La triste esperienza di WannaCry avrebbe dovuto farci riflettere e, invece, solo pochi giorni dopo l’epidemia del ransomware, se ne erano già tutti dimenticati
Il “ransomware” che ha paralizzato mezzo pianeta non è riuscito a scalfire l’imperturbabile indifferenza che caratterizza chi dovrebbe occuparsi e preoccuparsi della sicurezza digitale di un’azienda, di un ente pubblico, di un ministero, di un Paese. Lo sconfortante spettacolo del Sistema sanitario nazionale britannico, messo al tappeto da una manciata di istruzioni maligne che hanno portato alla cifratura dei dati, non ha minimamente intaccato la serenità del nostro vivere quotidiano. Gongolanti per una sorta di invulnerabilità derivante dal nostro demoralizzante stato di arretratezza tecnologica, assopitasi la pressione mediatica sull’argomento, abbiamo lasciato alle spalle qualsivoglia eventuale apprensione.
Quei pochi che non hanno ritenuto l’episodio un caso fortuito si sono sbrigati ad affrontare il tema in modo sistematico e la circostanza si profila rassicurante. C’è qualcuno che ha preso sul serio il problema. Naturalmente non dalle nostre parti. Tra le tante carte che mi sono passate tra le mani in queste settimane c’è un documento meritevole di attenzione. è il “Report on Improving Cybersecurity in the Health Care Industry”, redatto da una task force di esperti americani che in un centinaio di pagine è riuscita a fotografare lo stato dell’arte della sicurezza cibernetica nel settore industriale della Sanità e a distillare indicazioni e consigli per chi vuole cimentarsi in proposito.
La complessità del settore è fin troppo evidente e la semplice ricognizione degli attori su questo palcoscenico porta a stilare un elenco in cui compaiono dai grandi sistemi ai singoli operatori sanitari, dai soggetti pubblici e privati su cui gravano gli oneri alla sterminata platea dei fruitori dei servizi, dalle entità istituzionali di ricerca ai produttori di apparecchiature biomediche e agli sviluppatori di software. La vita è in gioco non solo per l’abilità del chirurgo alle prese con un bisturi, ma anche e soprattutto per l’irrinunciabile necessità che tutto il resto funzioni perfettamente. Alla pletora di soggetti elencati poco prima, si aggiungono burocrazia, leggi, giurisprudenza. L’intersezione di norme e regole si rivela – ictu oculi – foriera di difficoltà operative e paventa lo spettro di conflitti di competenza ai più diversi livelli.
Naturalmente, la lunga addizione di fattori di rischio non può escludere i “nemici”, rappresentati da terroristi, criminali, hacker al soldo delle industrie, vandali annoiati e – dulcis in fundo – pericolosissimi dipendenti incapaci. Una ben dosata miscela di competenze può portare alla predisposizione di un piano di monitoraggio dei fenomeni destinati ad avere impatto sullo scenario di interesse, alla stesura di un programma di azioni (prevenzione, messa in sicurezza, gestione dei rischi, implementazioni precauzioni, ripristino, eventuali indagini per far luce su possibili incidenti), alla definizione delle responsabilità e alle corrispondenti attribuzioni.
Il rapporto della task force HCIC (squadra voluta dal Congresso americano e prevista dal Cybersecurity Act del 2015) è un ottimo memorandum per chi ha davvero intenzione di fare qualcosa. Gli spunti sono davvero tanti e, soprattutto, si prospettano “commestibili” anche per chi è a digiuno di specifiche competenze. Infatti, il problema è quello di chi si è messo a dieta di cultura, elemento di cui la nostra alimentazione globale non può davvero fare a meno. Purtroppo, certi processi dimagranti hanno progressivamente portato a una sorta di anoressia del sapere, dell’imparare, del voler migliorare. Contemporaneamente, si è sviluppata la bulimia di slide e di (falsi) buoni propositi, di convegni e di sbrodolamenti inutili, di reciproche moine e di recite che – ormai all’ennesima replica – hanno stancato anche i più tenaci monaci buddisti dello zen aziendale. Non è venuto solo il momento del “fare”, ma quello del “fare presto”. E bene, una volta tanto.