ANCHE UN ATTACCO INFORMATICO UCCIDE – IN GERMANIA UNA DONNA MUORE DOPO ESSERE STATA RESPINTA DALL’OSPEDALE CHE AVEVA SUBÌTO UN ATTACCO AI PC. PERCHÉ DETERMINATE REALTÀ CHE DEVONO ASSICURARE SERVIZI ESSENZIALI PER I CITTADINI NON PREDISPONGANO ADEGUATE CONTROMISURE? UMBERTO RAPETTO: “I RESPONSABILI DEI SISTEMI INFORMATICI DEVONO RISPONDERE DELLA MANCATA ADOZIONE DELLE DIFESE CHE CERTO NON MANCANO PER SCONGIURARE CERTI DISASTRI. ADESSO CHE ‘CI È SCAPPATO IL MORTO’, FORSE VARRÀ LA PENA RIPRENDERE…”
Umberto Rapetto per "www.infosec.news"
Una donna in condizioni mediche drammatiche viene respinta dall’ospedale universitario di Dusseldorf perché il sistema informatico è in tilt e ogni attività (compresa quelle di accoglimento e registrazione dei nuovi arrivi) è completamente paralizzata.
L’ambulanza corre inutilmente per 30 chilometri per raggiungere il nosocomio della vicina città di Wuppertal: la donna – complice il ritardo nelle cure che avevano assoluto carattere di urgenza – muore.
La vicenda, che risale al 10 settembre, costituisce una sconfortante pietra miliare.
La settimana scorsa i computer della struttura sanitaria erano stati attaccati da un “ransomware”, vale a dire da quella particolare categoria di istruzioni maligne che procedono all’indebita cifratura dei dati e che informano che i file (ovviamente inutilizzabili) possono essere portati alla loro originaria condizione di normalità solo provvedendo al pagamento di un riscatto ai delinquenti che hanno organizzato l’azione criminale.
Non è servito a nulla l’intervento della polizia tedesca che – chiamata in soccorso dall’ospedale all’insorgere del problema – ha contattato i banditi e ottenuto i codici per sbloccare il sistema informatico che era stato infettato.
Ad apparati elettronici bloccati si è fermato tutto e naturalmente per qualche giorno si proverà a parlare di sicurezza informatica per poi dimenticarne l’importanza e lasciare correre le cose fino al prossimo inconveniente.
Se da una parte spaventa l’aggressività delle organizzazioni che animano certe dinamiche estorsive (sfruttando la possibilità di impedire le ordinarie funzionalità di qualunque sistema informatico pur di ottenere il versamento di una somma), dall’altra è legittimo chiedersi perché determinate realtà che devono assicurare servizi essenziali per i cittadini non predispongano adeguate contromisure per evitare il verificarsi di situazioni incresciose.
I responsabili dei sistemi informatici devono ora rispondere della mancata adozione delle difese che certo non mancano per scongiurare certi disastri. Chi si occupa di formazione dovrà invece spiegare perché non si è proceduto alla sensibilizzazione e alla qualificazione del personale della propria organizzazione, che – e lo sanno tutti – normalmente rappresenta l’anello debole della catena di sicurezza in qualunque contesto. Il clic del mouse di un impiegato su un link o su un allegato di un messaggio ricevuto in posta elettronica è spesso l’innesco di contaminazioni informatiche catastrofiche.
Dovrà rispondere dell’accaduto anche ( e soprattutto) il management che – normalmente indifferente a certi rischi – non avalla le proposte per irrobustire le cautele poste in essere a tutela del patrimonio informativo o non sollecita le articolazioni competenti a potenziare le difese e a formare la platea degli utenti che con pc, tablet e smartphone possono diventare i protagonisti di una apocalisse digitale.
Adesso che “ci è scappato il morto”, forse varrà la pena riprendere certi discorsi rinviati sine die con una inammissibile leggerezza.
