“Se la conoscenza può creare dei problemi, non è tramite
l’ignoranza che possiamo risolverli.”
Isaac Asimov
Un giro di parole che pare descrivere bene la totale inconsapevolezza e ignoranza dell’uomo della strada davanti a cyber-attacchi gravi come quelli agli ospedali e alle altre strutture pubbliche italiane.
Gli attacchi ransomware, come abbiamo più volte detto e sottolineato, non danneggiano solamente l’obiettivo colpito, che può soffrire di interruzioni del servizio più o meno gravi, ma anche e soprattutto tutti coloro che, inconsapevolmente, trovano le loro informazioni più riservate spiattellate sul web.
Mario, Susanna, Luisa e Luigi (sono nomi di fantasia…) certo non avrebbero mai pensato che i risultati delle loro visite mediche, con tanto di nome e cognome, finissero sul web, alla mercé di chiunque. Del vicino, del datore di lavoro (pensiamo ad una visita ginecologica per accertare una gravidanza, ad esempio), del parente (immaginate di scoprire così che un congiunto ha una brutta patologia, che magari voleva mantere riservata), dell’assicuratore (il premio per una polizza vita dipende dalle condizioni di salute dell’assicurato).
Una lesione della propria privacy enorme e insopportabile, così come una limitazione delle proprie libertà.
Ricordate quando il 30 aprile 2008 gli elenchi di chi aveva fatto la dichiarazione dei redditi nell’anno 2005, con tanto di reddito incluso, vennero pubblicati online? Ricordate le proteste e le sollevazioni da ogni parte, che portarono a una pronta marcia indietro della misura?
Se vedere il vostro nome e il reddito dichiarato online, a disposizione di chiunque (parenti, vicini, amici…), vi ha infastidito, come pensate potreste sentirvi nello scoprire che il risultato delle vostre analisi cliniche sono finite sul web?
Eppure sui media, quando la notizia arriva, viene sempre declinata esclusivamente come un attacco cybercriminale a una Istituzione Pubblica, che nel caso di un ospedale, “tutela la salute dei cittadini“. Mai ci si interroga, come pare stia avvenendo nuovamente anche per il recentissimo attacco ai sistemi ICT dell’Ospedale di Alessandria, sulle eventuali responsabilità di chi avrebbe dovuto proteggere e custodire con cura questi dati. Mai viene sottolineata la necessità di investire in risorse e personale formato e adeguato a tutela dei sistemi informatici che gestiscono e conservano i dati riservati degli Italiani. Un attacco che arriva dopo analoghi agli ospedali San Giovanni Addolorata di Roma, ASL 3 di Roma, ASL 2 di Savona, ASL 2 di Terni, ASP di Messina, AULSS6 Euganea, ASL Napoli 3, ASST Lecco, ATS Insubria, Fatebenefratelli, Sacco e Ospedale Macedonio Melloni di Milano.
Eppure, chi si stupirebbe se in una banca senza porte e finestre blindate e senza cassaforte, entrassero ladri a rubare denaro? Probabilmente nessuno. E probabilmente qualche correntista punterebbe il dito contro il Direttore della Banca stessa, chiedendo conto di come i suoi risparmi non siano stati adeguatamente protetti.
Mi aspetterei una reazione analoga anche per la visita neurologica di Aldo, per il consulto ginecologico di Adriana e per la biopsia di Luigi. Ma anche per la domanda di invalidità di Stefano, per la richiesta di un sostegno economico di Tullio e la sua famiglia, che ha un reddito molto basso. Mi aspetteri che anche Alfredo protestasse perché la sua dichiarazione dei redditi, che era gestita da uno studio di commercialisti colpito da un ransomware, protestasse perché è finita in Rete e tutti possono leggerla (i nomi sono di fantasia, ovviamente).
Forse ci arriveremo, quando anche l’uomo della strada o la “casalinga di Voghera” prenderanno consapevolezza del danno che può causare un attacco simile. Ma come possiamo instillare questa consapevolezza se, per primi i media, pare non esserci la dovuta attenzione e sensibilità in merito? Le poche trasmissioni dedicate alla questione raramente affrontano il problema in modo organico e completo, relegando spesso il tutto a una questione squisitamente tecnologica. Si sente la mancanza di strategie organiche e diffuse in merito, quando la cybersecurity dovrebbe entrare nell’educazione civica come l’attraversare sulle striscie, chiudere la porta di casa e controllare di aver chiuso porte e finestre quando usciamo.
Un problema non è un problema fino a quando non viene percepito come tale. Ma un problema rimane un problema, che sia percepito o meno. Solo che, senza percezione, il problema rischia di colpirci in faccia nel modo peggiore possibile.