Il caso Regione Lazio, condividere le informazioni per migliorare la sicurezza dell’Italia digitale

 La vicenda Regione Lazio si è conclusa, così dicono le fonti ufficiali, senza avere pagato il riscatto chiesto da chi gestiva il ransomware, ma facendo ricorso a risorse interne e, va anche detto, una buona dose di fortuna di Andrea Monti – Originariamente pubblicato su Strategikon – un blog di Italian Tech. Benché la posizione ufficiale assunta da Regione Lazio sia stata oggetto di critiche e polemiche virulente, non possiamo non prenderla per buona, perché altrimenti saremmo di fronte a un gravissimo occultamento della verità e al deliberato misleading della stampa e dei tanti esperti che hanno difeso in buona fede l’istituzione.

Dunque, dato per scontato che i fatti siano andati esattamente come dichiarato da Regione Lazio e da chi (evidentemente in possesso di un filo diretto con l’ente) li ha confermati, è ragionevole chiedere la pubblicazione dei dettagli tecnici che hanno consentito di raggiungere un risultato in prima battuta ritenuto impossibile.

 
A cose fatte, non è importante che il successo nel recupero dei dati sia avvenuto perché l’infrastruttura della Regione era stata pensata per resistere ad attacchi ransomware o per via di una fortunatissima coincidenza: come nel caso della scoperta casuale della penicillina, ciò che conta è avere trovato il rimedio che può scongiurare danni apocalittici.

Replicare l’architettura progettata dai tecnici dell’ente, e magari migliorarla, sarebbe essenziale per varie ragioni. In primo luogo, e in termini pragmatici, consentirebbe di rendere ancora meno pericolosi i ricatti da ransomware. In secondo luogo, darebbe concretezza all’obbligo previsto dall’articolo 32 del Regolamento sulla Protezione dei dati personali, che impone di “adottare adeguate misure di sicurezza”, ma non dice quali. Infine, aiuterebbe le stazioni appaltanti che devono gestire le gare pubbliche a definire in modo preciso le caratteristiche tecniche dei servizi e prodotti per la sicurezza delle informazioni dei quali un ente ha deciso di dotarsi.

Anche professionisti e accademici trarrebbero un grande vantaggio dalla diffusione di queste informazioni, perché casi di studio pubblicamente disponibili sono fondamentali per orientare le scelte consulenziali di chi opera nel settore e quelle formative di chi, in questo settore, vorrà lavorare. Ci sarebbe quasi da invocare una legge che renda obbligatorio mettere a disposizione informazioni del genere.

Stiamo dunque a vedere se, una volta terminata l’emergenza derivante dal fare ripartire la macchina, Regione Lazio deciderà di contribuire a migliorare la sicurezza dell’Italia digitale con a un generoso atto di trasparenza.

Possibly Related Posts: