Il caso dell’attacco informatico alla Regione Lazio a mio parere è emblematico del livello di alfabetizzazione digitale non solo nella PA, ma di tutto il management nell’ambito ICT delle medie e grandi aziende.
Forse l’impiegato ha fatto un errore, forse più di uno, ma quanto l’azienda si è preoccupata che “questi errori” non accadessero?
Se la risposta è “poco o niente”, allora il povero impiegato – a mio parere – è del tutto incolpevole o quantomeno è chiaro che non è stato adeguatamente formato tanto da indurlo a fare degli errori ignorandone le conseguenze.
Per rendersi conto che non è possibile addossare l’intera colpa al povero impiegato basta provare a rispondere a delle semplici domande su come è gestita la sicurezza informatica e la protezione dei dati all’interno di una ipotetica azienda che opera nel mondo ICT, per esempio:
- Quanti in azienda conoscono il GDPR e le altre norme di protezione dei dati? A mio parere qualsiasi dipendente che ha a che fare con dispositivi digitali all’interno di un azienda dovrebbe quanto meno conoscere le norme di base del GPDR. Mentre per i ruoli manageriali, si dovrebbe invece avere un obbligo di conoscenza più approfondita.
- In azienda, esiste un vadevecum di gestione delle password personali e dei codici di accesso? Il personale è informato adeguatamente delle modalità di scelta, conservazione e aggiornamento delle password?
- In azienda, si fanno corsi corsi o meeting periodici di formazione sulle buone pratiche di sicurezza informatica di base? Oppure si distribuiscono slide vecchie di 15 anni in fase di inserimento del nuovo personale e poi addio all’aggiornamento?
- Se il lavoratore è in smartworking, allora le falle di sicurezza della connessione ad internet della propria abitazione sono un problema dell’Azienda, in quanto inficiano la sicurezza dell’intero apparato. L’azienda ha informato adeguatamente il personale che la sicurezza della propria connessione internet è di importanza aziendale? Si è preoccupata di verificare la sicurezza della connessione ad internet che usa il dipendente in smartworking?
- Uno degli aspetti importanti degli uffici delle grandi aziende in ambito ICT è l’accesso limitato agli edifici ed uffici di solito tramite tornello con card contactless. Quante aziende si sono preoccupate (davvero) di conoscere “il luogo di lavoro del dipendente in smartworking” e di quali persone (familiari o non) possono in qualche modo essere presenti durante le ore di lavoro e quindi possono volontariamente o involontariamente entrare a conoscenza di dettagli coperti da NDA?
- Le password e i codici di accesso personali dei dipendenti sono realmente “personali” e conosciute “unicamente dal singolo dipendente” o esistono pratiche (legali o illegali) di condivisione dei codici di accesso tra i dipendenti?
- Esistono pratiche in cui gli account e numeri di telefono aziendali vengono riciclati senza preoccuparsi di informare il personale del cambio di “assegnazione” favorendo così fraintendimenti e diffusione di dati verso personale che si credeva invece essere altro?
- In modalità di Smartworking, l’azienda adotta pratiche di “verifica dell’identità” di chi sta realmente utilizzando il dispositivo?
- … e potrei continuare per molto
Il mio parere è che il lavoratore deve essere formato ed informato dei rischi informatici soprattutto quando è in smartworking.
Attacco Hacker Regione Lazio
Per questo, l’incidente ai sistemi informatici della Regione Lazio a mio modesto parere non può essere interamente accollato ad un singolo dipendente, ma bensì a tutta la gerarchia di management che non è stata in grado ne di prevedere ne di attuare le azioni di base per proteggere adeguatamente il sistema azienda da problemi assolutamente conosciuti e altamente probabili: un banale virus informatico che ha infettato un pc che forse è stato acceso durante la notte da una persona non autorizzata.
Il più pericoloso hacker informatico è “l’errore umano”, non un cicciottello teenager americano chiuso in un sottoscala circondato da schermi dalle scritte fluorescenti che mangia patatine e beve Coca-Cola.
In pratica per entrare in palestra si deve esibire un green-pass gestito a livello europeo, ma un ipotetico dipendente dei sistemi informativi del green-pass puó tranquillamente lavorare in costume da bagno seduto al lido preferito in Costiera Amalfitana mentre sorseggia un Mojito.