La vicenda Regione Lazio si è conclusa, così dicono le fonti ufficiali, senza avere pagato il riscatto chiesto da chi gestiva il ransomware, ma facendo ricorso a risorse interne e, va anche detto, una buona dose di fortuna di Andrea Monti – Originariamente pubblicato su Strategikon – un blog di Italian Tech. Benché la posizione ufficiale assunta da Regione Lazio sia stata oggetto di critiche e polemiche virulente, non possiamo non prenderla per buona, perché altrimenti saremmo di fronte a un gravissimo occultamento della verità e al deliberato misleading della stampa e dei tanti esperti che hanno difeso in buona fede l’istituzione.
Dunque, dato per scontato che i fatti siano andati esattamente come dichiarato da Regione Lazio e da chi (evidentemente in possesso di un filo diretto con l’ente) li ha confermati, è ragionevole chiedere la pubblicazione dei dettagli tecnici che hanno consentito di raggiungere un risultato in prima battuta ritenuto impossibile.
A cose fatte, non è importante che il successo nel recupero dei dati sia avvenuto perché l’infrastruttura della Regione era stata pensata per resistere ad attacchi ransomware o per via di una fortunatissima coincidenza: come nel caso della scoperta casuale della penicillina, ciò che conta è avere trovato il rimedio che può scongiurare danni apocalittici.
Replicare l’architettura progettata dai tecnici dell’ente, e magari migliorarla, sarebbe essenziale per varie ragioni. In primo luogo, e in termini pragmatici, consentirebbe di rendere ancora meno pericolosi i ricatti da ransomware. In secondo luogo, darebbe concretezza all’obbligo previsto dall’articolo 32 del Regolamento sulla Protezione dei dati personali, che impone di “adottare adeguate misure di sicurezza”, ma non dice quali. Infine, aiuterebbe le stazioni appaltanti che devono gestire le gare pubbliche a definire in modo preciso le caratteristiche tecniche dei servizi e prodotti per la sicurezza delle informazioni dei quali un ente ha deciso di dotarsi.
Anche professionisti e accademici trarrebbero un grande vantaggio dalla diffusione di queste informazioni, perché casi di studio pubblicamente disponibili sono fondamentali per orientare le scelte consulenziali di chi opera nel settore e quelle formative di chi, in questo settore, vorrà lavorare. Ci sarebbe quasi da invocare una legge che renda obbligatorio mettere a disposizione informazioni del genere.
Stiamo dunque a vedere se, una volta terminata l’emergenza derivante dal fare ripartire la macchina, Regione Lazio deciderà di contribuire a migliorare la sicurezza dell’Italia digitale con a un generoso atto di trasparenza.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte