L’attacco informatico alla Regione Lazio non sarà l’ultimo di questa gravità per l’Italia. Mentre scriviamo sono in corso attacchi informatici verso la PA, l’industria delle costruzioni, della moda e dell’energia, e non si fermeranno.
Molti di noi avevano capito subito che l’attacco ransomware che ha cifrato i dati sanitari laziali non era stato portato da gruppi legati ai no-vax e neppure da quello che rimane della galassia Anonymous, gli hacker attivisti, però, prima o poi, chi ha messo in giro queste voci, provenienti dal sottobosco statale e da qualche giornalista interessato, dovrà renderne conto all’opinione pubblica.

Lo stesso vale per chi ha parlato di guerra e terrorismo. É vero che adesso le procure indagano per terrorismo, ma il fine dei criminali che hanno attaccato la Sanità laziale è puramente economico e non ci sono prove finora che avessero l’obbiettivo di seminare panico nella popolazione e sfiducia verso le istituzioni.
La cortina fumogena creata alla prima notizia dell’attacco prima o poi si dissiperà e a quel punto emergerà una nuova consapevolezza, e cioè che la digitalizzazione a tappe forzate del nostro paese causata dalla pandemia è la prima responsabile della drammatica situazione di oggi, ma insieme alle scelte sbagliate di ieri.

Quali? I ritardi della politica nella costruzione di un’Agenzia nazionale per la cybersicurezza; gli scarsi investimenti nella sicurezza informatica certificati a più riprese da Bankitalia; il ritardo culturale verso l’innovazione digitale; la scarsa attenzione nelle Pubbliche Amministrazioni verso le regole minime di sicurezza elaborate dall’Agenzia per l’Italia Digitale, il nanismo dell’industria tecnologica italiana, la ricerca di base ridotta a Cenerentola.

Mettendo insieme questi fatti e ricordando che l’intrusione nel Ced del Lazio è partita dalla compromissione delle credenziali Vpn (Virtual private network) di un dipendente di Lazio Crea in smartworking e che probabilmente era già avvenuta da mesi e non per la disattenzione del dipendente, quanto per una vulnerabilità dello strumento che gli era stato consegnato, adesso rimane una sola cosa da fare: ci vuole un grande “investimento paese” per proteggere aziende e istituzioni.

Uno sforzo che va fatto in tre direzioni. La prima è un forte investimento in tecnologie sicure. Basta con la corsa a reti, apparecchi e apparati informatici a basso prezzo, dai sensori IoT (Internet of Things) agli apparecchi smart fino a server e pc. Basta con le gare al massimo ribasso che deprimono la qualità delle forniture, e stop alla catena dei subappalti.

La seconda è la formazione dei lavoratori. Non si può pretendere di usare lo smartworking come soluzione sempre pronta accollando a chi lavora la responsabilità di garantire la sicurezza aziendale. Ci vogliono sistemi sicuri, software garantiti, formazione continua all’igiene cibernetica, alle misure minime di prevenzione domestica e professionale.

La terza cosa è l’istruzione superiore. L’Italia sta andando bene, ma non troppo, con la creazione di corsi di laurea, dottorati e borse di studio dedicati alla cybersecurity: ce ne vogliono di più. E occorre incentivare i giovani a perseguire questo tipo di studi attraverso una campagna di informazione da portare in tv, radio, giornali e social network. Con un messaggio più ampio e semplice: se ti laurei e ti prepari nelle discipline STEM (Scienza, Tecnologia, Ingegneria e Matematica) troverai lavoro e aiuterai il tuo paese. Puntando a reclutare anche l’altra metà del cielo, le donne, finora poco rappresentate in questi settori.

*Professore di Identità digitale, privacy, cybersecurity all’Università Sapienza di Roma