Diciamoci la verità: chi, tra gli informatici, nell’ultimo mese non si è imbattuto in almeno un esemplare di Windows 7? Il controverso sistema operativo nato già bucato, sconfessato dalla stessa casa produttrice e lasciato al suo destino ormai dai anni fa ancora bella mostra di sé a difendere (si fa per dire) i dati personali altrui. Questo è lo specchio della realtà italiana sulla sicurezza digitale.

Mi ricordo, quando ero ragazzo, una scritta su un portachiavi simpaticissimo: era una storpiatura di una favola di Esopo e diceva così "il lupo che si traveste da pecora per mangiarsi l'agnello lo piglia in c*** dal montone". Massima molto alla moda di questi tempi! A far cose false prima o poi si viene smascherati, come è successo alla sanità laziale, colpita da un ransomware che ha criptato i dati con relativo riscatto. E preso atto della colossale figura fatta, in rete si trovano già articoli annacquati che "forse", "probabilmente"," non so ma ci sta che" il ransomware l'abbia messo qualcuno manualmente, che forse c'è dietro qualcosa di oscuro eccetera eccetera. 

La verità è che da almeno 4 anni il business dei ransomware si è industrializzato: oggi si trovano in rete kit completi di tutto pronti da spammare, con riscatti in criptovaluta che arrivano direttamente ai creatori del sistema, salvo stornare delle ricche provvigioni, sempre in criptovaluta, a chi acquista il kit ovvero a chi fa il lavoro sporco e distribuisce il malware (in gergo tecnico, questo sistema organizzativo si chiama RaaS, Ransomware as a Service). 

Comprenderete bene che in un'epoca in cui i bassifondi si stanno ripopolando di gente disperata, senza bandiere, senza soldi e senza scrupoli questo sistema sta diventando la più grande minaccia della storia digitale, non fosse altro per i fiumi di denaro che giornalmente arrivano nelle tasche di certe persone. E in mezzo a tutto questo ci sono le nazioni che guardano attonite, impotenti, prive di reazioni.

Ho sempre scritto negli anni come il GDPR non fosse una gabella ma un'enorme occasione per iniziare un nuovo percorso di sicurezza digitale, ho sempre stigmatizzato le informative e le scartoffie documentali scritte in legalese che servono solo per compiacere gli Avvocati che le hanno scritte. Troppe volte mi sono trovato, in questi anni, a fare consulenza privacy in grandi aziende o in enti pubblici, in bellissime sale riunioni arricchite di opere d'arte sui muri e protette da sofisticati sistemi di allarme, ricevuto dal megadirettore di turno con petto gonfio compiaciuto da cotanto sfarzo e dopo 10 minuti di cordiale chiacchierata rendersi conto di policy inesistenti, di disaster recovery tipo "palla lunga e  pedalare", di protezioni perimetrali fantasma. Che senso ha proteggere le opere d’arte con sistemi antintrusione quando non metti al sicuro quei dati che ti hanno permesso tutto lo sfarzo di cui ti sei circondato?

Eppure i sistemi ci sono e non costano una fortuna:

• Data Loss Prevention,
• Mobile Device Management,
• protocolli protetti,
• rigide restrizioni e privilegi.

Serve solo personale che abbia un budget per acquistarli e aggiornarli nel tempo e che sia formato e istruito a farlo.

Chi si occupa di sicurezza digitale in azienda non deve riformattare il pc all'utente dell'amministrazione o aumentare la ram dei pc perché va troppo lento. Troppe volte si vedono lettere di incarico e mansionari fatte firmare ai dipendenti e messe in un cassetto a prendere polvere: che senso ha tutto ciò se il personale non viene formato sui diritti e sui doveri verso i dati e i loro relativi proprietari? Che senso ha tutto ciò se non si diffonde la consapevolezza del fatto che anche un driver di uno non aggiornato scanner è una porta aperta sul pc?

IL DATO PERSONALE VA PROTETTO PER DUE MOTIVI :

1. il primo è che costa più dell’oro e di conseguenza è oggetto di furti;
2. il secondo, che è quello che stenta ad entrare nelle teste degli italiani è che NON è nostro: ci è stato prestato per fare il nostro lavoro, il nostro business. E come tutte le cose prestate dobbiamo averne una cura particolare.

Ricordo che l’articolo 82 del GDPR specifica che chiunque subisca un danno materiale o immateriale causato da un trattamento illecito di dati ha il diritto di ottenere dal titolare del trattamento o dal responsabile del trattamento il risarcimento del danno subito.

E il giorno che qualcuno farà valere questo articolo nelle opportune sedi ne vedremo delle belle...