Con l’adozione delle misure richieste dal Garante privacy, i principali Internet eXchange Point italiani (Ixp) hanno innalzato il livello di protezione delle reti di comunicazione. In alcuni casi specifici le misure dovranno essere ulteriormente sviluppate. E’ quanto emerge dalla ricognizione effettuata dal Garante al termine della prima fase del percorso intrapreso dai gestori dei principali snodi Internet nazionali per la messa in sicurezza delle reti e l’avvio del costante, necessario processo di aggiornamento dei sistemi all’evoluzione tecnologica.
Rilevanti criticità erano emerse nel corso di una serie di ispezioni condotte nel 2014 dall’ufficio del Garante presso gli Internet eXchange Point (Ixp) nazionali, presenti a Roma, Milano e Torino. In questi centri si interconnettono le infrastrutture di rete dei maggiori operatori di tlc nazionali e internazionali, degli Internet Service Provider, nonché di importanti fornitori di servizi on-line (come Google e Facebook). Le sedi degli Ixp, tra l’altro, ospitano gli apparati che gestiscono le reti di comunicazione tra quasi tutte le pubbliche amministrazioni italiane, nonché quelle degli enti di ricerca.
Come richiesto dall’Autorità a seguito delle ispezioni, gli Ixp hanno introdotto adeguati sistemi di tracciamento delle attività svolte dai tecnici sugli apparati, in modo da rilevare eventuali anomalie, come la possibile deviazione o duplicazione del traffico Internet, oppure il collegamento di altri apparati elettronici alla rete interna. Eliminate anche le credenziali tecniche “condivise”, così da poter identificare con certezza le attività svolte dal singolo operatore o amministratore di sistema e adottati meccanismi di audit e alert per prevenire o scoprire eventuali attività ostili. Migliorata, inoltre, la sicurezza fisica dei locali, essendo stato rafforzato il controllo degli accessi e la sorveglianza dei locali tecnici, con particolare attenzione anche alle infrastrutture e ai data center immediatamente accessibili dall’esterno. Per quanto riguarda questo ultimo aspetto, l’Autorità ha raccomandato, agli Ixp che hanno parte dei loro apparati dislocati in data center esterni, di operare controlli attivi e regolari sulle strutture che li ospitano.
Il Garante, consapevole del fatto che la sicurezza delle comunicazioni elettroniche coinvolge le competenze anche di altri soggetti istituzionali, aveva inviato, nei mesi scorsi, il rapporto ispettivo al Presidente del Consiglio affinché fosse valutato dagli organismi preposti alla sicurezza cibernetica del Paese. Alla segnalazione del Garante ha fatto seguito un’attività del Nucleo per la sicurezza cibernetica della Presidenza del Consiglio dei ministri, nell’ambito della quale sono state individuate linee di azione per la sicurezza delle reti.
Il Garante Privacy