaliamo che stiamo perfezionando l’acquisizione di certificati emessi da una CA.
Dott. Alessandro Risso Dirigente del settore Tecnologie della Provincia di Cuneo”.
PPS del 13 luglio 2012. La Provincia di Cuneo s’è redenta….