Sistemi arretrati e zero formazione: tutte le reti italiane insicure e a rischio

«Ora tutti si chiedono chi è stato?, ma la domanda giusta dopo l'attacco alla sanità del Lazio è chi non ha fatto?. E questo lo sappiamo. È scritto nella relazione della sezione regionale di controllo per il Lazio della Corte dei Conti pubblicata il 27 luglio, cioè pochi giorni prima del disastro. Quella relazione - seppur con termini cripto-burocratici - spiega chiaramente che il Lazio ha acquistato prodotti e servizi per la difesa digitale con funzioni sovrapponibili e non complementari. In pratica hanno comprato sistemi di difesa che coprivano gli stessi settori del perimetro mentre ne lasciavano scoperti e indifesi altri». Umberto Rapetto, generale in congedo, ex comandante del Nucleo speciale frodi telematiche della Guardia di finanza e grande esperto di difesa digitale non ha dubbi neppure su quali siano gli errori storici e di sistema che hanno portato alla paralisi della sanità laziale. «Il problema di fondo è l'arretratezza di un sistema di difesa che doveva venir messo in piedi fin dal 1996, ma che nonostante le sollecitazioni dell'allora capo del Sisde prefetto Vittorio Stelo non venne mai avviato».

Ma la mancanza di un controllo centrale sul cosiddetto «perimetro di difesa» è anche la causa della parcellizzazione e della destrutturazione delle tecniche di difesa. Nell'analisi e nella diagnosi di Rapetto il perimetro di difesa adottato da LazioCrea è un muro di cinta eretto da interlocutori e ditte diverse le cui diverse sezioni, singolarmente impenetrabili, risultano spesso non collegate tra di loro. Questa disconnessione rende irrilevante il fatto che l'intrusione sia partita dal computer di un anonimo dipendente, da una postazione di Engineering - la società responsabile della sicurezza del portale regionale - o, peggio, dai sistemi di Leonardo. «Il problema - spiega Rapetto - è non aver controllato se le paratie, magari impenetrabili, fornite da Leonardo o Engeenering fossero collegate e se gli interstizi non avessero delle falle. E soprattutto se i cancelli e le porte blindate che li collegavano fossero state chiuse. Perché esistono anche i guardiani che dimenticano di chiudere le porte o ne perdono le chiavi».

E qui dal problema della destrutturazione delle difese si passa a quello della formazione dei dipendenti. «Siamo sicuri - si chiede Rapetto - che nessun dipendente di Engineering, di Leonardo, della Regione Lazio, o delle decine di società che lavorano per la regione e hanno accesso ai suoi sistemi, eviterebbe di aprire un mail intitolata sanzioni disciplinari nei suoi confronti? Magari cliccando sul link che, a detta della mail contiene le sanzioni previste». Una domanda che a detta del generale in congedo porta dritti al tema della formazione. «Un sistema in cui non si insegna fino all'ultimo dei dipendenti come evitare comportamenti incauti è un sistema penetrabile. È, ancora volta, l'equivalente di un muraglia perfetta in cui vengono lasciati spalancati i cancelli laterali». L'assenza di procedure di formazione dei dipendenti riconduce però al problema di fondo, ovvero all'ormai trentennale assenza della nascente Agenzia per la cybersicurezza nazionale (Acn), che da ieri ha un direttore, il vicedirettore del Dis Roberto Baldoni. Un'agenzia incaricata anche d'imporre a enti e aziende la formazione e gli investimenti indispensabili per evitare l'ingenuità, l'impreparazione e le leggerezze dei propri dipendenti.

Insomma prima di capire chi sia stato a paralizzare la sanità laziale faremmo meglio a chiederci quali sono state le inadempienze dei governi che hanno dimenticato o, peggio, considerato inutile una strategia nazionale di sicurezza digitale. Questo enorme calderone di responsabilità pregresse finisce con il rendere quasi irrilevante l'identità di chi ha messo a segno l'attacco alla sanità laziale. Certo è che l'ipotesi, ampiamente circolata, di un attacco attribuibile agli stessi pirati responsabili dei ricatti ad aziende come la Colonial Pipeline statunitense fanno sorridere Rapetto.

«È una bella favola, ma pensate veramente qualcuno s'illuda di poter incassare 5 milioni in criptovalute, e quindi in nero, da una Regione con i bilanci in rosso per miliardi?».