Cyber-ignoranza, Sensazionalismo e Caccia alle Streghe mercoledì 4 agosto 2021
Posted by andy in Information Security, Pubblica Amministrazione.Tags: caccia alle streghe, data breach, Disinformazione, gestione del rischio, ignoranza, regione lazio, risk management
add a comment
È di questi giorni l’attacco ai sistemi informatici della Regione Lazio.
Al momento il sito della Regione Lazio è irraggiungibile, ed il sito del Garante è estremamente riservato sulle notizie.
Come sempre accade in queste situazioni, la stampa è prodiga di titoloni ed ipotesi spacciate per verità, basate su voci di corridoio, ipotesi, congetture.
La conseguenza immediata è che i lettori si scatenano a loro volta in thread di post e flames sulle responsabilità, su cosa doveva essere fatto e non è stato fatto, sull’incompetenza di questo o quell’operatore …
È bello vedere che finalmente l’Italia è attenta alla sicurezza delle informazioni, disponendo di circa 59 milioni di esperti, inclusi gli infanti.
L’attacco è andato a buon fine, ma senza il completamento delle indagini non ci è dato sapere (eccetto che ai pochi che stanno gestendo l’incidente) se sia stato dovuto ad inadeguatezza delle risorse poste a difesa dei sistemi o per superiorità di risorse messe in campo dal nemico.
Detto ciò, mi permetto di chiedere a tutti coloro che in questi giorni stanno facendo affermazioni sulle cause e sulle responsabilità se abbiano un antivirus sul proprio smartphone, se abbiano mai comunicato una propria password a qualcuno, se veramente non abbiano mai click’ato su un link di cui non erano assolutamente certi dell’affidabilità, se abbiano un backup dei propri dati in un proprio caveau diverso dal proprio PC o smartphone o cloud di turno, e così via …
Indipendentemente da quale sia stata la vulnerabilità sfruttata in questo incidente, è fondamentale rammentare a tutti che la più grave vulnerabilità e principale causa di incidenti informatici resta sempre l’essere umano.
Ed in Italia abbiamo più esseri umani che server …
Inviterei poi tutti coloro che sputano sentenze dal proprio pulpito (anche se socialmente virtuale) come si comportino sul proprio luogo di lavoro, con i computer ed i programmi della propria azienda o pubblica amministrazione …
Da bravi italiani siamo sempre bravi a lamentarci (… una palanca in meno, ma diritto di mugugno …) concentrandoci sugli effetti, e mai sulle cause.
Perché tutti coloro che si lamentano non iniziano per primi a gestire in sicurezza i propri dati e quelli dell’azienda o dell’amministrazione per cui lavorano, senza lamentarsi della seccatura della lunghezza della password che deve essere cambiata troppo spesso?
Perché queste persone non smettono di chat’are di lavoro attraverso canali non sicuri ed iniziano ad utilizzare programmi che cifrano realmente le comunicazioni, anche se non sono quelli di moda e che hanno l’icona più bella?
Perché queste persone non iniziano a leggersi le condizioni di servizio e le politiche per la privacy di ogni programma ed ogni sito che visitano?
Ah, già! Costa tempo e fatica …!
Peccato che dietro la nostra pigrizia individuale ci siano anche i dati degli abitanti della Regione Lazio, le buste paga dei colleghi, il fascicolo medico di qualcuno che l’anno prossimo pagherà un premio più alto sulla propria assicurazione sulla vita, senza capire perché …
Nota: ho già avuto modo di avere riscontri su queste mie considerazioni, ed ho rilevato che in molti cercano di correlare quanto ho scritto alle specificità dell’incidente della Regione Lazio, non ritenendolo pertinente nella ricerca delle responsabilità.
Approfitto quindi per chiarire subito che il tema del mio commento non è quello delle responsabilità del personale preposto a gestire la sicurezza.
Intendo invece evidenziare che in queste situazioni troppe persone si lanciano nella caccia al colpevole, molto spesso senza competenze specifiche, e certamente senza informazioni reali, oggettive, aggiornate e complete su ciò che è accaduto.
L’analisi dell’accaduto e le indagini sulle responsabilità sono operazioni estremamente complesse, che non richiedono minuti od ore, ed i cui risultati dipendono sia dalla comprensione di cosa è accaduto sia da dalle azioni messe o meno in campo, in relazione all’analisi dei rischi effettuata ed alle risorse che è stato possibile mettere a disposizione per gestirli.
La disinformazione per tentare ancora di nascondere i problemi reali domenica 1 dicembre 2013
Posted by andy in Miglioramento, Politica.Tags: Disinformazione, Italia, italiani, problemi reali
add a comment
Le televisioni e la stampa continuano a portarci in giro, cercando di distrarre l’attenzione pubblica dai problemi reali.
Per tanti anni ci hanno fatto immaginare un futuro con fiumi di latte e miele, grazie all’esibizione delle grazie di bellissime fanciulle ed a fiumi di denaro regalati mediante giochi a premi di ogni sorta.
L’Italia non cambierà fino a che gli italiani non accetteranno le responsabilità.
Oneri ed onori: stipendi più alti devono implicare responsabilità e rischi più grandi, e viceversa: alle persone che investono e rischiano di più devono essere riconosciuti stipendi più alti.
Altro aspetto su cui occorre puntare è il senso della misura: non è giustificabile il fatto che persone con meno responsabilità ricevano stipendi superiori a coloro che li coordinano.
Parlando poi di buon senso, non è giustificabile che esistano persone che ricoprono decine di incarichi apicali, e che quindi non abbiano materialmente il tempo per dedicare più di una decina di giornate all’anno ad ogni incarico, ricevendo tuttavia emolumenti superiori a chi vi dedica tutto il proprio anno lavorativo ed i propri straordinari.
Altro aspetto ormai inaccettabile è quello delle ‘buone uscite’ con cifre da capogiro, nonostante l’operato del dimissionario abbia peggiorato le condizioni dell’ente o dell’azienda: riconoscimenti e provvigioni non dovrebbero mai essere legati al venduto o al fatturato, ma all’utile procurato.
D’altra parte da troppo tempo gli italiani si sono abituati a vendere il proprio voto, in alcuni luoghi per 50 Euro, in altri per non pagare l’IMU, in altri per il condono o per l’indulto, in altri per il posto di lavoro garantito senza alcun controllo sul proprio operato.
150 anni fa eravamo un agglomerato di regni, ducati, primcipati e piccole repubbliche, di corporazioni e notai, e ad oggi non abbiamo ancora trovato un’identità nazionale per cui i cittadini siano riusciti a comprendere il valore del bene comune.
C’è di buono che oggi sono finiti i soldi, e l’Euro ci impedisce di stampare ulteriore carta moneta, facendo ulteriori debiti all’insaputa dei cittadini: è arrivato il tempo di far quadrare realmente i bilanci dello stato.
Si cerca ancora di distrarre l’attenzione pubblica dai problemi reali, ma ormai i cittadini non possono più ignorare il bilancio familiare a fine mese.
Un aspetto degno di nota che vedo è che nella crisi e nelle difficoltà tante persone si rimboccano le maniche e si sforzano di aiutare gli altri, senza aspettare che ‘lo Stato provveda’.
Andy's Weblog 