Cyber-ignoranza, Sensazionalismo e Caccia alle Streghe

È di questi giorni l’attacco ai sistemi informatici della Regione Lazio.

Al momento il sito della Regione Lazio è irraggiungibile, ed il sito del Garante è estremamente riservato sulle notizie.

Come sempre accade in queste situazioni, la stampa è prodiga di titoloni ed ipotesi spacciate per verità, basate su voci di corridoio, ipotesi, congetture.

La conseguenza immediata è che i lettori si scatenano a loro volta in thread di post e flames sulle responsabilità, su cosa doveva essere fatto e non è stato fatto, sull’incompetenza di questo o quell’operatore …

È bello vedere che finalmente l’Italia è attenta alla sicurezza delle informazioni, disponendo di circa 59 milioni di esperti, inclusi gli infanti.

L’attacco è andato a buon fine, ma senza il completamento delle indagini non ci è dato sapere (eccetto che ai pochi che stanno gestendo l’incidente) se sia stato dovuto ad inadeguatezza delle risorse poste a difesa dei sistemi o per superiorità di risorse messe in campo dal nemico.

Detto ciò, mi permetto di chiedere a tutti coloro che in questi giorni stanno facendo affermazioni sulle cause e sulle responsabilità se abbiano un antivirus sul proprio smartphone, se abbiano mai comunicato una propria password a qualcuno, se veramente non abbiano mai click’ato su un link di cui non erano assolutamente certi dell’affidabilità, se abbiano un backup dei propri dati in un proprio caveau diverso dal proprio PC o smartphone o cloud di turno, e così via …

Indipendentemente da quale sia stata la vulnerabilità sfruttata in questo incidente, è fondamentale rammentare a tutti che la più grave vulnerabilità e principale causa di incidenti informatici resta sempre l’essere umano.
Ed in Italia abbiamo più esseri umani che server …

Inviterei poi tutti coloro che sputano sentenze dal proprio pulpito (anche se socialmente virtuale) come si comportino sul proprio luogo di lavoro, con i computer ed i programmi della propria azienda o pubblica amministrazione …

Da  bravi italiani siamo sempre bravi a lamentarci  (… una palanca in meno, ma diritto di mugugno …) concentrandoci sugli effetti, e mai sulle cause.
Perché tutti coloro che si lamentano non iniziano per primi a gestire in sicurezza i propri dati e quelli dell’azienda o dell’amministrazione per cui lavorano, senza lamentarsi della seccatura della lunghezza della password che deve essere cambiata troppo spesso?

Perché queste persone non smettono di chat’are di lavoro attraverso canali non sicuri ed iniziano ad utilizzare programmi che cifrano realmente le comunicazioni, anche se non sono quelli di moda e che hanno l’icona più bella?
Perché queste persone non iniziano a leggersi le condizioni di servizio e le politiche per la privacy di ogni programma ed ogni sito che visitano?

Ah, già! Costa tempo e fatica …!

Peccato che dietro la nostra pigrizia individuale ci siano anche i dati degli abitanti della Regione Lazio, le buste paga dei colleghi, il fascicolo medico di qualcuno che l’anno prossimo pagherà un premio più alto sulla propria assicurazione sulla vita, senza capire perché …

Nota: ho già avuto modo di avere riscontri su queste mie considerazioni, ed ho rilevato che in molti cercano di correlare quanto ho scritto alle specificità dell’incidente della Regione Lazio, non ritenendolo pertinente nella ricerca delle responsabilità.

Approfitto quindi per chiarire subito che il tema del mio commento non è quello delle responsabilità del personale preposto a gestire la sicurezza.

Intendo invece evidenziare che in queste situazioni troppe persone si lanciano nella caccia al colpevole, molto spesso senza competenze specifiche, e certamente senza informazioni reali, oggettive, aggiornate e complete su ciò che è accaduto.

L’analisi dell’accaduto e le indagini sulle responsabilità sono operazioni estremamente complesse, che non richiedono minuti od ore, ed i cui risultati dipendono sia dalla comprensione di cosa è accaduto sia da dalle azioni messe o meno in campo, in relazione all’analisi dei rischi effettuata ed alle risorse che è stato possibile mettere a disposizione per gestirli.