“Se qualcosa può andare storto, lo farà – nel momento peggiore possibile”. La legge di Murhpy ben potrebbe riassumere gli accadimenti di questi giorni alla Regione Lazio e spiegare in qualche modo le improbabili e fantasiose ricostruzioni politiche di quanto successo. Anche perché gli assiomi di Murphy sembrerebbero essere le uniche normative effettivamente applicate a protezione dei dati sanitari dei cittadini laziali.
In realtà, c’è poca “sfiga” in quanto successo in questi giorni alla piattaforma regionale e poca imprevedibilità in quanto accaduto. Prima o poi sarebbe successo e, se la situazione delle PA italiane – come temo – non è dissimile da quella della Regione Lazio, allora ne vivremo purtroppo molti altri di episodi come questo, che non ha nulla a che fare con attacchi terroristici o azioni novax, come si è avventatamente riferito in queste ore, ma più semplicemente un ransomware è stato inoculato in un sistema informatico poco sicuro per arrecare danni ai fini estorsivi. Farsi pagare un obolo in bitcoin per rimettere le cose a posto, in poche parole.
Oggi pirati informatici hanno vita facile in un Sistema Paese che si è perso in quest’ultimo periodo in una narrazione grossolana sulle opportunità del digitale, senza individuarne i rischi e quindi sviluppare efficaci contromisure.
Le dimensioni dell’attacco non sono note, non sappiamo se davvero non ci sia stata esfiltrazione di dati personali di carattere sanitario e non si conoscono i tempi per rimettere in sesto il sistema ad oggi bloccato.
Questi dati fanno gola, del resto. Oggi è vero che anche le guerre (digitali) si combattono accumulando dati e per questo rimane fondamentale prevenire con misure minime di sicurezza ex lege previste da tempo. E, tra queste misure di sicurezza informatica, rimane fondamentale la formazione del personale.
In tutti questi mesi, il nostro Paese, come altri Paesi europei, era stato già aggredito da attacchi similari. Ci sarebbe da chiedersi, allora, come mai ci sono state reazioni così scomposte e stupite per quanto successo. E la meraviglia che sta caratterizzando il mondo della politica e anche quello dell’informazione denota lo stato di desolazione informatica in cui versiamo.
Sono questi i danni forse irreversibili dello storytelling al sistema sanitario digitale e alla digitalizzazione del Paese in generale. E le prime dichiarazioni dell’assessore alla Sanità Alessio D’Amato sono emblematiche dello stato di ignoranza generalizzata in cui si trova attualmente l’Italia Digitale: “È un attacco hacker molto potente, molto grave. È tutto out. È sotto attacco tutto il ced regionale. È un attacco senza precedenti per il sistema informatico della Regione. Le procedure di registrazione possono subire rallentamenti. Sto andando a fare un sopralluogo per verificare la situazione”. In realtà, attacchi di questo tipo si susseguono ormai da più di un anno e possono essere gestiti sia a livello di prevenzione sia attraverso azioni successive di contenimento, che vanno organizzate attraverso procedure di protezione dei dati personali e di cybersecurity. E un assessore alla Sanità che, dopo un attacco di questo tipo, afferma che va a “fare un sopralluogo” denota un pressappochismo imbarazzante…”va lui”, per fare cosa?
Ricordiamoci che un blocco a un sistema informativo sanitario significa provocare non solo disagi, ma anche possibili morti. Come è capitato in Germania mesi fa a una donna che non ha potuto usufruire di servizi sanitari di pronto soccorso perché l’ospedale aveva subito proprio un attacco ransonware.
Ma ormai la protezione dei dati è un “orpello burocratico” secondo la nostra politica. E gli archivi (digitali e non) sono “roba vecchia”. Basta utilizzare qualche slogan, affidarsi a grandi player internazionali condendo il tutto con un pizzico di paroline magiche e inglesismi, come ad esempio il sempre citato blockchain, e il gioco è fatto. E secondo i Calenda, i Burioni, i Cottarelli & C. potremo dormire sonni sereni, l’importante è che la privacy non si metta di mezzo e si tuteli invece la salute.
Il problema è che oggi i dati, ancor di più quelli sanitari, sono all’interno di sistemi informatici e documentali. Tali sistemi oggi costituiscono il patrimonio informativo pubblico del Paese e tale sistema rischia di avere fondamenta di argilla, o forse meglio, per cavalcare la narrazione del periodo, “di panna”, nel magico mondo del cloud.
Gli archivi, i sistemi documentali e informatici del Paese costituiscono, invece, un baluardo da tutelare per la nostra democrazia e da essi dipendono nostri diritti e libertà fondamentali. Si spera pertanto che l’Agenzia per la sicurezza nazionale contro le minacce informatiche di cui si sta discutendo in questi giorni sia davvero autorevole, seria e indipendente abbastanza da prendere di petto una situazione che è evidentemente critica.