Sanità e cyber security: matrimonio da farsi a tutti i costi

La scorsa settimana le cronache nazionali che personalmente seguo con maggiore attenzione hanno visto al centro il caso dell’Ospedale di Alessandria. L’accaduto si presta ad un paio di considerazioni. La prima e forse più banale è l’amara constatazione che infrastrutture critiche nazionali come quelle sanitarie versino in uno stato di “cyber-abbandono”. Vero che i decennali ritardi non si recuperano in un paio di anni, ma la descrizione dello stato dei sistemi fornita dagli stessi aggressori è deprimente.

La cyber gang Ragnar Locker se la prende in primo luogo con il personale che ha la responsabilità di gestirli, suggerendone la rimozione in blocco per evidente incompetenza e spreco del budget affidatogli. Su quest’ultimo punto sarebbe interessante sapere in realtà la dimensione del “fantomatico budget”. Sbirciando tra le pagine del bilancio sociale dell’ente non si può stabilire a quanto ammonti, ma c’è qualche “numero” che può suggerire forse l’ordine di grandezza degli investimenti sul fronte del cyber security. Si rileva che nel biennio 2018/2019 l’azienda ha effettuato investimenti per circa 7 milioni di euro di cui poco più di 106 mila sono stati catalogati alla voce “software”. Un importo che nel 2020 sale fino a quasi 224 mila euro su 4 milioni 230 mila euro, incremento che potrebbe trovare una spiegazione nelle necessità connesse allo smart working che ha portato a “potenziare la rete VPN, la rete wifi e a distribuire laptop, webcam ecc al personale”. Facendo la media del pollo gli stanziamenti per il “software” sono stati pari a poco meno del 3 per cento. Quanto di questo sia poi stato destinato alla sicurezza non possiamo saperlo, ma è ragionevole ipotizzare che si tratti di una frazione.

Forse la cyber gang non ha preso in considerazione l’ipotesi che il personale IT aveva ben poco da “sprecare”. A consolazione, sempre dalle pagine del bilancio sociale, si evince che nel triennio 2022-2024 è prevista la “Programmazione biennale di azioni per potenziare la cybersicurezza”. Detto questo, la seconda considerazione riguarda il tipo di attacco che è stato limitato all’esfiltrazione di una significativa quantità di dati e non ha visto l’utilizzo di sistemi crittografici che avrebbero portato al blocco dei sistemi. Nel suo comunicato Ragnar Locker ha specificato che ha evitato di utilizzare questa seconda forma di aggressione in quanto avrebbe completamente paralizzato l’ospedale e non rientra nelle sue politiche “mettere a rischio la vita delle persone”. Ancora una volta i criminali si trovano in difficoltà nel gestire sistemi “eccessivamente vulnerabili”: essere perseguiti per estorsione è un conto, per omicidio o per una strage che potrebbe configurarsi come atto terroristico è ben altra storia. Dall’India alla Italia, dalle compagnie aeree agli ospedali, il vero problema sembra essere che le infrastrutture critiche sono tali non soltanto per l’importanza, ma anche, come molti professionisti del settore ben sapevano, per la drammatica condizione della sicurezza.