In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio

Regione Lazio, il ransomware e la politica tecnologica italiana

di Andrea Monti
Regione Lazio, il ransomware e la politica tecnologica italiana
3 minuti di lettura

Il ransomware che ha bloccato i sistemi IT di Regione Lazio non è un fatto nuovo sia per il settore pubblico sia per quello privato; con una certa frequenza, infatti, gli organi di informazione danno conto di questa o quella struttura colpita da attacchi di varia natura.

Nello stesso tempo, questa vicenda è la prova della distanza fra le dichiarazioni di principio, dei “protocolli di intesa” e dei “tavoli di lavoro” sulla sicurezza informatica (i cui risultati non vengono pubblicizzati) e la realtà effettuale.

Le pubbliche amministrazioni centrali e locali sono esposte da sempre ad attacchi di vario tipo come defacement, accessi abusivi, furti e perdite di dati, infezioni da virus, ma anche blocchi funzionali e diffusione dei dati personali di cittadini causati da errori e superficialità di chi li amministra.

Quando accade un incidente, l’approccio alla gestione della crisi è sempre lo stesso: concentrarsi sulla causa prossima evitando di occuparsi di quelle meno immediate, ma più rilevanti.

Dunque, “è colpa degli hacker” e non delle scelte di progettazione dell’infrastruttura. Oppure “il sistema si è bloccato” come se una macchina vivesse di vita propria. Oppure ancora, “siamo vittima di un attacco sofisticatissimo” e non della trascuratezza nella gestione dei sistemi. D’altra parte, di fronte a criminali dalle capacità straordinarie, come ci si può difendere?

Non è strano che l’atteggiamento delle “vittime” e quello dei media sia improntato su considerazioni di questo tipo, frutto del desiderio – neanche troppo inconscio – di esaltare le capacità dell’avversario per rinforzare la percezione di ineluttabilità del fatto e dunque l’assenza di responsabilità istituzionali e individuali.

Parlando di responsabilità, e veniamo al punto, non possiamo tuttavia più permetterci di ignorare temi enormi cone quelli della qualità del software che fa funzionare piattaforme e apparati in uso alla pubblica amministrazione, dell’esternalizzazione —cloudsourcing— dei servizi al cittadino e, in sintesi, del controllo della pubblica amministrazione digitale sugli strumenti che utilizza.

Agli albori della digitalizzazione, fra la fine degli anni ’80 e i primi anni ’90, i grandi temi della sicurezza, del controllo sul software e dell’accesso all’informazione erano già noti e teorizzati. Eravamo già arrivati al crossroad e, come Robert Johnson, abbiamo fatto il patto con il diavolo. Lui per suonare il blues, noi per creare un colosso digitale dai piedi d’argilla, reso ancora più fragile dalle logiche di un settore industriale che privilegia l’obsolescenza programmata e il release early, release often senza troppa attenzione al resto. Non si può generalizzare, ma è un fatto che anche grandi realtà internazionali del settore IT che dovrebbero dare garanzie di affidabilità si sono rivelate, alla prova dei fatti, non all’altezza delle promesse.

La situazione sembra senza speranza, eppure, una soluzione a portata di mano c’è e si chiama riuso dei software per la Pubblica Amministrazione. Il Codice dell’amministrazione digitale prevede già da tempo che le amministrazioni utilizzino prevalentemente software open source e AgID svolge un ruolo essenziale in questo processo.  

Al netto di visioni radicali che demonizzano altre forme di gestione della proprietà intellettuale sul software, dare spazio alla libera circolazione dei software è un modo per incrementarne qualità e sicurezza.

Non si tratta, per essere chiari, di estromettere il settore privato dall’interazione con lo Stato, ma di far sì che in questo rapporto siano le esigenze dello Stato a ricevere maggior attenzione rispetto ai (pur legittimi) interessi privati volti al profitto.

Cosa c’entra tutto questo con il ransomware che ha colpito Regione Lazio? Sul brevissimo periodo, praticamente nulla, sul medio-lungo, moltissimo.

L’ecosistema digitale pubblico è diventato così complesso che è difficile pensare di continuare a gestirlo con approcci basati sui modelli industriali di oggi sia per quanto riguarda i prodotti sia per quanto riguarda il loro utilizzo.

Non si può più delegare alle Big Tech la decisione sul quando rilasciare aggiornamenti o correggere vulnerabilità, così come non si può più sperare che qualche bug hunter decida di rendere pubblico uno zero-day invece di venderlo sul mercato nero. Riprendersi la sovranità digitale passa anche per scelte di questo tipo.

Ciò che serve è la volontà politica di imprimere un vigoroso impulso in questa direzione, coinvolgendo anche le università in uno sforzo certamente titanico ma fondamentale per il Paese. Coinvolgere le università nello sviluppo e nel miglioramento dei software per la Pubblica Amministrazione consentirebbe una verifica pressocché costante della loro sicurezza. Avere persone che, all’ingresso nel mondo del lavoro, hanno già conoscenza e competenza sulle piattaforme utilizzate dagli uffici grandi e piccoli rende più agevole gestirli in sicurezza. Sapere come sono fatti i programmi consente al settore privato di sviluppare una concorrenza basata su qualità ed efficienza invece che su scontistica e tempi di pagamento.

È facile criticare una proposta del genere sostenendo che non è fattibile, che le università non sono in grado di raccogliere la sfida (e perché mai?) o che si tratta di un’utopia radicale priva di valore concreto. Molto più difficile è rimboccarsi le maniche e provare a trasformarla in realtà.

Leggi anche

© Riproduzione riservata