Sito INPS in down. “L’attacco hacker? Una bugia che fa capire perché la cybersecurity in Italia non funziona”

Sul caso INPS abbiamo voluto raccogliere il parere di Raoul Chiesa, uno dei massimi esperti nazionali in tema di sicurezza cibernetica.

Sulla scia del caso INPS si sono sollevate polemiche senza fine sull’accaduto, sulle dichiarazioni del presidente dell’ente, Pasquale Tridico, e sui commenti che ne sono seguiti. Sul caso, come è noto, il Garante per la protezione dei dati personali ha già disposto un intervento ispettivo di cui aspetteremo gli esiti. Intanto sull’intera vicenda abbiamo voluto raccogliere il parere di Raoul Chiesa, uno dei massimi esperti nazionali in tema di sicurezza cibernetica.

Key4biz. Chiesa, lei ha seguito in questi giorni la vicenda della presunta incursione hacker ai danni del sito dell’INPS, che idea si è fatto?

Raoul Chiesa. Ho letto commenti ed opinioni di vario genere, confronti, battute, disamine molto precise, piuttosto che post quasi “goliardici”, ma ritengo che si tratti di un “incidente interno”, e non certo di un attacco, di cui stiamo sottovalutando le conseguenze e che, secondo il mio parere, è solo la punta dell’iceberg di ciò che non funziona nel nostro Belpaese in ambito di sicurezza informatica e procedure nella Pubblica Amministrazione.

Key4biz. In che senso?

Raoul Chiesa. Innanzitutto reputo estremamente grave che il Presidente di un ente come l’INPS affermi cose non fondate. Affermare di “…essere stati oggetto di un attacco hacker…“, quando ciò non è vero, ma anzi nasconde (consapevolmente o meno) una chiara incompetenza dell’ente nella gestione di una emergenza (che era peraltro facilmente prevedibile) ed indica semmai delle problematiche a monte. E non sto parlando “solo” di cybersecurity, ma anche di comunicazione e della cosiddetta “gestione di Cyber Crisis”. Ancora qualche giorno fa, su Rai1 a “Porta a Porta”, il conduttore Bruno Vespa chiede a Pasquale Tridico, presidente di INPS degli “attacchi hacker”, e quest’ultimo conferma e ribadisce quella che è, a tutti gli effetti, una cosa non vera o, se si vuole,una “Fake News”, come si usa definirle oggi.

Key4biz. E allora cosa è successo?

Raoul Chiesa. Tornando a noi ed al giorno del down del sito INPS, immagino più o meno quello che deve essere successo. Vi è stato un prevedibile picco di richieste e non inaspettato (come qualcuno ha detto), dal momento che era stato previsto all’interno del DPCM “Cura Italia”. Il problema è ovviamente andato subito in carico alla società che gestisce il sito, (che, non sappiamo, ma magari avrà subappaltato ad altre società le lavorazioni o parte di esse?), ma, come abbiamo visto, il problema è rimasto per ore ed ore.

Key4biz. Ma lei sostiene che il problema va anche oltre, in che senso?

Raoul Chiesa. Si, vorrei andare oltre, ad un livello superiore. Mi viene da pensare al bando di gara di assegnazione di quel sito così importante. Non lo conosco, ma mi chiedo, considerato quello che è successo, cosa avranno previsto per l’infrastruttura IT e di rete, nella progettazione e gestione dei server in caso di “picchi di rete” o di emergenze, per anche ciò che riguarda Business continuityDisaster recoverySecure coding e Secure programming. O molto più banalmente: hanno previsto dei servizi di outsourcing da attivare in caso di situazioni di questo tipo con provider che gestiscano gli improvvisi aumenti di carico banda e di richieste server-side? Ma mi viene anche da pensare che, forse, si è confusa la responsabilità sistemistica con quella di networking. Insomma si possono fare tante ipotesi tra negligenza e procedure di controllo discutibili

Key4biz. Quindi è stata sbagliata anche la comunicazione, cosa avrebbero potuto o dovuto fare?

Raoul Chiesa. Beh, c’è da chiedersi se i responsabili della comunicazione non debbano studiare un po’ cosa sia una “crisi cyber“, che altro non è se non una crisi ordinaria come le altre, ma che a differenza di altre è causata però da un incidente di tipo cyber, il che potrebbe indurre ad una gestione diversa e più cauta.

Key4biz. Di certo Pasquale Tridico presidente INPS avrà detto quello che i suoi tecnici gli avranno riferito o quantomeno immaginiamo che sia accaduto ciò…

Raoul Chiesa. Naturalmente non rientra nelle competenze del presidente Tridico capire cosa sia accaduto nell’apparato IT dell’ente. Certo quando avrà chiesto cosa stesse accadendo e il responsabile del servizio avrebbe dovuto rispondere in modo cristallino, non ci sarebbe stato nulla di male ad ammettere che non si era tecnicamente preparati a fronteggiare un picco di queste dimensioni (300-500 presentazioni di domande al minuto, che si sono rapidamente ammassate l’una sull’altra). E questo senza togliere nulla alla prevedibile generosità con cui immagino i dipendenti IT dell’INPS avranno lavorato in quei giorni per fronteggiare l’ondata di richieste annunciate dal premier Conte con il “Cura Italia”.

Key4biz. Ma allora dove potrebbe essere l’errore nelle dichiarazioni del presidente dell’INPS o nei resoconti che i suoi sottoposti hanno riportato a lui?

Raoul Chiesa. Innanzitutto vorrei ricordare che il malfunzionamento ha reso in chiaro le anagrafiche di contribuenti, dati che fanno molta gola al cybercrime. Cosa avrebbe dovuto fare Tridico? Non sta a me dirlo, ma mi faccio, come voi, qualche domanda. Prima di far perdere tempo alle competenti Autorità Giudiziare e alle Forze dell’Ordine, peraltrogià stracariche di lavoro e sotto forza; prima di gridare al mondo intero di essere stato vittima di un attacco hacker, peggiorando quindi la situazione e dichiarando magari cose non effettivamente verificatesi, avrei semplicemente chiesto prove, evidenze, per porre l’ente in condizione di sapere effettivamente cosa in dettaglio fosse accaduto e decidere quindi la comunicazione pubblica conseguente.

Key4biz. E gli hacker, quelli veri, che dicono?

Raoul Chiesa. Siamo riusciti persino a fare ridere quelli di Anonymous Italia, che da sempre sono molto ironici e autoironici e non necessariamente “cattivi sempre e per forza“. Non ho visto nessun hack di LULZ o di altri gruppi di Hacktivism in questo triste periodo che il nostro Paese ed il resto del mondo stanno attraversando. Il problema vero è e sarà il Cybercrime che sa essere sempre attivo ed approfittarsi di target indifesi, senza team tecnici presenti, di entità ed asset digitali abbandonati a sé stessi, in una nazione che sta affrontando una delle crisi più grandi degli ultimi due secoli.

Key4biz. E adesso cosa accadrà?

Raoul Chiesa. Le conseguenze di questo “Al Lupo-Al lupo” saranno molto gravi.

E la cosa più grave è tutto quello che questo incidente cela, nasconde, tutto ciò che non viene detto e di cui nei prossimi giorni, settimane e mesi, probabilmente, verremo piano piano a conoscenza. È l’errore, sono gli errori che stanno alla base delle nostre falle di sistema. È il nostro Sistema-Paese che non è pronto a tutte quelle belle buzzword di cui leggiamo ogni giorno, su media e social, piuttosto che nei company profile di tante “wanna-be” aziende esperte di trasformazione digitale, smartworking, cybersecurity, banda larga, big data, articial intelligence…. il tutto applicato alla Pubblica Amministrazione Centrale e Locale del nostro Belpaese.

Key4biz. Siamo vittime della fiumana delle tecnologie?

Raoul Chiesa. No, qui non vince o perde la tecnologia, perché per usare le tecnologie bisogna partire dalle persone e dalle procedure e regole. Se la Pubblica Amministrazione appare, come in questa vicenda, abbandonata a sé stessa e senza le competenze adeguate, questo dipende in primis dai sistemi di assegnazione delle gare, tutte orientate al massimo ribasso, che vuol dire decadimento della qualità. Si usa questo sistema perché contribuisce ad immunizzare dalle corruttele, nel senso che ci sono margini minori, ma il risultato è che le corruttele continuano e la qualità tecnologica della PA è in molti casi non adeguata o in mani estere.

Fonte: key4biz.it