“Era un errore così bello che sarebbe stato uno sbaglio non commetterlo.”
Anonimo su Twitter
Capita così, con leggerezza, che durante un servizio del TG3 sull’andamento della campagna vaccinale (pubblicato anche sul web, Twitter incluso), viene inquadrato un bel foglione A4 attaccato alla parete con su scritto username e password dell’ “Utente di Accesso al pc“.
Sfortuna? Sicuramente. Ma anche l’ennesima dimostrazione di “cialtroneria”, per non dire di peggio. Anche se le probabilità che tali credenziali siano sfruttabili è remota, non sapendo esattamente a cosa corrispondono, certamente l’impatto della loro divulgazione rischia di non essere trascurabile.
Guardiamo nel dettaglio il frame video. Oltre al nome utente “vaccinazioni.Iseo” (relativo forse all’omonimo comune Iseo, in provincia di Brescia?) e alla password decisamente troppo banale, sul tavolo vediamo un lettore di codice a barre e una tessera sanitaria. Viene da pensare che sia una postazione dove si acquisiscono i dati dei pazienti che in qualche modo hanno a che fare con la campagna vaccinale: dato da trattare, pertanto, con la massima cura e nel rispetto della privacy dei cittadini.
Partiamo dal presupposto che, trattandosi molto probabilmente di una PA, deve essere garantito il rispetto delle Misure Minime ICT per le PA, che costituiscono parte integrante delle Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni: ad esempio, alla voce 5.10.2 si richiede che “Tutte le utenze, in particolare quelle amministrative, debbono essere nominative e riconducibili ad una sola persona.”. La ratio è evidente: in caso di problemi, è possibile risalire all’utenza. Purtroppo però ancora una volta l’abitudine dura a morire di usare account generici, in particolare nelle PA dove la normativa lo vieta espressamente, rischia di avere conseguenze su un dispositivo informatico, presumibilmente connesso alla rete, che contiene o permette l’accesso ai dati sanitari dei cittadini.
Al che si unisce l’ennesima dura abitudine del post-it con le credenziali attaccato al monitor o, come in questo caso, direttamente alla parete in bella mostra. Tanto da finire in diretta TV alla mercé di milioni di telespettatori e sul web, dove a oggi il video è stato visto da oltre 2000 utenti.
Non vorrei entrare nel merito della questione secondo il Regolamento Europeo 2016/679 “GDPR”, visto che la perdita di esclusività delle credenziali di autenticazione potrebbe configurarsi come data breach: vedremo se nei prossimi giorni l’Autorità Garante aprirà, o meno, una istruttoria in merito.
Alla fine, però, penso che a farne le spese sia la credibilità e l’immagine della Pubblica Amministrazione. Perché in un momento così delicato per il Paese, vedere certe leggerezze fa male. E fa ancora più male dovervi assistere in diretta tv, su una televisione pubblica nazionale in un programma d’informazione come il TG: possibile che nessuno. dall’operatore alla regia, se ne sia accorto? Che il livello di ignoranza sul tema –intesa proprio come mancanza di conoscenza– sia davvero a questo livello?
Perché il dramma che stiamo vivendo non si esaurisce con un foglio A4 appiccicato alla parete, dove chiunque può leggerlo, ma si evidenzia anche in ben altri problemi, come quello che ha investito il sito della Regione Campania a metà febbraio, esponendo i dati di tutti i vaccinati. O le tante “figurette” dei portali di prenotazione per il vaccino regionali e provinciali, a cui si unisce l’ultima, proprio ieri, della Regione Lombardia…
Spero fortemente che venga sollevato un dibattito sul tema. Un dibattito serio, che serva prima di tutto a stimolare e migliorare la consapevolezza di tutti i dipendenti pubblici sul tema della cybersecurity. Che serva a sensibilizzare i dirigenti a ritagliare budget adeguati da investire in formazione, audit, competenze e personale da dedicare a questo importantissimo settore, di cui oggi più che mai si sente il bisogno.
1 comment
Tutto interessante, conoscere i pericoli è utile