"In conseguenza dell’attacco hacker subito dall’ASL 1 Abruzzo, la Regione ha costituito un gruppo di pronto intervento di sicurezza informatica che sta operando a supporto dei gruppi tecnici dell’Azienda, immediatamente attivati nella gestione dell’incidente, per limitare il disagio derivante dall’indisponibilità di alcuni dei servizi informatici. Il lavoro dei tecnici procede ininterrottamente con il coordinamento, in presenza, della Direzione Strategica dell’Azienda. Sono stati adottati tutti i provvedimenti necessari per garantire i servizi sanitari con modelli organizzativi alternativi".
Sono queste le parole che la direzione aziendale della Asl 1 d'Abruzzo ha comunicato attraverso una nota dopo l’attacco informatico subito nei giorni scorsi. Sono parole alle quali dobbiamo abituarci e che, purtroppo, dovremo ancora leggere o ascoltare, perché la maggior parte delle aziende, imprese, piccole o grandi che siano, pubbliche e private, non ha la benché minima idea di cosa significhi mettere in sicurezza i dati e proteggerli dagli attacchi informatici.
E a seguito del gravissimo attacco hacker al sistema informatico della ASL 1 con l'acquisizione di dati sensibili di migliaia di pazienti e il blocco delle attività, oggi nella sede del PD dell'Aquila in via Paganica 3 si terrà una conferenza stampa sulla gravità dell'accaduto e sulle iniziative che il PD prenderà al riguardo.
Al di là delle posizioni politiche legittime, quello che c'è da dire è che, innanzitutto, è una nuova forma di delinquenza criminale e non è limitata solo ai grandi server governativi o allo spionaggio industriale, ma colpisce tutti, lo abbiamo capito ormai. E come tale va condannata, senza se e senza ma.
Oggi come oggi, avere consapevolezza della sicurezza tecnologica e cibernetica è un processo che non deve più essere sottovalutato. Non si può pesare che siccome non ci sono documenti importanti i criminali digitali non siano interessati. Anzi. Il modus operandi è sempre lo stesso, sempre uguale e si ripete ciclicamente.
Il problema, per prima cosa, è che il reato anche se perseguito, non avendo provocato o generato danni letali come la morte, viene valutato come una semplice frode o truffa nelle aule dei tribunali. La pena detentiva prevista dalla norma nel nostro Paese va da 1 a 5 anni.
Non solo. Se leggiamo bene la norma ci rendiamo conto che se il danno è viene prodotto ai sistemi, allora si può procedere d’ufficio, altrimenti è lo stesso danneggiato che potrà e dovrà presentare querela per quanto subito. Purtroppo siamo in ritardo su tutta la linea della sicurezza informatica aziendale e governativa. I sistemi operativi sono obsoleti e possono essere attaccati facilmente anche dai ragazzi di qualsiasi scuola superiore. Per non parlare poi nella scarsa formazione dei dipendenti, scarsa e fatta male.
La soluzione è semplice. Dobbiamo dotarci di misure più incisive per la nostra sicurezza informatica, dobbiamo aggiornare i sistemi, aggiornare anche le procedure di controllo, formare in continuazione il personale che usa i sistemi e quello con cui abbiamo relazioni esterne, organizzare riunioni di confronto con i dipendenti dell'azienda sui temi della sicurezza informatica con aggiornamenti continui, ma soprattutto insegnare loro i criteri fondamentali di sicurezza aziendale che devono mettere al riparo ogni informazione raccolta nei sistemi e nelle persone e avviare un programma cyber. Insomma se non è stato fatto, aspettiamoci questo, o peggio ancora.