Forse il problema è l’eccessivo tecnicismo della materia o forse la credenza popolare che “tanto sanno tutto” oppure “non ho niente da nascondere“. Ma l’ultimo attacco da parte del gruppo ransomware Lockbit, ancora una volta, pone in evidenza come in Italia la cultura della protezione del dato sia scarsa se non addirittura inesistente. L'Agenzia per la Cyber Sicurezza Nazionale (ACN) ha rivelato che dietro all'attacco ransomware che da almeno dieci giorni ha messo in ginocchio l'azienda Westpole, che gestisce almeno 1.300 pubbliche amministrazioni di cui 540 comuni, c'è appunto Lockbit. I giornali si sono immediatamente focalizzati su quello che, per molti, è il problema principale, vale a dire il pagamento di stipendi e, poiché siamo sotto Natale, tredicesime.

Per approfondire, qualche info tecnica > Lockbit attacca il service provider WestPole: disservizi nella PA

Solo su pubblicazioni specializzate e, ovviamente, non destinate alla maggioranza del pubblico, si cerca di focalizzare l’attenzione sulle reali conseguenze e la gravità di questo attacco. Dalle notizie che si susseguono sembra che nei Comuni via siano criticità per la gestione dell’albo pretorio, alla fornitura di diversi servizi di pagamento online offerti ai cittadini, al sistema dedicato alle carte d’identità e anagrafe, al pagamento dipendenti, allo sportello unico attività produttive, al sistema Pec, al protocollo informatico. Alcuni Comuni sembra siano dovuti tornare alle vecchie modalità analogiche per alcuni servizi.

Ancora, la stampa parla di recupero dei dati e nulla si dice in ordine alla quantificazione del riscatto richiesto in Bitcoin, una moneta che diventa irrintracciabile una volta immessa nel web. 

Ma le conseguenze sono, e possono ancor più essere ben altre.

La premessa è che una delle aziende che dovrebbe occuparsi della sicurezza dei sistemi che contengono i dati dei cittadini si è rivelata del tutto inadeguata. Denunce al Garante e alla Polizia Postale equivalgono a chiudere la stalla dopo che gli animali sono già scappati. Ma in questo caso gli animali sono i dati personali, le informazioni, l’identità dei cittadini. Notizie rassicuranti parlano di recupero delle informazioni e ripristino degli archivi. Sono attività comunque dovute e che rappresentano il minimo sindacale per la protezione dei dati ancor prima del GDPR.

Il punto critico è che quei dati sono nella disponibilità di un gruppo criminale che può farne, se non lo ha già fatto, l’uso che crede. Date di nascita, codici fiscali, fotografie digitalizzate, indirizzi fisici e-mail, tutti gli elementi necessari a creare una busta paga che vanno dalla scelta di un sindacato alle patologie di ciascun cittadino a quelle di tutti i familiari per ottenere benefici, esenzioni e così via.

Le affermazioni provenienti dagli enti interessati, secondo cui nessun dato sarebbe stato esfiltrato, sono poco credibili e vanno prese con molta cautela come insegna la recente vicenda dell’Asl di Modena, smentita a fronte di analoghe dichiarazioni da quanto pubblicato in fase di rivendicazione. Inoltre, è decisamente poco credibile che questi gruppi non facciano copie del capitale di dati e della massa di informazioni che hanno raccolto grazie alla loro attività che ha aperto enormi varchi nei sistemi di sicurezza.

Lockbit cripta e porta via dati, funziona così, si legge nelle notizie più attendibili.

Il problema di nuovo si pone. La sicurezza dei nostri dati è notoriamente in pericolo. Gli utenti sono a dir poco distratti quando regalano le loro informazioni al primo sviluppatore di app, quando fanno click su “accetto i termini” senza aver letto che i loro dati saranno svelati a partner, fornitori, clienti e alla zia Pina. Dalle pubbliche amministrazioni ci si dovrebbe aspettare un maggior livello di attenzione e cura per i soggetti interessati esposti anche loro a rischi di ricatti o di uso indiscriminato dei loro dati.

Viene da chiedersi se queste pubbliche amministrazioni abbiano disposto adeguate procedure di data breach; se le lettere di incarico siano state ben costruite e la filiera interna della gestione del dato sia stata adeguatamente predisposta. In ultimo, una nota deve essere fatta a sfavore della stampa che, puntando sulle notizie che “acchiappano”, ancora una volta ha perso l’occasione di operare un richiamo al concetto di protezione del dato e rischi per gli utenti.

Non è solo uno stipendio che può essere pagato in ritardo.
È l’identità del cittadino; sono i diritti della personalità.