La notizia è di fine novembre 2016. Se ho capito correttamente, nel 2015 la Procura di Trieste ha un guasto ai propri server usati per le intercettazioni e chiede aiuto per il recupero di un file al fornitore del servizio di assistenza informatica (Area S.p.A.). La referente di Area S.p.A. riesce a recuperare il file dal proprio pc aziendale. Dopo aver ringraziato, la Procura riflette sul fatto che copie dei file delle intercettazioni sono conservate su pc di persone esterne alla Procura stessa e avvia delle indagini:
- http://milano.corriere.it/notizie/cronaca/16_novembre_29/intercettazioni-pm-server-procure-all-azienda-informatica-5593741c-b5ac-11e6-a2c1-e1ab33bf33ae.shtml.
Due giorni dopo, il Ministero della giustizia invia una circolare alle Procure per chiedere di "alzare la soglia di allerta sulla sicurezza dei sistemi informativi delle intercettazioni":
- http://milano.corriere.it/notizie/cronaca/16_novembre_30/intercettazioni-ministero-pm-80bf5490-b678-11e6-9fa1-de32925f0429.shtml.
A gennaio si tiene presso il ministero un incontro tra i capi delle Procure per discutere del problema e vengono fuori delle preoccupazioni da parte dei presenti in merito all'accesso da remoto dei fornitori privati, alla mancanza di personale interno qualificato presso le Procure, alla mancanza di un albo delle ditte qualificate. Un procuratore si è anche vantato di aver protetto la propria infrastruttura con un "apposito firewall":
- http://milano.corriere.it/notizie/cronaca/17_gennaio_11/intercettazioni-capi-procure-1ec86626-d76d-11e6-94ea-40cbfa45096b.shtml.
Premetto che in passato ho avuto modo di conoscere Area S.p.A. e posso solo dire che: a) ho apprezzato la dichiarazione di Andrea Formenti; b) so che hanno molto a cuore la sicurezza dei dati. Di più non posso dire.
La ragione per cui presento questo caso è che rende pubblico un classico rapporto cliente-fornitore.
Da quanto scritto sui giornali, escludo che Area S.p.A. facesse raccolta dati per finalità di profilazione o simili. Se così fosse, la referente di Area S.p.A. non avrebbe palesato la possibilità di recuperare i dati.
Quindi cosa rimane? Immagino questo: il fornitore dice al cliente che sarebbe opportuno investire anche in un sistema di backup; il cliente non ritiene invece opportuna questa misura (magari, addirittura, avrà chiesto di toglierla dall'offerta per ridurre i costi); il fornitore, però, sa bene che alla prima difficoltà il cliente gli creerà dei problemi e quindi si arrangia, facendo backup su un'infrastruttura sicura (di questo ne sono certo), anche se per questo deve ricorrere ad un barbatrucco.
E, alla prima difficoltà, il cliente ha creato comunque problemi. Dimostrando anche elevata incompetenza: pensa di risolvere il problema dei backup con "apposito firewall" o con un albo di fornitori; non si chiede perché il fornitore avesse accesso incondizionato da remoto (anche se immagino perché nessuno della Procura avesse voglia di aprire e chiudere porte del firewall per consentire le manutenzioni in emergenza anche di notte); pensa di risolvere il problema, pochi giorni dopo, inviando una circolare (7 pagine che risolvono i problemi) nonostante le medesime procure abbiano chiesto numerose proroghe per adeguarsi alle prescrizioni del 2013 (!) del Garante privacy in materia di sicurezza.
Non so se Area S.p.A. ha comunicato preventivamente alla Procura di Trieste le carenze di sicurezza riscontrate (inclusa la mancanza di un sistema di backup "a regola d'arte"), ma sono convinto che finora la carenza di soldi e di competenze ha dettato le scelte dei clienti. E la colpa, come sempre e nonostante tutto, è dei fornitori.
Nessun commento:
Posta un commento