Sono stanco. Stanco di leggere continuamente comunicati stampa di aziende con fatturati importanti che si scusano per aver subito attacchi informatici e per la perdita di dati sensibili degli utenti. Queste dichiarazioni, che dovrebbero essere segni di trasparenza e rammarico, suonano sempre più come una strategia di marketing piuttosto che come un sincero atto di responsabilità. Se queste stesse aziende avessero investito adeguatamente nella sicurezza informatica prima che i disastri accadessero, molte di queste catastrofi sarebbero state evitate.
Come informatico con un corso di sicurezza delle reti informatiche alle spalle, sono dolorosamente consapevole della criticità della situazione attuale. Nel mondo della sicurezza informatica non ci si chiede se si verrà attaccati, ma piuttosto quando accadrà. Questo fatalismo non dovrebbe essere una scusa per non agire proattivamente.
Prendiamo, ad esempio, il recente caso di Synlab da oggi Synleak, 400mln di fatturato annuo, mica bruscolini!!! Ora dovremmo indagare su quanto è stato speso per la cyber sicurezza, ma non ci compete.
Noi nel nostro piccolo non condanniamo, soltanto ma diamo spunti per mitigare i rischi futuri.
Le cartelle cliniche contengono dati estremamente sensibili che avrebbero dovuto essere anonimizzati. Separare i dati personali dalle informazioni sanitarie, attribuendo ad esempio un codice univoco al posto del codice fiscale, sarebbe stata una soluzione praticabile. I dati personali avrebbero potuto essere conservati "in chiaro" in un database offline, mentre le informazioni sanitarie legate al codice univoco sarebbero state isolate e trattate tra paziente e centri diagnostici. In questo modo, anche in caso di furto dei dati, ciò che sarebbe finito sul dark web sarebbero state solo patologie legate a una stringa alfanumerica, rendendo il collegamento con l'identità del paziente praticamente impossibile senza l'accesso al sistema di Synlab.
Ma questa non è la realtà che abbiamo. Invece, ci troviamo con database interi di informazioni sensibili che fluttuano nel dark web, un tesoro per i criminali e una minaccia devastante per la privacy e la sicurezza dei cittadini.
Una chiave rubata di una camera è un problema; una chiave rubata dell'intero castello è un disastro. E nel caso degli attacchi informatici, sono sempre gli utenti a perdere di più. La trasparenza post-facto è necessaria, ma non sufficiente. È tempo che le aziende adottino misure preventive, non solo per proteggere i propri dati, ma anche per salvaguardare l'incolumità e la privacy dei loro utenti.
Le scuse possono placare temporaneamente l'opinione pubblica, ma non ripristinano i dati perduti, l'imbarazzo degli intestatari, né riparano il danno alla fiducia del pubblico. Le aziende devono passare da una mentalità reattiva a una proattiva, investendo in sicurezza informatica robusta e in pratiche di gestione dei dati che priorizzino la privacy e la sicurezza degli utenti fin dall'inizio.
La sicurezza informatica non è un optional, né un lusso; è una necessità fondamentale. Se non ora, quando? Se non noi, chi? Le aziende devono agire, e devono farlo subito. La nostra sicurezza dipende da questo cambio di paradigma.
Orazio Lacenere Maggio 2024
Comentários