La notizia diramata su Twitter e Facebook dell’attacco hacker al CED della Regione Lazio, che ha bloccato il portale di prenotazione vaccini, e disattivato tutti i sistemi, “compresi tutti quelli del portale Salute Lazio e della rete vaccinale”, lascia non poco basiti per un ampio novero di motivi.
Certo, un ransomware è pur sempre un ransomware, e un cryptolocker comporta l’effetto devastante di bloccare dei sistemi informatici, ma è possibile che la reazione all’evento di un “potente attacco hacker” (che non può essere una wild card da giocare per evitare ogni responsabilità) è stata il comunicare “Ci scusiamo per il disagio indipendente dalla nostra volontà.”?
Insomma: altro che attacco hacker, il problema maggiore adesso sembra essere la gestione dell’incidente.
Per chi non è di memoria corta alcune considerazioni vengono spontanee. La prima: stiamo considerando i servizi di un sistema software che è rimasto privo di marcatura CE, presidio che avrebbe ben potuto tutelare i cittadini da questo incidente. La seconda: forse quel server rientra nel novero di quel 95% di quelli dichiarati dallo stesso Ministro Colao come “non sicuri”? La terza: possibile che ogni volta che ci sia un tilt dei sistemi informatici della PA l’annuncio si limiti a parlare di un – stavolta potente – “attacco hacker”?
E infine: dove sono gli elementi necessari a comporre una valida comunicazione nei confronti degli interessati richiesta dall’art. 34 GDPR dal momento che è indubbio che vi sia stato un data breach con (almeno) una temporanea perdita di disponibilità dei dati? Certo, si spera non sia presa come esempio quella del Ministero della Giustizia relativa al data breach dell’esame di avvocato.
Al di là del profilo comunicativo e di gestione dell’incidente relativo ad un’infrastruttura critica, preso atto che stavolta il tilt non è dovuto dalla troppa “ansia da F5”, il problema appare ricorrente e porta sempre agli stessi interrogativi: lo scenario non era assolutamente prevedibile? Il piano di ripristino di emergenza porterà ad un approccio di tipo lesson learned onde evitare il ripetersi di tali evenienze?
Ad esempio: qualora si accerti che il ransomware derivi da un improvvido clic (su link o allegato di un’e-mail) da parte di un operatore, saranno oggetto di riesame e implementazione le politiche e le misure di formazione e sensibilizzazione del personale così da ridurre i rischi derivanti dal fattore umano?
Viene da chiedersi se infine saranno individuate delle responsabilità al fine di programmare una strategia di miglioramento o tutto sarà immobile e destinato a ripetersi. Certamente, già sentir svilire via canali social istituzionali l’accaduto ad un disservizio non fa ben sperare.
