Un'altra molestia burocratica si abbatte sulle scuole. L’AGID (AGenzia per l’Italia Digitale), con la circolare 2/17, ha inteso dare attuazione a quanto previsto dal CAD (Codice Amministrazione Digitale). La circolare prevede che entro il 31 dicembre 2017 le Amministrazioni dovranno attuare gli adempimenti relativi alle misure minime per la sicurezza ICT (Information and Communications Technology) che debbono essere adottate al fine di contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi. ...
In sintesi, tutte le amministrazioni pubbliche devono procedere alla nomina di un responsabile della transizione al digitale.
Vediamo in dettaglio cosa dice la citata circolare.
Vengono introdotti dei controlli denominati ABSC (AgID Basic Security Controls) che dovrebbero essere implementati per ottenere un determinato livello di sicurezza. A seguito dei controlli devono essere identificati livelli:
“Minimo”, al di sotto il quale nessuna amministrazione può scendere;
“Standard”, che costituisce la base di riferimento nella maggior parte dei casi;
“Alto”, che potrebbe essere un obiettivo a cui tendere.
La circolare raggruppa i controlli in classi. Vediamo brevemente quali sono i controlli minimi che le PA devono effettuare:
ABSC1(CSC1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI
Il livello minimo prevede l’implementazione, l’aggiornamento e la gestione dell’inventario di tutti i sistemi di rete (compresi i dispositivi di rete stessi) registrando almeno l’indirizzo IP.
ABSC2(CSC2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI
Il livello minimo prevede la realizzazione dell’elenco dei software autorizzati (e relative versioni), con regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzati. L’installazione di software non presenti nell’elenco è vietata.
ABSC3(CSC3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER
Il livello minimo di questa classe di controlli prevede le definizione di configurazioni standard per tutti i sistemi (server, workstation, ecc.), con il tassativo rispetto di tali standard nelle fasi di installazione o ripristino dei sistemi. Le immagini di installazione dei sistemi devono essere memorizzate offline e tutte le operazioni di amministrazione remota devono essere eseguite tramite connessioni protette.
ABSC4(CSC4): VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ
Il livello minimo prevede la ricerca delle vulnerabilità tramite strumenti automatici ad ogni modifica della configurazione; detti strumenti devono fornire agli amministratori di sistema report con indicazione delle vulnerabilità più critiche. Non solo i sistemi devono essere aggiornati, ma anche gli stessi strumenti di scansione. Questa classe di controlli impone l’installazione sistematica di patch e contromisure idonee a contrastare le vulnerabilità riscontrate. Va inoltre implementato un adeguato piano di gestione dei rischi che tenga conto dei livelli di gravità delle vulnerabilità, del potenziale impatto e della tipologia degli apparati; tale piano deve anche prevedere le azioni da svolgere per la risoluzione delle vulnerabilità individuate.
ABSC5(CSC5): USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE
Il livello minimo della classe di controlli relativa agli amministratori di sistema definisce una specifica policy di gestione degli utenti con diritti amministrativi, che disciplini i limiti nei privilegi attribuiti e l’inventario dei profili abilitati. Tale policy prevede tutte le accortezze che si rendono necessarie per l’adeguata gestione degli amministratori di sistema, dai controlli sulle scadenze delle password alla creazione di profili nominativi e individuali (non generici). E’ curioso rilevare come in questa classe di controlli, le azioni relative al tracciamento dei log degli amministratori siano definite come livello “standard”, mentre rappresentano un obbligo di legge sancito da un provvedimento del Garante Privacy sugli amministratori di sistema del 2008.
ABSC8(CSC8): DIFESE CONTRO I MALWARE
Il livello minimo impone l’installazione e l’aggiornamento automatico di sistemi antimalware, firewall e Intrusion Prevention Systems (IPS). Si deve inoltre disabilitare inoltre l’esecuzione automatica delle procedure che possano attivare una minaccia (es. apertura degli allegati delle email, esecuzione di macro, eseguibili lanciati da chiavette USB, ecc). Sempre in chiave preventiva, si deve prevedere l’adozione di strumenti di filtraggio dei contenuti, sia sulla navigazione internet che sulla posta elettronica.
ABSC10(CSC10): COPIE DI SICUREZZA
Il livello minimo di sicurezza contempla una copia almeno settimanale delle informazioni strettamente necessarie per il completo ripristino del sistema (in linea con le misure minime di sicurezza previste dal Codice della Privacy, anche se perdere una settimana di lavoro potrebbe essere troppo penalizzante per una PA). Si pone una certa attenzione anche alla riservatezza delle informazioni contenute nelle copie di sicurezza, tramite adeguata protezione fisica o mediate cifratura delle informazioni sottoposte a salvataggio. Infine, è necessario garantire che almeno una delle copie non sia permanentemente accessibile dal sistema stesso, onde evitare che eventuali attacchi al sistema possano coinvolgere anche le sue copie di sicurezza.
ABSC13(CSC13): PROTEZIONE DEI DATI
Il livello minimo da garantire stabilisce di effettuare un’analisi dei dati per individuare quelli con particolari requisiti di riservatezza, ai quali applicare una protezione crittografica. Inoltre, si deve prevedere il blocco del traffico da e verso url presenti in una blacklist.
Dal quadro degli obblighi esposti ne derivano alcune considerazioni sui limiti e le criticità connessi alla loro attuazione:
Elevati costi per munirsi di Hardware idoneo a monitore e gestire la rete ed i dispositivi connessi
Mancanza di personale formato per la gestione delle reti. Nella scuola non esiste rispetto ad altre PA il System administrator o Amministratore di rete che si occupa di gestire, adattare e mettere a punto i sistemi collegati in rete. In particolare, per il primo ciclo non è prevista nemmeno la figura del tecnico di laboratorio
le Norme Minime previste anche se realizzate (con uno sforzo non indifferente), sono applicabili a macchine “amministrative”, cioè non utilizzate per la ricerca o la didattica e nella scuola ci sono laboratori dedicati alla didattica.
In ottica
BYOD, come prevista dal
Rapporto sulla Buona scuola (pag. 76) e dal
PNSD, dove è consentito l’uso di propri device a scuola, si richiederebbe la presenza costante di una figura che non solo controlli la rete, ma analizzi i device di alunni/docenti in quanto potrebbero essere portatori di un malware e successivamente autorizzi gli accessi .
Aldilà delle considerazioni che portano ad escludere le scuole in virtù del semplice fatto che esse non sono gestite da uffici dirigenziali di livello generale e non possono disporre al loro interno delle professionalità necessarie all’adempimento degli obblighi di cui alla citata circolare, ci preme far presente, e sosterremo questa posizione in ogni sede di confronto sindacale, che lo SNALS Confsal ritiene che le scuole non possano essere distratte dai loro compiti istituzionali da adempimenti che devono essere ricondotti alle funzioni dell’amministrazione scolastica centrale e periferica, le quali devono assicurare risorse strumentali e professionali adeguate ai compiti richiesti.
LA CIRCOLARE AGID 2/2017 CON ALLEGATI
La nota del MIUR del 20/12/2017