di Andrea Monti – PC Professionale n.112
Il caso recente dei siti “bucati” di ministeri e authority solleva il problema della scarsa efficacia della protezione dei sistemi pubblici e delle relative responsabilità
Un lancio ANSA riporta la notizia che nel maggio di quest’anno i server di svariati ministeri, inclusi quelli dell’Autorità per le comunicazioni hanno subito un’intrusione abusiva culminata nella sostituzione della home page.
Poco tempo tempo dopo, pare ad opera degli stessi “buontemponi”, subiscono visite indesiderate anche aziende private.
Da quanto è stato possibile sapere, la tecnica utilizzata dagli intrusori sarebbe basata su un noto (ed ennesimo) bug di Windows NT. Risulta, inoltre, che almeno in qualche caso, durante i fine settimana non fossero stati previsti i turni di “presidio server” e che la gestione di queste macchine fosse affidata a note aziende del settore TLC ed internet, alcune delle quali si limitavano a fornire la sola connettività, altre anche i servizi di amministrazione.
Non sono stati riportati danneggiamenti o “sottrazione” di dati riservati e i mezzi di informazione hanno dato pochissimo rilievo alla notizia.
Fino a qui i fatti. Ora le considerazioni. La prima, e più ovvia, riguarda le responsabilità.
Gli autori della bravata (posto che vengano identificati e processati) rischiano pene severe, ma anche i soggetti che avevano il compito di gestire le macchine violate non possono dormire sonni tranquilli. In primo luogo perchè se quei server contenevano dati personali si potrebbe configurare a loro carico il reato di omessa adozione colposa di misure di sicurezza. In secondo luogo, perchè – dal punto di vista civilistico – la negligenza o l’imperizia di queste persone è sicuramente fonte di risarcimento danni. E’ però necessario verificare attentamente i contenuti dei contratti stipulati fra aziende e ministeri, perchè se non è stata prevista anche la gestione della sicurezza, con buona probabilità non potrebbe essere possibile invocare l’inadempimento contrattuale. In altri termini, questo significa andare a vedere se sono stati spesi dei soldi per la sicurezza, e se si, in che modo.
Specie in considerazione del fatto che i sistemi operativi utilizzati presentavano intrinseche vulnerabilità che richiedevano un’apposita attività di patching e monitoraggio preventivo.
Quale che sia la risposta alle domande che precedono, sta di fatto che l’attenzione prestata dalle nostre istituzioni alla protezione dei sistemi pubblici si è rivelata di scarsa efficacia, con delle conseguenze negative non trascurabili sul processo di sburocratizzazione iniziato grazie all’impiego massiccio dell’informatica.
Detto in sintesi: le vicende dello scorso maggio dimostrano che stiamo costruendo un colosso dai piedi d’argilla. E con queste “belle prove” di affidabilità ben difficilmente i cittadini si rivolgeranno agli sportelli telematici per dialogare con la Pubblica Amministrazione se questa non si dimostra in grado di proteggersi e di proteggere i dati che gestisce.
Ecco perchè non bisogna fare gli struzzi e illudersi che “tanto non è successo niente”, o che i fantomatici “pirati informatici” siano veramente quei pallidi imitatori che ogni tanto vengono “pizzicati” dalle forze dell’ordine a scambiarsi programmi o – appunto – a giocare qualche tiro mancino ad un amministratore di sistema più incompetente di loro.
Certo, questa volta le azioni degli intrusori (per favore, non chiamateli hacker) hanno colpito soltanto qualche home page; ma quando fra pochissimo i sistemi informatici pubblici e raggiungibili dall’esterno ospiteranno dati veramente importanti (denunce fiscali, certificati ecc.) la musica, potete star certi, cambierà sensibilmente. E al posto di qualche dilettante si siederanno veri e propri professionisti della tastiera.
Questi eventi rappresentano quindi un segnale che le istituzioni faranno bene a non prendere sottogamba, per evitare di essere esposte oltre che al ridicolo, anche al rischio di subire pesanti danni che in ultima analisi vanno a scaricarsi sulle nostre spalle. C’è solo da sperare che, una volta tanto, la reazione di chi deve preoccuparsi di tutto questo non sia invocare come al solito nuove leggi. Speriamo piuttosto che ci si “accorcino le maniche” per dettare precise norme operative sulla gestione dei sistemi informatici pubblici, e soprattutto, per sviluppare una vera cultura della security in modo da non essere ostaggi del “venditore di insicurezza” di turno.
In conclusione, e a margine, vale la pena di soffermarsi su una circostanza cui ho accennato in apertura, quella del “silenzio stampa” calato sulla vicenda. Quando i destinatari delle sgradite e abusive “attenzioni” sono stati i computer di altri paesi, non è stato raro vedere titoli a nove colonne e servizi radiotelevisivi in grande abbondanza.
Ora che la cosa ci tocca da vicino, zitti tutti.
Sarà un caso, o – come si dice – “a pensar male si fa peccato ma ci si azzecca”?
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte