[section_title title=Open Source e PA: perché rinunciare alla sicurezza? – Parte 1]
A cura di Antonio Capobianco, CEO Fata Informatica
Quello dell’adozione di software Open Source da parte della PA è un tema molto dibattuto e per ciò stesso attualissimo, che pone di fronte a un bivio scomodo: costi contenuti e dunque più accessibili o sicurezza dell’infrastruttura IT?
Posta in questi termini la questione diventa quanto mai complicata. Il tema della sicurezza è, infatti, così strategico da non poter essere messo in discussione a patto di far franare l’intera infrastruttura informatica di qualsivoglia azienda – pubblica o privata che sia -. Si comprende allora il perché nonostante se ne faccia riferimento esplicitamente anche all’interno del Codice dell’Amministrazione Digitale (CAD) – in particolare all’art. 68-, l’adozione di un software Open Source da parte della PA risulti una prassi poco adottata.
All’indubbio vantaggio di un costo iniziale di acquisizione estremamente basso, se non nullo, si affiancano d’altro canto dei difetti che ne ostacolano la diffusione.
Analizzando l’art.68 del CAD viene riportato che nelle analisi comparative le PA devono valutare anche le garanzie del fornitore in materia di livelli di sicurezza, conformità alla normativa in materia di protezione dei dati personali, livelli di servizio tenuto conto della tipologia di software acquisito.
Proprio questo passaggio mette in evidenza tre ragioni ostative all’utilizzo dell’open source, ovvero:
1) Scarsa attenzione alla sicurezza
2) Difficoltà di utilizzo
3) Mancanza assoluta di assistenza
Sul primo punto una certa preoccupazione non è peregrina. Le soluzioni open source non assicurano alti livelli di vincoli di sicurezza delle infrastrutture nelle quali vengono installate, determinando spesso delle vere e proprie back door di accesso alle infrastrutture stesse. Gli sviluppatori di soluzioni open source spesso inseriscono nel loro codice delle chiamate a web service su un loro portale web per controllare l’installato e la crescita della loro soluzione, cosa che spesso fa allertare i Security Specialist.
Altro nodo centrale riguarda la difficoltà di utilizzo: un sistema open source per essere manutenuto ha bisogno di eccellenti competenze e si potrebbe incorrere in un Lock in non sul vendor ma sul tecnico che sta manutenendo quella soluzione. Generalmente queste competenze vengono possedute da un minimo numero di persone che se abbandonano l’azienda possono mettere a repentaglio il successo dell’intero progetto di monitoraggio. L’adozione di soluzioni open source se è vero che allontana lo spauracchio del vendor lock in, introduce però il problema, forse più subdolo, del technician lock in.
Strettamente connesso con questo tema c’è poi quello dell’assistenza da parte della casa madre. Un tema ben noto a coloro che utilizzano il modello open source: molto spesso si è infatti lasciati privi di supporto anche solo da remoto.
Prosegui la lettura alla pagina seguente