Il ransomware? Inevitabile. Magari fossero lacrime sul latte versato. La reazione di fronte ad un attacco che blocca sistemi e servizi oramai è desolante, e la raccolta di spunti per il databreach drinking game offre uno spaccato piuttosto inquietante sul senso di irresponsabilità diffuso soprattutto in ambito cyber. A voler commettere peccato si potrebbe dire che tale sentimento è ancor più profondo dove il portafoglio non è il proprio, ovverosia nella PA dove i sistemi sono predicati come “non sicuri”. Ma se chi scrive ritiene di avere già un privé all’inferno, è bene che lasci che siano altri a formulare tali tipologie di congetture dal sapore di ovvietà.
Quel che sorprende è infatti la ricerca di alibi e scusanti, anziché approcci di tipo lesson learned. E anche qui, tutto transita per quel fattore umano spesso tanto predicato ma raramente coltivato. Una corretta cultura della responsabilizzazione non vuole perseguire infatti l’etica della colpa, né crocifissioni in sala mensa o agnelli sacrificali, che anzi lascerebbero intatte le fonti del problema ovverosia quelle vulnerabilità che hanno portato al buon esito dell’attacco ransomware. Ma per comprendere in che modo è possibile distaccarsi dalle malpractices, forse è bene superare molte delle scuse più diffuse che trovano un comune denominatore in un profilo di inevitabilità. Vediamo anche di comprendere quali criticità organizzative comportano.
Ritenere che l’attacco sia avvenuto per un effetto “Samarcanda”, ovverosia con l’irresistibile forza di un destino già scritto, è un tentativo di escapologia legale dalla responsabilità attraverso l’invocazione di caso fortuito o forza maggiore che impedisce l’imputazione dell’evento. Tentativo che però il più delle volte si infrange nella valutazione di contesto e con la misura dell’accaduto con lo stato dell’arte, che rendono l’evento tutt’altro che irresistibile o imprevedibile. Sul piano organizzativo, inoltre, comporta interrompere ogni analisi e trattamento dei rischi: in fondo non si può né tantomeno si deve ragionare per eccezioni. Nella realtà, la vulnerabilità non trattata consentirà però ad una minaccia analoga di realizzarsi. E non per i numi del cielo avversi, ma per un semplice saggio della probabilità di occorrenza che – come ogni logica matematica – tende ad essere piuttosto impietosa.
Comunicare, poi, è fondamentale per gestire non soltanto la reputazione bensì soprattutto l’incidente. Non a caso nei sistemi di gestione di cybersecurity i profili di comunicazione sono fondamentali sia per l’efficacia che per la tempestività d’azione. Rappresentare un fatto come inevitabile o “di stampo terroristico”, nel migliore dei casi provoca confusione organizzativa. Nel peggiore: panico.
