Gli attacchi informatici fanno male, molto male.

TL;DR L’attacco ransomware alla ASL1 Abruzzo sta causando conseguenze molto pesanti all’operatività della struttura sanitaria, con disagi per i cittadini abruzzesi. Uno spunto per l’ennesimo rant sull’assenza di politiche efficaci di cybersecurity nella PA italiana, che si trova a dover fronteggiare queste criticità a mani nude e, talvolta, senza neppure comprenderle.

Gli attacchi informatici fanno male, molto male. Pur essendo silenziosi e passando spesso e volentieri inosservati, le conseguenze possono davvero essere disastrose, come purtroppo stiamo vedendo in merito agli attacchi ransomware.

La spiegazione è semplice: più deleghiamo ai sistemi informatici la gestione delle esigenze e pratiche necessarie al business, più questi sistemi diventano critici per il business stesso.

Il recente attacco ransomware alla ASL1 Abruzzese, di cui ho parlato nei giorni scorsi e che sta avendo una interessante eco mediatica, pare confermare come la PA italiana faccia davvero molta fatica, soprattutto ai suoi piani più alti, a comprendere il fenomeno.

Per almeno tre decadi l’informatica è stata la risposta a parole come efficientamento, velocizzazione, trasparenza, organizzazione. Trascurando quasi del tutto la necessità di protezione dei dati che questi sistemi trattavano, anche perché le minacce –seppure già esistenti e diffuse– difficilmente causavano disastri come quelli odierni.

Più la scienza e la tecnica informatica evolveva e più abbiamo delegato ad essa il controllo anche di aspetti cruciali delle nostre vite. Dai sistemi elettromeccanici praticamente indipendenti siamo passati a sistemi interconnessi, controllabili da remoto. Abbiamo riempito le nostre case di apparecchiature “smart“, che altro non sono che elettrodomestici dotati di un computer e interconnessi alla Rete, dove qualcuno in giro per il mondo riceve, elabora e restituisce le informazioni raccolte. Con fatica stiamo passando tutti i processi burocratici dal cartaceo al digitale, migliorandone aspetti come trasparenza, velocità, costi di conservazione e di gestione.

Tutti ambiti che hanno esposto le informazioni personali ad una platea di miliardi di utenti, quelli della Rete, tra cui ci sono anche cybercriminali senza scrupoli che desiderano trarne profitto. E quindi vanno difesi e protetti, come sottolineato anche dalla normativa europea sulla protezione dei dati personali, GDPR.

L’AQUILA  – Sesto giorno di drammatica emergenza negli ospedali e presidi sanitari della Asl provinciale dell’Aquila, dove i servizi sanitari sono in buona parte in ginocchio, e riservati ai casi più urgenti, con documenti scritti e consegnati a mano, e addirittura con il ritorno ai fax.

[…]

In alcuni uffici i dipendenti sono stati messi in ferie forzate e in orari ridotti, visto che molte mansioni ammnistrative e di desk con carta e penna non possono essere svolte.

Grossi problemi poi non solo per le comunicazioni interne, ma anche quelle con altri enti e presidi sanitari in Italia: ad oggi una consulenza o un documento sanitario, deve arrivare via posta o consegnata a mano, e anche qui con tempistiche che si allungano drammaticamente.

CAOS ASL L’AQUILA: FAX, CARTA E PENNA, SOLO CASI URGENTI. HACKER CHIEDONO “ACCONTO” DEL RISCATTO

Non è un caso se, dopo l’attacco ai sistemi ICT, la stessa ASL 1 Abruzzese (così come in passato han dovuto fare altre strutture attaccate) è dovuta in fretta e furia tornare al fax, alla carta e alla penna, per portare avanti almeno le richieste più urgenti e improcrastinabili (parliamo della salute dei cittadini).

Solo che, ovviamente, non possiamo permettercelo. Non possiamo permetterci di tornare indietro, alla carta e alla penna, al fax e al modulo ciclostilato, quando ormai viviamo immersi in una società profondamente interconnessa. Che si porta dietro, come ogni contesto dove operano esseri umani, problemi e criminalità.

“Possiamo solo aggiungere che riteniamo particolarmente criminale un attacco ai sistemi informatici in una azienda sanitaria, attacco che rischia di mettere in pericolo la salute e la vita dei cittadini e dei pazienti. Ogni attacco informatico è un’azione criminale e ignobile, ma fatto contro una struttura sanitaria lo è ancora di più.”

Da una replica del presidente della Regione Abruzzo, Marco Marsilio, in merito alla vicenda.

Ha ragione il dott. Marsilio quando sottolinea che un attacco contro una struttura sanitaria è ignobile. Ignobile perché colpisce nel ventre molle di ogni collettività: quello dell’assistenza ai malati, la categoria più vulnerabile della società. Ma nel 2023 gli attacchi informatici contro gli ospedali, purtroppo anche italiani, non possono essere una novità. Sono questioni su cui, dopo quanto accaduto a Regione Lazio, alla AUSSL6 Veneta e ad altre strutture sanitarie sparse lungo lo stivale, dovrebbero essere già state prese adeguate contromisure per proteggere sia l’operaitività che i dati personali dei cittadini.

Non parlo ovviamente solo degli aspetti meramente tecnologici di una infrastruttura, come la ridondanza, segmentazione, backup e protezione, ma anche degli aspetti organizzativi come la formazione a tutti i dipendenti, a prescindere dalla mansione, e alla creazione di strutture interne deputate alla gestione sia degli incidenti informatici che della cybersecurity. Strutture trasversali, perché la sicurezza informatica non è più un tema squisitamente tecnologico ma investe, in modo orizzontale, aspetti legali, organizzativi, tecnologici. Servono figure competenti, dedicate alla gestione di questi aspetti e capaci di affiancare gli altri dirigenti e manager nelle scelte più adeguate. Quante PA italiane possono dirsi pronte a questo? E quelle che non lo sono, che non hanno al loro interno figure e strutture dedicate, su quali basi operano le scelte necessarie alla protezione dei dati e delle infrastrutture informatiche?

Certe volte mi vengo a noia da solo. Chi segue questo blog sa bene che sono anni che ripeto più o meno le stesse cose e i fatti che, purtroppo, si stanno susseguendo nel tempo con conseguenze nefaste per i cittadini sembrano darmi ragione.

Non serve, dopo un attacco ransomware come quello accaduto alla ASL 1 Abruzzo che ha portato all’esfiltrazione di –dicono– oltre 500 Gigabyte di dati, tra cui informazioni sanitarie e personali, “costituire una task force di 25 esperti“: serve farne una prima, abbandonando questa pessima abitudine di considerare la cybersecurity solo un (inutile?) costo, almeno fino a quando non accadono eventi come questi.

L’anno scorso, a novembre 2022, scrissi una lettera aperta all’allora direttore di ACN, il dott. Baldoni, sulla questione ICT nelle PA. Una lettera alla quale ricevetti anche risposta e che confermava le mie osservazioni e perplessità. Da allora sono passati diversi mesi e, pur comprendendo la pachidermica lentezza che caratterizza la burocrazia italiana, ben poco mi pare sia stato fatto.

Quanti altri ospedali dovremmo vedere colpiti? Quanti altri gigabyte di dati personali e sanitari dovranno essere pubblicati sul web, esponendo le informazioni più delicate della popolazione? Cosa aspetta la Politica ad imporre che ogni PA abbia al suo interno uno staff a livello direzionale dedicato agli aspetti di cybersecurity, con budget e competenze adeguate?

Questi attacchi, del resto, temo che siano figli di quella politica miope nei confronti della PA italiana, che da almeno un decennio ne sta distruggendo le fondamenta: il capitale umano. La mancanza di turnover, le retribuzioni ferme al palo e l’assenza di politiche meritocratiche hanno svilito il ruolo di civil servant del dipendente pubblico, le cui conseguenze sono, purtroppo, ben evitenti a chiunque.

Scusate per il rant.

Questo articolo è stato visto 135 volte (Oggi 1 visite)

Hai trovato utile questo articolo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.