Gli attacchi hacker, urge una nuova visione per le leggi sulla cybersecurity

Alla fine ci è scappato il morto. Chi si occupa di cybersecurity da anni sapeva che le questione non riguardava il "se", ma il "quando" e in parte il "come" sarebbe accaduto. Il fatto risale a circa dieci giorni fa e se non fosse stato per le sue conseguenze indirette, probabilmente non avrebbe trovato spazio sui media.

Un "banale" attacco informatico, in cui i criminali, sembra sfruttando la vulnerabilità di un software, sono riusciti a installare un ransomware su sistemi della clinica dell'università di Dusseldorf crittografando una trentina di server dell'ospedale e chiedendo in riscatto di 900 mila euro in Bitcoin. Il blocco dell'infrastruttura informatica ha determinato la sospensione delle attività, comprese quelle del pronto soccorso con il risultato che i pazienti in arrivo venivano dirottati in altre strutture. Tra essi, una donna giunta in gravi condizioni è stata mandata all'ospedale di Wuppertal, dove è arrivata troppo tardi perché i sanitari potessero fare qualcosa.

Aspetto singolare della vicenda è che i criminali erano convinti di avere colpito i sistemi dell'università collegata alla clinica tanto che avevano chiesto il riscatto all'ateneo. Quando le forze dell'ordine si sono messe in contatto con i delinquenti, essi hanno fornito le chiavi per decifrare i sistemi e hanno rinunciato al pagamento. Attualmente le indagini sono in corso per confermare la relazione tra l'attacco e la morte della paziente nel qual caso, forse perla prima volta, un gruppo di criminali informatici dovrebbe rispondere dell'accusa di omicidio.

Per certi versi la notizia si commenta da sola, ma qualche considerazione è doverosa.

La prima riguarda la nostra apparente incapacità di imparare dalla storia o, per meglio dire, di mettere in pratica la lezione che ci viene impartita. Come forse qualcuno ricorda il rischio rappresentato da un malware che riesca a diffondersi in una struttura sanitaria si è già concretizzato in passato. Correva l'anno 2017, quando il sistema di emergenza sanitario britannico fu messo in ginocchio dal celebre virus WannaCry. Sono passati non pochi giorni, ma tre anni, eppure qualcuno non ha ancora capito che esistono all'interno di infrastrutture critiche, come sono gli ospedali, sistemi ancora più critici (per esempio sale operatorie e pronto soccorso). Queste zone dovrebbero essere protette da misure di sicurezza draconiane perché con la vita delle gente non si può scherzare.

Una seconda riflessione, che sarebbe utile facessimo tutti, è relativa al governo del continuo e travolgente sviluppo delle tecnologie dell'informazione. Tra intelligenza artificiale e Internet delle Cose, il nostro futuro sta superando le previsioni e le aspettative della fantascienza più utopica e i governi si stanno affannando a regolamentare un mondo che cambia in modo talmente repentino che tante norme rischiano di nascere vecchio.

Per questa ragione osservando i provvedimenti in materia dell'Unione Europea, scoprirebbe come tali atti legislativi partano dal principio che nel momento in cui si svolgono determinate attività (per esempio trattare i dati personali di persone o gestire infrastrutture critiche) si devono continuamente valutare i rischi e quindi adottare delle misure di sicurezza adeguate a prevenirne le conseguenze.

Questo approccio definito "risk based" ha come primario obiettivo proprio quello di porre un freno all'obsolescenza delle leggi, tuttavia pone un problema enorme ai cittadini e a qualsiasi organizzazione: per rispettare questo tipo di normativa non basta leggerle, perché al loro interno non è scritto da nessuna parte "come" fare, ma si stabiliscono dei principi di massima e si forniscono delle indicazioni su "cosa" fare.

Applicare simile leggi richiede non soltanto di capirle e condividerne i contenuti, ma anche di essere culturalmente pronti e per chiarire cosa intendo riporto la definizione del termine fornita dall'Enciclopedia Treccani: "L'insieme delle cognizioni intellettuali che, acquisite attraverso lo studio, la lettura, l'esperienza, l'influenza dell'ambiente e rielaborate in modo soggettivo e autonomo diventano elemento costitutivo della personalità, contribuendo ad arricchire lo spirito, a sviluppare o migliorare le facoltà individuali, specialmente la capacità di giudizio". Suggerisco di prestare particolare attenzione alle ultime cinque parole.