jump to navigation

Il valore della compromissione degli account lunedì 19 dicembre 2011

Posted by andy in Etica, Information Security, Internet e società.
Tags: , , ,
add a comment

Ho recentemente letto la notizia relativa ad un attacco al Ministero per la Pubblica Amministrazione ed Innovazione.

Su pastebin potete trovare l’elenco degli account compromessi.

Indipendentemente dalle considerazioni che si possono fare sulla competenza e sulla serietà nella gestione della sicurezza del sito (per l’attacco è stata utilizzata una semplice SQL Injection), viene comunque spontaneo chiedersi quale sia il danno conseguente.

Uno dei problemi più complessi nella valutazione dei rischi è proprio la valutazione del danno indiretto.

Ciò nondimeno, è intuitivo e certo che un danno ci sia: pur non provando a quantificarlo, possiamo come minimo considerare:

  • la perdita di immagine,
  • il costo per eliminare le vulnerabilità sfruttate,
  • il costo per ogni utente per cambiare la propria password,
  • l’eventuale sfruttamento dei profili compromessi.

Sarebbe quindi davvero interessante riuscire a fare una valutazione del danno economico (anche spannometrico) derivante dalla perdita di un account, e richiedere l’addebito sullo stipendio dei responsabili degli equivalenti importi.

Tutto sommato chi gestisce in modo incompetente la sicurezza dei sistemi della PA procura un danno economico e di immagine allo stato, e quindi ai cittadini.

Come ‘incentivo’ a gestire le cose in modo un po’ più serio potrebbe essere interessante ipotizzare anche il semplice addebitare un importo simbolico (10€  per account compromesso possono andare bene?), ciascuno moltiplicato per il suo ‘peso’ (ovverosia per il livello gerarchico nella PA – che in qualche modo rende proporzionale il rischio) ai responsabili ed agli amministratori di sistema.

 

Annunci

Opportunità per la riduzione degli sprechi nella PA mercoledì 10 settembre 2008

Posted by andy in Miglioramento.
Tags: , , , , ,
add a comment

Occupandomi di Qualità ed ottimizzazione di processo per un’azienda che opera come fornitrice di servizi ICT per la Pubblica Amministrazione, mi sono messo per curiosità a fare quattro conti sui risparmi che si potrebbero ottenere adottando delle semplici politiche di risparmio energetico presso un edificio della PA di Milano, con alcune migliaia di PC.

Utilizzando parametri pessimistici, è emerso un possibile risparmio per il solo utilizzo di PC che varia dai 500.000 ai 2.500.000 Euro all’anno.

Il valore dei 500.000 Euro corrisponde al caso migliore (quello in cui gli utenti già stanno molto attenti al risparmio energetico), mentre quello dei 2.500.000 corrisponde al caso in cui nessun utente presti attenzione ai propri consumi.

Ritengo più che probabile che sia più che realistico un possibile risparmio di 1.000.000 Euro / anno.

Ora, con tutti questi soldi si potrebbe aggiornare il parco macchine più obsoleto, conseguendo un ulteriore risparmio energetico dovuto all’hardware di nuova generazione.

E fin qui tutto bene.

Ho quindi sottoposto la questione al referente per l’Informatica per tali uffici, che ha apprezzato l’idea, ma che mi ha spiegato perché è sostanzialmente irrealizzabile.

La situazione è infatti la seguente: la bolletta della corrente viene pagata non dall’ente ospitato nel palazzo, ma dal Comune di Milano, che a sua volta gira i costi al Ministero, dal quale viene riconosciuto un rimborso dell’80%.

In pratica, qualunque soluzione venisse adottata per ridurre, anche drasticamente, i costi, non darebbe margini di manovra all’ente ospitato, in quanto l’energia non è una voce del proprio budget.
Qualsiasi proposta al Comune non solleverebbe particolare interesse, in quanto il delta di interesse sarebbe soltanto il 20% sull’effettivo risparmio, ed il Ministero che sostiene i costi non prevede incentivi al risparmio.

In pratica nessuno ha un concreto interesse a diminuire tali costi.

Purtroppo la bolletta della corrente consumata da questo palazzo fa il giro d’Italia, passando di ufficio in ufficio, senza che qualcuno possa trarre qualche beneficio da un eventuale risparmio (cosa che motiverebbe ad intervenire in qualche modo).

E da quanto sopra, alcune idee per incentivare il risparmio:
la PA potrebbe offrire come extra budget ad ogni ente il 50% del risparmio conseguito su ogni voce.
Tale budget potrebbe essere utilizzato in parte (il 5%?) come bonus per i promotori delle soluzioni di risparmio, ed il resto per ulteriori interventi orientati al risparmio energetico, alla sicurezza degli ambienti ed al miglioramento del servizio e delle infrastrutture in generale.

Si pone ovviamente una condizione di responsabilità: i bonus accordati devono essere corrisposti a distanza di qualche anno dal conseguimento del risparmio, in modo che possano essere revocati nel caso in cui le scelte effettuate non siano valide (o addirittura penalizzanti) a breve o lungo termine (è troppo facile tagliare selvaggiamente per incassare gli incentivi, per poi creare situazioni di peggior disservizio).

Tenendo conto della quantità di uffici presenti in Italia, ed estendendo l’approccio ad altri capitoli di spesa, ritengo che i numeri possano diventare molto interessanti.

Redditi della P.A. online: e provare con un approccio intermedio? mercoledì 9 luglio 2008

Posted by andy in Miglioramento.
Tags: , , , , , , ,
add a comment

Nei giorni scorsi si è fatto un gran parlare dell’Operazione Trasparenza lanciata dal Ministro Brunetta.

Invece che saltare da un eccesso all’altro (da una gestione pubblica totalmente fuori controllo, ad una in cui uno non può più neppure rompersi una gamba sciando senza essere sospettato di assenteismo), si può adottare un approccio intermedio.

L’obiettivo finale non è quello di sapere quanti soldi si mette in tasca Tizio o Caio, e le relative ore effettivamente lavorate; c’è tanta gente nel settore privato che guadagna più dei nostri politici.

Ai fini pubblici interessa sapere che esiste un ruolo (quello di cui è investito Tizio – che so, ad esempio il Direttore dell’Ufficio XXX), e di tale ruolo:
– gli obiettivi assegnati e conseguiti;
– il costo del responsabile;
– il numero di dipendenti ed il relativo costo complessivo;
– il numero di collaboratori esterni ed il relativo costo complessivo;
– il costo delle spese di gestione
– aggiungerei anche, in qualche forma, il numero ed il grado delle relazioni di parentela rispetto a colleghi e collaboratori nella PA.
– e di più, aggiungerei anche il numero di cariche ricoperte ed il numero (non il valore) degli stipendi / emolumenti percepiti.

Qualcuno potrebbe obiettare che in questo modo ci si nasconde dietro ad un dito, in quanto ci vuole poco a scoprire chi ricopra ogni specifico ruolo.

Ma in realtà alla gente non interessa tanto quanto guadagna il ministro tale o talaltro, ma quanto ci costa in relazione a quanto produce.

Ovviamente tali dati devono essere pubblicati in modo che sia possibile e facile per chiunque sia interessato lo scaricarli ed analizzarli autonomamente.

In questo modo diviene possibile confrontare tra loro dirigenti ed uffici più o meno virtuosi.

—–
Resta ovviamente il fatto che essendo il cittadino socio della società chiamata Stato, deve avere piena possibilità di accedere ad ogni informazione relativa ai conti della propria azienda, soprattutto per il fatto che questa viene finanziata ogni anno con i suoi soldi.

Oneri ed onori: le cariche pubbliche sono (o purtroppo occorre dire dovrebbero essere) un riconoscimento all’integrità ed alle capacità delle persone, che in cambio di tale onore devono accettare l’onere della totale trasparenza sul proprio operato (questo include, tra l’altro, tutte le informazioni che possono evidenziare conflitti di interessi e clientelismi).