Sulla "sovranità digitale" (europea): Kasperky et al...
Come evidenziato anche dal nostro Stefano Quintarelli [*], le cronache recenti dovrebbero accendere qualche faro sulle implicazioni dettate dall'uso di "software" prodotto da entita' terze. Per dirla con le parole di Stefano (che discuteva di Kaspersky): "/Dopo l’aggressione russa con l’ingiustificata invasione dell’Ucraina, forse si potrebbe porre la questione dell’opportunità di una riflessione a lungo termine in merito a chi affidare la scansione di tutti i contenuti digitali (con antivirus ed altre tecnologie), in particolare di quelli ospitati nelle organizzazioni pubbliche e private che rientrano nel “perimetro cibernetico” italiano./" Ritengo sia riduttivo --pero'--, stante il contesto di questa lista, limitare questo ragionamento solo a Kaspersky. Perche' un software installato su qualche milione di PC Italiani (l'AV di kasperky) "è male".... ed invece un software installato su qualche decina di milioni di smartphone (Android), non dovrebbe meritare almeno la stessa attenzione? Perchè se un ipotetico "click" fatto su una console di gestione (che è evidentemente in esecuzione a Mosca), puo' scatenare quegli antivirus installati (anche in Italia ed in Europa) e... ad esempio, _ELIMINARE_ tutti i file presenti sul sistema locale.... è un fatto che "ci preoccupa" ma.... ...un analogo ipotetico "click", fatto a "Mountain View", che comporterebbe il blocco di tutti gli smartphone.... non produce la stessa sensazione? O anche un "click" che blocchi tutte le caselle di GMAIL... di O365..... tutte le VM ospitate su Azure.... su AWS.... ....oppure lo shutdown di Twitter.... di WhatsApp.... Io auspicherei che le orribili vicende di questi giorni rappresentassero una (tristissima) occasione di riflessione "alta", "seria" ed a "lunghissimo termine" su questi temi. Qualcosa che su questa lista gia' era abbastanza presente con l'etichetta "Sovranita' Digitale". Qualcosa che questo "gruppo" puo' certamente favorire/stimolare. Ma il cammino è ancora molto lungo. ...tanto per essere chiari: alle raccomandazioni che l'Agenzia per la Cybersecurity Nazionale ha _CORRETTAMENTE_ emanato un paio di giorni fa, in relazione alla situazione ucraina [2]... e che sono state ricevute da molti "tecnici" nei vari Atenei del nostro Paese... il commento piu' diffuso, raccolto (da me) è: "Ok. tutto vero. Ma... chi lo fa?". Semplicemente non è rimasto piu' nessuno.... oppure, chi c'è, è ormai vicino alla pensione... Probabilmente la risposta da dare è: "chiamate il commerciale Google o Microsoft. Ci penseranno loro". E, ripeto, parliamo di _ATENEI_. Che sia il caso di iniziare a ragionarci sopra? Saluti, DV [*] https://www.ilpost.it/stefanoquintarelli/2022/02/27/easter-egg-russia-e-kasp... [2] https://csirt.gov.it/contenuti/innalzare-la-postura-difensiva-in-relazione-a... -- Damiano Verzulli e-mail:damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Caro Damiano, mi ricollego velocemente alla tua ultima, condivisibile, considerazione per ricordare le conclusioni della (ignorata) Commissione di Inchiesta Parlamentare sulla Digitalizzazione e l'Innovazione nella PA[1], del febbraio 2020 (ma temo che la situazione sia ben poco mutata): "/*Il tentativo di istituire la figura di Chief Digital Officer “a costo zero” è chiaramente fallito.* È di tutta evidenza che le figure necessarie non sono presenti all’interno della PA, nonostante, come detto, la normativa prevedesse figure analoghe sin dal 1993 e quindi non vi è alcuna giustificazione per una mancata politica di assunzione in quasi 25 anni. Il costo, però, di un protrarsi della mancanza di giuste competenze nei livelli apicali, con la conseguente esternalizzazione del know-how e l’impossibilità di una reale interlocuzione tra pari con i fornitori, è un costo di gran lunga superiore a quello necessario ad una deroga del blocco delle assunzioni per figure con adeguate competenze tecnologiche, manageriali e di informatica giuridica. È inutile ricordare che*i costi della mancata transizione alla modalità operativa digitale sono stimabili in miliardi di euro e non è pensabile continuare a sostenerli a causa di una visione miope che pretende di operare una tale trasformazione senza avere la risorsa più importante in questo processo: il capitale umano.*/" Credo non ci sia bisogno di aggiungere altro. Saluti, MP [1] https://docs.italia.it/media/pdf/relazionecommissionedigitale-docs/bozza/rel... Il 02/03/22 12:03, Damiano Verzulli ha scritto:
...tanto per essere chiari: alle raccomandazioni che l'Agenzia per la Cybersecurity Nazionale ha _CORRETTAMENTE_ emanato un paio di giorni fa, in relazione alla situazione ucraina [2]... e che sono state ricevute da molti "tecnici" nei vari Atenei del nostro Paese... il commento piu' diffuso, raccolto (da me) è: "Ok. tutto vero. Ma... chi lo fa?". Semplicemente non è rimasto piu' nessuno.... oppure, chi c'è, è ormai vicino alla pensione... Probabilmente la risposta da dare è: "chiamate il commerciale Google o Microsoft. Ci penseranno loro". E, ripeto, parliamo di _ATENEI_.
Che sia il caso di iniziare a ragionarci sopra?
Saluti, DV
-- Michele Pinassi - Responsabile Cybersecurity Ufficio esercizio e tecnologie - CSIRT Università degli Studi di Siena irt@unisi.it
Grazie, Michele, per il cenno alla Relazione della Commissione. Mi era venuto il dubbio che fosse una relazione diversa.... da qualla che conoscevo. Ed invece no: è proprio quella che anche io, a volte, "punto", specialmente per questi altri passaggi (pag. 138 e 139 del PDF): ============================ l’informatica non è uno strumento aggiuntivo nella pubblica amministrazione, ma uno strumento di riforma”, la mancanza di consapevolezza dell’importanza del digitale ha portato la PA, negli anni, a non dotarsi delle competenze tecnologiche, manageriali e di informatica giuridica necessarie. Dalle audizioni emerge più volte che mancano le competenze interne e l’amministrazione sceglie di fare ampio ricorso al mercato. L’analisi dei curricula dei responsabili della transizione alla modalità operativa digitale rende difficile affermare che il comma 1-ter dell’articolo 17 del CAD sia rispettato, e cioè che “il responsabile dell’ufficio (. . . ) è dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali”, in alcuni casi per stessa ammissione dei responsabili durante le audizioni. [...] Dai lavori della Commissione non si può desumere che la spesa ICT sia eccessiva, ma sicuramente emerge una scar- sa capacità di controllo della qualità della spesa, soprattutto per quanto riguarda i sistemi informativi e l’impatto che dovrebbero produrre, sia in termini di risparmi, sia in termini di miglioramento della qualità dei servizi, che non viene quasi mai misurato. La mancanza di adeguate competenze interne impedisce alla PA di contrattare adeguata- mente con i fornitori, di progettare correttamente le soluzioni necessarie, di scrivere bandi di gara che selezionino il prodotto o il servizio più adeguato e aperto a nuove implementazioni e, infine, di controllare efficacemente lo sviluppo e la realizzazione delle soluzioni informatiche. [...] La mancanza di competenze adeguate, soprattutto nei livelli apicali, e una concezione desueta del digitale, visto come ancillare, di servizio e non come strategico, porta al rischio sistematico di impiego inefficiente di denaro pub- blico, in alcuni casi vero e proprio spreco. Lo scarsissimo utilizzo dei servizi on line da parte dei cittadini e l’ancor più scarso gradimento, i frequenti disservizi e una diffusa percezione di una digitalizzazione che spesso non c’è o non funziona, sono tutti sintomi di una spesa non efficiente e la Commissione ha constatato che molto raramente la PA committente si pone il problema di misurare l’efficacia e la qualità della digitalizzazione. Visto il ritardo accumulato dal nostro Paese è auspicabile che la spesa di sviluppo e innovazione tecnologica nei prossimi anni aumenti e, dati gli ampi margini attuali di risparmio di spesa che può derivare dalla dematerializzazione e digitalizzazione di processo sarebbe inopportuno non investire in questo senso, ma la precondizione consiste nell’immettere una massiccia dose di competenze nella PA in modo da agevolare il cambio culturale necessario ad una trasformazione evitando che la spesa pubblica sia solo acquisto di tecnologia. =========================== Bye, DV Il 02/03/22 12:20, Michele Pinassi ha scritto:
Caro Damiano,
mi ricollego velocemente alla tua ultima, condivisibile, considerazione per ricordare le conclusioni della (ignorata) Commissione di Inchiesta Parlamentare sulla Digitalizzazione e l'Innovazione nella PA[1], del febbraio 2020 (ma temo che la situazione sia ben poco mutata):
"/*Il tentativo di istituire la figura di Chief Digital Officer “a costo zero” è chiaramente fallito.* È di tutta evidenza che le figure necessarie non sono presenti all’interno della PA, nonostante, come detto, la normativa prevedesse figure analoghe sin dal 1993 e quindi non vi è alcuna giustificazione per una mancata politica di assunzione in quasi 25 anni. Il costo, però, di un protrarsi della mancanza di giuste competenze nei livelli apicali, con la conseguente esternalizzazione del know-how e l’impossibilità di una reale interlocuzione tra pari con i fornitori, è un costo di gran lunga superiore a quello necessario ad una deroga del blocco delle assunzioni per figure con adeguate competenze tecnologiche, manageriali e di informatica giuridica. È inutile ricordare che*i costi della mancata transizione alla modalità operativa digitale sono stimabili in miliardi di euro e non è pensabile continuare a sostenerli a causa di una visione miope che pretende di operare una tale trasformazione senza avere la risorsa più importante in questo processo: il capitale umano.*/"
Credo non ci sia bisogno di aggiungere altro.
Saluti,
MP
[1] https://docs.italia.it/media/pdf/relazionecommissionedigitale-docs/bozza/rel...
Il 02/03/22 12:03, Damiano Verzulli ha scritto:
...tanto per essere chiari: alle raccomandazioni che l'Agenzia per la Cybersecurity Nazionale ha _CORRETTAMENTE_ emanato un paio di giorni fa, in relazione alla situazione ucraina [2]... e che sono state ricevute da molti "tecnici" nei vari Atenei del nostro Paese... il commento piu' diffuso, raccolto (da me) è: "Ok. tutto vero. Ma... chi lo fa?". Semplicemente non è rimasto piu' nessuno.... oppure, chi c'è, è ormai vicino alla pensione... Probabilmente la risposta da dare è: "chiamate il commerciale Google o Microsoft. Ci penseranno loro". E, ripeto, parliamo di _ATENEI_.
Che sia il caso di iniziare a ragionarci sopra?
Saluti, DV
-- Michele Pinassi - Responsabile Cybersecurity Ufficio esercizio e tecnologie - CSIRT Università degli Studi di Siena irt@unisi.it
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Damiano Verzulli e-mail:damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
https://www.camera.it/leg17/995?sezione=documenti&tipoDoc=lavori_testo_pdl&i... PROPOSTA DI LEGGE Disposizioni concernenti l'acquisizione di strumenti e dotazioni informatiche da parte delle pubbliche amministrazioni, per la tutela della sovranità tecnologica e della riservatezza dei dati trattati Presentata l'8 luglio 2014 On 02/03/22 12:03, Damiano Verzulli wrote:
Come evidenziato anche dal nostro Stefano Quintarelli [*], le cronache recenti dovrebbero accendere qualche faro sulle implicazioni dettate dall'uso di "software" prodotto da entita' terze.
Per dirla con le parole di Stefano (che discuteva di Kaspersky): "/Dopo l’aggressione russa con l’ingiustificata invasione dell’Ucraina, forse si potrebbe porre la questione dell’opportunità di una riflessione a lungo termine in merito a chi affidare la scansione di tutti i contenuti digitali (con antivirus ed altre tecnologie), in particolare di quelli ospitati nelle organizzazioni pubbliche e private che rientrano nel “perimetro cibernetico” italiano./"
Ritengo sia riduttivo --pero'--, stante il contesto di questa lista, limitare questo ragionamento solo a Kaspersky.
Perche' un software installato su qualche milione di PC Italiani (l'AV di kasperky) "è male".... ed invece un software installato su qualche decina di milioni di smartphone (Android), non dovrebbe meritare almeno la stessa attenzione?
Perchè se un ipotetico "click" fatto su una console di gestione (che è evidentemente in esecuzione a Mosca), puo' scatenare quegli antivirus installati (anche in Italia ed in Europa) e... ad esempio, _ELIMINARE_ tutti i file presenti sul sistema locale.... è un fatto che "ci preoccupa" ma.... ...un analogo ipotetico "click", fatto a "Mountain View", che comporterebbe il blocco di tutti gli smartphone.... non produce la stessa sensazione?
O anche un "click" che blocchi tutte le caselle di GMAIL... di O365..... tutte le VM ospitate su Azure.... su AWS....
....oppure lo shutdown di Twitter.... di WhatsApp....
Io auspicherei che le orribili vicende di questi giorni rappresentassero una (tristissima) occasione di riflessione "alta", "seria" ed a "lunghissimo termine" su questi temi. Qualcosa che su questa lista gia' era abbastanza presente con l'etichetta "Sovranita' Digitale". Qualcosa che questo "gruppo" puo' certamente favorire/stimolare.
Ma il cammino è ancora molto lungo.
...tanto per essere chiari: alle raccomandazioni che l'Agenzia per la Cybersecurity Nazionale ha _CORRETTAMENTE_ emanato un paio di giorni fa, in relazione alla situazione ucraina [2]... e che sono state ricevute da molti "tecnici" nei vari Atenei del nostro Paese... il commento piu' diffuso, raccolto (da me) è: "Ok. tutto vero. Ma... chi lo fa?". Semplicemente non è rimasto piu' nessuno.... oppure, chi c'è, è ormai vicino alla pensione... Probabilmente la risposta da dare è: "chiamate il commerciale Google o Microsoft. Ci penseranno loro". E, ripeto, parliamo di _ATENEI_.
Che sia il caso di iniziare a ragionarci sopra?
Saluti, DV
[*] https://www.ilpost.it/stefanoquintarelli/2022/02/27/easter-egg-russia-e-kasp...
[2] https://csirt.gov.it/contenuti/innalzare-la-postura-difensiva-in-relazione-a...
-- Damiano Verzulli e-mail:damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Bello l'articolo di Stefano. E' un fatto noto che gli antivirus espongono i sistemi a problemi autoimmunità: possono rivolgersi contro chi difendono. Si è verificato diverse volte. La soluzione a mio avviso non passa tanto attraverso il potenziamento della fiducia esclusiva in un soggetto o un altro: l'antivirus di una nazione alleata non ci protegge più di uno nemico, se viene compromesso uno dei suoi server. Già nel 2005 suggerivo di evitare le monocolture informatiche e spingere la "BITdiversity" (Biodiversity applied to IT environment). <http://cammozzo.com/Papers/AutoimmuneComputerVirus.pdf> A. On 02/03/22 12:03, Damiano Verzulli wrote:
Come evidenziato anche dal nostro Stefano Quintarelli [*], le cronache recenti dovrebbero accendere qualche faro sulle implicazioni dettate dall'uso di "software" prodotto da entita' terze.
Per dirla con le parole di Stefano (che discuteva di Kaspersky): "/Dopo l’aggressione russa con l’ingiustificata invasione dell’Ucraina, forse si potrebbe porre la questione dell’opportunità di una riflessione a lungo termine in merito a chi affidare la scansione di tutti i contenuti digitali (con antivirus ed altre tecnologie), in particolare di quelli ospitati nelle organizzazioni pubbliche e private che rientrano nel “perimetro cibernetico” italiano./"
Ritengo sia riduttivo --pero'--, stante il contesto di questa lista, limitare questo ragionamento solo a Kaspersky.
Perche' un software installato su qualche milione di PC Italiani (l'AV di kasperky) "è male".... ed invece un software installato su qualche decina di milioni di smartphone (Android), non dovrebbe meritare almeno la stessa attenzione?
Perchè se un ipotetico "click" fatto su una console di gestione (che è evidentemente in esecuzione a Mosca), puo' scatenare quegli antivirus installati (anche in Italia ed in Europa) e... ad esempio, _ELIMINARE_ tutti i file presenti sul sistema locale.... è un fatto che "ci preoccupa" ma.... ...un analogo ipotetico "click", fatto a "Mountain View", che comporterebbe il blocco di tutti gli smartphone.... non produce la stessa sensazione?
O anche un "click" che blocchi tutte le caselle di GMAIL... di O365..... tutte le VM ospitate su Azure.... su AWS....
....oppure lo shutdown di Twitter.... di WhatsApp....
Io auspicherei che le orribili vicende di questi giorni rappresentassero una (tristissima) occasione di riflessione "alta", "seria" ed a "lunghissimo termine" su questi temi. Qualcosa che su questa lista gia' era abbastanza presente con l'etichetta "Sovranita' Digitale". Qualcosa che questo "gruppo" puo' certamente favorire/stimolare.
Ma il cammino è ancora molto lungo.
...tanto per essere chiari: alle raccomandazioni che l'Agenzia per la Cybersecurity Nazionale ha _CORRETTAMENTE_ emanato un paio di giorni fa, in relazione alla situazione ucraina [2]... e che sono state ricevute da molti "tecnici" nei vari Atenei del nostro Paese... il commento piu' diffuso, raccolto (da me) è: "Ok. tutto vero. Ma... chi lo fa?". Semplicemente non è rimasto piu' nessuno.... oppure, chi c'è, è ormai vicino alla pensione... Probabilmente la risposta da dare è: "chiamate il commerciale Google o Microsoft. Ci penseranno loro". E, ripeto, parliamo di _ATENEI_.
Che sia il caso di iniziare a ragionarci sopra?
Saluti, DV
[*] https://www.ilpost.it/stefanoquintarelli/2022/02/27/easter-egg-russia-e-kasp...
[2] https://csirt.gov.it/contenuti/innalzare-la-postura-difensiva-in-relazione-a...
-- Damiano Verzulli e-mail:damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (4)
-
Alberto Cammozzo -
Damiano Verzulli -
Michele Pinassi -
Stefano Quintarelli