Open source nella PA: rischi e opportunità
L’art. 68 del Codice per l’Amministrazione Digitale (CAD) stabilisce i criteri con cui una pubblica amministrazione deve valutare i software da sviluppare, acquistare o comunque impiegare sulla sua infrastruttura e per l’erogazione dei servizi.
Sebbene il CAD faccia riferimento al software open source sia modo esplicito, sia indicando alcune caratteristiche che lo contraddistinguono (costo contenuto, apertura e standardizzazione dei formati, modularità…), sono diverse le PA centrali e locali che sono titubanti verso l’impiego di software libero e open source, per via di alcune altre raccomandazioni contenute nel CAD e che sembrerebbero impedirne o scoraggiarne l’adozione, come l’attenzione alla sicurezza, la difficoltà di uso e mantenimento, l’assistenza e le garanzie sul livello di servizio (SLA).
Ma è davvero così? Abbiamo parlato dell’argomento con Antonio Capobianco, CEO di Fata Informatica, che da più di 20 anni si occupa di progettare, realizzare, integrare e gestire sistemi e infrastrutture informatiche complesse, anche facendo ricorso a soluzioni open source e per clienti pubblici anche molto “delicati”, come l’Esercito Italiano.
Computerworld Italia: Dott. Capobianco, sono fondate le preoccupazioni riguardo alla sicurezza delle soluzioni open source?
Antonio Capobianco: Una certa preoccupazione non è peregrina. Le soluzioni open source non assicurano alti livelli di vincoli di sicurezza delle infrastrutture nelle quali vengono installate, determinando spesso delle vere e proprie back door di accesso alle infrastrutture stesse. Gli sviluppatori di soluzioni open source spesso inseriscono nel loro codice delle chiamate a web service su un loro portale web per controllare l’installato e la crescita della loro soluzione, cosa che spesso fa allertare i Security Specialist.
CWI: Però è sempre possibile modificare i software per renderli più sicuri, proprio per via dell’accesso al codice e dell’estesa documentazione sul suo funzionamento, che manca nel software proprietario.
AC: Vero, ma quante persone sono in grado di mettere mano a quel codice? Un sistema open source per essere manutenuto ha bisogno di eccellenti competenze e si potrebbe incorrere in un Lock in non sul vendor ma sul tecnico che sta manutenendo quella soluzione.
Generalmente queste competenze vengono possedute da un minimo numero di persone che se abbandonano l’azienda possono mettere a repentaglio il successo dell’intero progetto di monitoraggio. L’adozione di soluzioni open source se è vero che allontana lo spauracchio del vendor lock in, introduce però il problema, forse più subdolo, del technician lock in.
Strettamente connesso con questo tema c’è poi quello dell’assistenza da parte della casa madre. Un tema ben noto a coloro che utilizzano il modello open source: molto spesso si è infatti lasciati privi di supporto anche solo da remoto.
CWI: Veniamo ora ai vantaggi collegati alla scelta di soluzioni open source da parte della PA.
AC: Il principale vantaggio sta proprio nella sua natura, ovvero la gratuità. Non solo l’open source nasce come gratuito (anche se non sempre!) ma è anche possibile installarlo per quanti nodi si vogliono senza costi aggiuntivi.
Inoltre si tratta di una modalità di sviluppo dei sistemi informatici ampiamente supportata da una comunità internazionale che spesso ne incrementa le funzionalità aggiuntive come successo ad esempio nel caso di Nagios: qui la comunità internazionale ha continuato a sviluppare plug in che ne incrementano la capacità di monitoraggio dei più disparati sistemi. A ben vedere, una soluzione commerciale non sarebbe mai riuscita ad avere questa varietà di plug in, tanto meno in modalità gratuita.
Non è un caso se già da tempo il Ministero per l’innovazione e le tecnologie si è espresso a favore dell’utilizzo di software open source da parte della Pubblica Amministrazione, sottolineando il contenimento dei costi, la trasparenza, la non dipendenza della P.A. da un singolo fornitore, la possibilità di riutilizzare il software e di accesso al software anche da parte delle economie locali in un’ottica orientata all’equilibrio, al pluralismo e all’aperta competizione.
CWI: Anche i temi del supporto e dei SLA sono stati superati da aziende in grado di fornire questi servizi pur fornendo software open source…
In questo, Red Hat ha indicato la via maestra, adottando il sistema open source ed elevandolo a livelli di affidabilità e sicurezza che tutti conosciamo. Oggi diverse aziende hanno un business model basato sull’adozione di soluzioni open source che vengono migliorate, rese più semplici da utilizzare e supportate senza snaturarle.
Una delle principali aziende italiane che ha adottato con successo questo modello di business è Fata Informatica che nel 2004 ha sviluppato la soluzione di monitoraggio Sentinet3 partendo proprio da Nagios.
Sentinet3 è da tempo ampiamente utilizzato dal Ministero della Difesa e dalle più prestigiose pubbliche amministrazioni italiane perché in grado di fornire loro i vantaggi del sistema open source Nagios – ovvero compatibilità con tutti i plug in sviluppati dalla comunità open source e invariabilità del costo della soluzione con l’aumento dei sistemi da mettere sotto monitoraggio – e al tempo stesso una soluzione pienamente supportata, semplice da usare grazie ad un’interfaccia user friendly e soprattutto attenta alle più stringenti esigenze di sicurezza che tutte le infrastrutture IT- in particolar modo quelle operanti in settori strategici come il Ministero della Difesa – devono assicurare.
Insomma, è possibile tenere insieme sicurezza, affidabilità e contenimento dei costi.