Attacco hacker, l'esperto: "Aggressioni ad agosto e di venerdì, occorre formazione dei dipendenti"

"La cosa che mi pare grave è che il ransomware è un malware che esiste dal 2014. Questo non è un attacco senza precedenti e il nostro rimane il secondo paese in Europa per questo tipo di attacchi. Ma negli ultimi anni, con gli ultimi governi, l'Italia si è dotata di un apparato normativo di primo livello: il problema rimane allora la formazione degli operatori";: a parlare con Roma Today è il professor Mauro Alovisio, docente del master in Cybersecurity e coordinatore del corso GDPR presso l'Università degli Studi di Torino, commentando l'attacco hacker che ha mandato giù il portale di prenotazione e gestione del sistema vaccinale della Regione Lazio. Si è conclusa da pochi minuti la conferenza stampa delle istituzioni regionali: "Stiamo difendendo in queste ore la nostra comunità da questi attacchi di stampo terroristico. Il Lazio è vittima di un’offensiva criminosa, la più grave mai avvenuta sul nostro territorio nazionale", ha scandito Nicola Zingaretti. La Regione ha negato che alla base dell'attacco ci sia stata una richiesta di riscatto; su Repubblica Roma del 2 agosto si leggeva che "l'accesso alla rete è avvenuto dal pc di un dipendente di LazioCrea: era stato lasciato aperto".

"Non possiamo fare di tutta l'erba un fascio ma è sempre più evidente che un errore umano è sempre più la causa di accensione della miccia", spiega Alovisio: "Gli amministratori di sistema sono figure cruciali. Ecco che serve, allora, la formazione e l’aggiornamento professionale continuo. Vorrei precisare che quanto successo nel Lazio riguarda l'intero Paese, perché non dubito che ad essere coinvolte saranno anche le aziende della filiera, i privati, i fornitori. La finalità della maggioranza di questi attacchi", continua il docente, “ è quella di infettare” il sistema e richiedere un riscatto (in inglese “ransom”) ed esfiltrare dei dati che sono poi utilizzati per dinamiche di furto di identità e vendita di dati. Si tratta di informazioni, infatti, che possono interessare al mio datore di lavoro, alle assicurazioni, ai vicini di casa che vogliono sapere chi ha avuto il Coronavirus e altre patologie sanitarie". In conferenza stampa, comunque, il presidente della Regione Lazio Nicola Zingaretti ha assicurato che "nessun dato è stato rubato". 

" E' importante sapere che non c'è un 'se saremo attaccati', ma un 'quando saremo attaccati': in Irlanda è capitata esattamente la stessa cosa un mese fa nel settore sanitario. Ora è più che mai fondamentale imparare a fare fronte comune", continua il professore dell'ateneo torinese. Magari attraverso l'attivazione dell'agenzia nazionale sulla Cibersicurezza; il vertice dei servizi di difesa della Repubblica Franco Gabrielli ha detto che sul tema bisogna "correre". "Quest'agenzia avrà il merito di razionalizzare le competenze in materia di cibersicurezza e assicurare il coordinamento in materia tra i soggetti pubblici, evitando l’effetto spezzatino", spiega il legale; "sarà il riferimento operativo della PCDM e sarà nelle condizioni di indicare misure di sicurezza e standard uniformi. Ma bisogna selezionare in modo accurato chi ne farà parte: servono persone con esperienza ma anche giovani formati nelle università e nei centri di ricerca che siano in grado di fare percorsi di training. La sicurezza informatica non può più essere delegata agli esperti, spesso presunti. I cittadini hanno diritto di essere informati su cosa è successo ai loro dati e mi aspetto l'attivazione da parte della Regione Lazio di un numero verde informativo: la normativa impone che tutti possano essere resi edotti su cosa è accaduto per mitigare gli effetti a livello personale del data breach".

Sfortunatamente, le vulnerabilità sembrano risiedere ancora al livello del singolo impiegato che vede ancora troppo spesso la cybersecurity come un mero esercizio burocratico: "Questa è stata la vulgata degli anni passati, in realtà è esattamente il contrario. Il dipendente ha diritto a ricevere formazione obbligatoria in campo GDPR. E' importante ricordare che i dipendenti pubblici o privati hanno in mano la vita delle persone. In Germania quando è stato attaccato un ospedale con una tecnica malware è morta una persona perché le infrastrutture colpite erano spente. Questo deve far riflettere che "riservatezza dei dati" significa in realtà tutelare la vita delle persone. Non è un caso, sfortunatamente, che gli attacchi arrivino ad agosto o a dicembre, quando le persone sono stanche e distratte; inoltre con il sempre maggiore utilizzo a contractor esterni la filiera di difesa è oggi allentata e dispersa. Ancora, la maggioranza degli attacchi si verificano di venerdì perché nel weekend il mondo pubblico non ha reperibilità; pare inevitabile che su questo, anche il settorepubblico, debba crescere. Servono incentivi, esperienza e qualità del lavoro", spiega Alovisio.

"Quando effettuo trattamenti in violazione delle misure di sicurezza informatica (come un banale accesso abusivo a sistemi informativi) bisogna ricordare che rischio il mio licenziamento, quello dei miei colleghi e ho a che fare con l'immagine e la reputazione della mia azienda. A questo punto però il tema non è cercare il colpevole, ma capire come reagire: la causa può essere il comportamento del singolo, ma le colpe sono sempre organizzative; occorre verificare le procedure, capire chi doveva fare e cosa, ed in maniera trasparente, stabilire come parlare alla cittadinanza e alla stampa. L’attacco informatico alla regione Lazio ci rende consapevoli della fragilità e della complessità dei nostri sistemi e dell’importanza della tutela del diritto alla protezione dei dati personali : la sicurezza dei dati è un una condizione di liceità, un principio del trattamento dei dati previsto a livello europeo grazie al GDPR che richiede specifiche misure organizzative e tecniche a tutela delle persone. Il garante della Privacy", conclude l'esperto, "su questo ha redatto materiale importante e necessario".