#cybersecurity#sanità: il recente #attacco #informatico #regionelazio impone una maggiore #consapevolezza per tutelare uno dei diritti fondamentali di un cittadino, #diritto #salute. Lavoriamo insieme, a livello di associazione #AIIS #AITRA, per affrontare questo tema
Nella notte tra Sabato 31 Luglio e Domenica 1 Agosto, il Centro Elaborazione Dati della Regione Lazio ha subito un attacco informatico che ha causato il blocco dei servizi informatici deputati, tra l’altro, alla gestione del processo di vaccinazione.
Da un punto di vista tecnico si è trattato di un attacco ransomware che limita l’accesso al dispositivo infettato cifrandone il contenuto. Oltre a creare un disservizio e, nei casi più gravi, una disruption: l’obiettivo dell’attaccante è quello di estorcere un riscatto per rendere nuovamente disponibile il dispositivo con il suo contenuto.
L’anomalia che si può registrare, rispetto ad altri attacchi ransomware recenti come quello perpetrato nei confronti dell’oleodotto Colonial Pipline negli USA, è il fatto che non sia stato rispettato alcun codice etico e sia stata attaccata un’infrastruttura sanitaria nel pieno della sua operatività nelle vaccinazioni da COVID-19.
Dal momento dell’attacco, cyber-esperti e presunti tali si sono susseguiti in dichiarazioni di ipotesi relative alle modalità tecnico-operative con le quali i criminali hanno operato.
Indipendentemente però dall’effettiva causa della violazione, emergono evidenti le carenze strutturali nella gestione strategica della cybersecurity e la sottovalutazione delle conseguenze di tali attacchi per il benessere della comunità.
Per risolvere il problema alla radice, ogni organizzazione deve adottare un modello di governance della cybersecurity forte e strutturato. E’ necessario che il top-management, ovvero gli organi politico-decisori, raggiungano un livello di consapevolezza adeguato al ruolo che ricoprono e assegnino risorse adeguate alla protezione di interessi primari per il benessere comune e la tutela dell’economia.
La consapevolezza è l’arma più forte per far fronte al sempre più crescente numero di attacchi cibernetici ed è un elemento imprescindibile per rispondere in maniera efficiente ed efficace agli incidenti di security.
Nel contesto della consapevolezza, un ruolo fondamentale viene svolto dall’attività di audit e test dei sistemi informatici. E’ importante che tali attività siano svolte da organismi terzi e indipendenti rispetto a chi gestisce i servizi IT, ma mantenendo un approccio collaborativo, critico e costruttivo. Talvolta purtroppo, dette attività vengono vissute passivamente, con scarsa collaborazione se non addirittura con un po’ di ostilità, ma è importante per i gestori stessi dei servizi IT avere un supporto terzo che criticamente li aiuti a condividere il peso di un compito così importante.
Incrementare la consapevolezza non significa semplicemente allocare un adeguato budget alla cybersecurity ma soprattutto saper investire scientemente in tutte quelle iniziative che possano apportare un vero e misurabile valore aggiunto all’organizzazione. C’è una guerra in atto, con attacchi che possono colpire aziende e dati di ogni genere.
Allo stato attuale, molte (forse troppe) organizzazioni, sia private che pubbliche, non sono pronte ad affrontare adeguatamente le sfide cibernetiche, neanche quelle tecnicamente a basso valore di complessità, come l’attacco mosso alla Regione Lazio. Per ottenere sicurezza nella dimensione cibernetica è necessario costruire una “fortezza” che, prima ancora di avere mura spesse, deve avere solide fondamenta. E’ necessario strutturare piani di difesa dettagliati e testarli continuamente. Non bisogna aver paura di strutture e le proprie difese secondo il principio dello “zero trust”, ovvero dare per assunto che, nonostante le spesse mura e le guardie all’entrata, il nemico potrebbe essere già entrato e star tramando per colpirci quando meno ce lo aspettiamo. Con questo atteggiamento, quando anche un nemico riuscisse ad entrare nelle mura erette a difesa dei dati, non riuscirebbe ad uscire portandosi via il bottino sperato o, se anche riuscisse ad uscire vivo, non potrebbe mettere in ginocchio la struttura che deve poter continuare ad operare regolarmente. Dove è impossibile evitare l’intrusione è possibile assicurare che la violazione non comprometta l’operatività. Il disaster recovery non è meno importante della prevenzione. Se la Regione Lazio, il giorno dopo l’attacco, avesse potuto garantire la continuità del servizio, il clamore dell’attacco non sarebbe stato così evidente. Ma se l’attacco riesce a mettere in ginocchio un servizio essenziale per diversi giorni, c’è una mancanza strutturale nelle fondamenta della sicurezza cibernetica. Per evitare che episodi come questo si ripetano, in imprese ed enti di ogni taglia, è importante che siano innanzitutto eseguiti audit approfonditi e specifici che certifichino la bontà dei presidi di sicurezza predisposti e dei piani di recupero dei servizi in caso di attacco nemico. L’attualità di attacchi sempre più frequenti e massivi non ammette più inerzia da parte delle risorse aziendali ad ogni livello responsabili di assicurare la sicurezza cibernetica. E’ importante agire subito e agire con consapevolezza, per prevenire e contrastare un fenomeno sempre più frequente e allarmante.
In questo scenario, tra consapevolezza, prevenzione e disaster recovery, l’Associazione Italiana Trasparenza e Anticorruzione (AITRA), sensibile e attiva, tra gli altri, anche su queste tematiche, ha affrontato, sotto una chiave di lettura pratica e con l’intervento di esperti del settore, il tema “Lo Stato dell’arte dell’applicazione del Perimetro di Sicurezza Nazionale Cibernetica anche con riferimento alla gestione dei dati sanitari” in un seminario che si è tenuto il 25 giugno 2021 e promosso in collaborazione con il Gruppo The Skill, l’Associazione Italiana per l’Integrità della Salute (AIIS) e la Start-up Cyberskill (https://aitra.it/lo-stato-dellarte-dellapplicazione-del-perimetro-di-sicurezza-nazionale-cibernetico-anche-con-riferimento-alla-gestione-dei-dati-sanitari-25-giugno-dalle-10-alle-12/)
AIIS - Associazione Italiana per l'Integrità della Salute 