Negli ultimi giorni sta rimbalzando su più testate l’ennesimo annuncio della Regione Lazio, da cui campeggia la preparazione di un “piano anti-hacker” (!), nonché l’intenzione di voler temporaneamente bloccare lo smart working per procedere alle verifiche di sicurezza dei dispositivi. Vista la totale continuità con lo stile comunicativo adottato fino ad ora, a conferma dell’evidente assenza di comunicazione strategica e di un piano di disaster recovery non ci sarebbe molto di cui sorprendersi, sebbene delle sorprese in tal senso sarebbero state più che gradite.
Certo, pensare che ora si vogliano fare verifiche di sicurezza dei dispositivi “per essere certi che non vi siano stati altri tentativi di intrusione” suscita non poche perplessità, dal momento che un monitoraggio continuo per la ricerca di vulnerabilità di sicurezza non è solo dettato dal buon senso ma anche da precisi obblighi di legge.
Insomma: sono state spese tante – forse troppe – parole su hacker, terrorismo e smart working, andando a cercare (persino con una rogatoria verso gli Stati Uniti) un colpevole terzo ed esterno rispetto all’organizzazione, ma di responsabilità istituzionale sembra che (ancora) non si voglia parlare. Non va cercato un colpevole, ma una risoluzione stabile per la chiusura dell’incidente attraverso l’approccio di tipo lesson learned ed evitare così che si ripetano incidenti analoghi.
Ma è dunque possibile che non si vada ad affrontare il motivo della mancata adozione delle misure minime di sicurezza ICT per le pubbliche amministrazioni, pubblicate dall’AgID nel 2017 e per cui “L’adeguamento alle misure minime è a cura del responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, come indicato nel CAD (art. 17 ) o, in sua assenza, del dirigente designato. Il dirigente responsabile dell’attuazione deve compilare e firmare digitalmente il “Modulo di implementazione” allegato alla Circolare 18 aprile 2017, n. 2/2017. Secondo la circolare, le misure minime di sicurezza devono essere adottate da parte di tutte le pubbliche Amministrazioni entro il 31 dicembre 2017”?
Un esempio macroscopico: per quale motivo non è stato possibile implementare la misura (minima) 10.4.1 per cui sussiste l’obbligo di “Assicurarsi che i supporti contenenti almeno una delle copie non siano permanentemente accessibili dal sistema onde evitare che attacchi su questo possano coinvolgere anche tutte le sue copie di sicurezza.”.Chi avrebbe dovuto implementare, verificare e riesaminare queste misure? Mi auguro non lo stesso che ha suggerito la “comunicazione di data breach”e suggerito un ottimo bait a qualche cybercriminale.
