Altro che “Ce la faremo”. Se si parla di sicurezza informatica, sembra che non ce la possiamo proprio fare. Nel servizio del Tg3 del 6 marzo 2021 sulla nuova strategia della campagna vaccinale, a partire dal minuto 0:47 si manifesta un orrore riconducibile alla memoria lovecraftiana. Sul muro del presidio sanitario, a favor di camera, c’è un foglio A4 affiso con la stampa a grandi lettere della scritta “Utente di Accesso al portale”, con di seguito delle credenziali indicate come user e PW. E la password è “Vaccino2021”. Insomma: un’oscenità di cybersecurity in bella vista, senza alcun “taglio” né censura nella post-produzione, né tantomeno la segnalazione di bollino rosso per allertare i soggetti più impressionabili.
Perché definirla oscenità? Vero, non sappiamo quale tipo di accesso sia, ma si può ben sospettare che coinvolga il portale di prenotazione vaccini visto il nome utente. E dunque c’è il fondato timore che possa essere un accesso al sistema per la gestione delle prenotazioni dal lato del presidio sanitario.
In pratica: sembra essere presente un’unica utenza condivisa con una password non sicura, nonostante abbia oltre otto caratteri: una lettera maiuscola e dei numeri. Soprattutto perché è anche esposta senza troppi problemi.
Questi sono i fatti, e si auspica un chiarimento ufficiale del presidio quanto meno a contenere i timori e le incertezze circa le politiche di gestione della sicurezza. A prima vista, sembra per lo più un’evidenza circa il tristemente diffuso problema di (mancata) consapevolezza e sensibilizzazione sulla protezione dei sistemi informatici e delle informazioni contenute negli stessi.
Ora, non sappiamo quanto possa essere profonda la tana del bianconiglio (e dunque: quali reti e quali informazioni siano raggiungibili tramite quell’accesso), ma ci possiamo limitare a considerare che quella sensibilizzazione e formazione del personale che partecipa ai trattamenti (peraltro richiamata espressamente dall’art. 39.1 lett. b) GDPR) forse andrebbe considerata come uno dei presidi da attuare e verificare per la corretta gestione della protezione dei dati personali e la sicurezza dei trattamenti. Ancor più deve esserlo per tutte quelle organizzazioni presso cui ricorrono elevati rischi in ragione della tipologia di dati, del loro volume e della vulnerabilità degli interessati a cui tali dati si riferiscono.
Il fattore umano è una vulnerabilità che può essere risolta solo attraverso una corretta diffusione di una cultura della sicurezza che sappia generare consapevolezza a tutti i livelli dell’organizzazione. Altrimenti, le politiche e le procedure sono destinate ad essere, nel migliore dei casi, materia prima per origami.
Per chi intenderà negare o sminuire tali fatti in nome dell’usuale benaltrismo, secondo cui con l’emergenza sanitaria in corso c’è poco da preoccuparsi di protezione dei dati personali o cybersecurity, si raccomanda un’inoculazione di buon senso.
