Regione Lazio, il ransomware e la politica tecnologica italiana

3 minuti di lettura

Il ransomware che ha bloccato i sistemi IT di Regione Lazio non è un fatto nuovo sia per il settore pubblico sia per quello privato; con una certa frequenza, infatti, gli organi di informazione danno conto di questa o quella struttura colpita da attacchi di varia natura.

Nello stesso tempo, questa vicenda è la prova della distanza fra le dichiarazioni di principio, dei “protocolli di intesa” e dei “tavoli di lavoro” sulla sicurezza informatica (i cui risultati non vengono pubblicizzati) e la realtà effettuale.

Le pubbliche amministrazioni centrali e locali sono esposte da sempre ad attacchi di vario tipo come defacement, accessi abusivi, furti e perdite di dati, infezioni da virus, ma anche blocchi funzionali e diffusione dei dati personali di cittadini causati da errori e superficialità di chi li amministra.

Quando accade un incidente, l’approccio alla gestione della crisi è sempre lo stesso: concentrarsi sulla causa prossima evitando di occuparsi di quelle meno immediate, ma più rilevanti.

Dunque, “è colpa degli hacker” e non delle scelte di progettazione dell’infrastruttura. Oppure “il sistema si è bloccato” come se una macchina vivesse di vita propria. Oppure ancora, “siamo vittima di un attacco sofisticatissimo” e non della trascuratezza nella gestione dei sistemi. D’altra parte, di fronte a criminali dalle capacità straordinarie, come ci si può difendere?

Non è strano che l’atteggiamento delle “vittime” e quello dei media sia improntato su considerazioni di questo tipo, frutto del desiderio – neanche troppo inconscio – di esaltare le capacità dell’avversario per rinforzare la percezione di ineluttabilità del fatto e dunque l’assenza di responsabilità istituzionali e individuali.

Parlando di responsabilità, e veniamo al punto, non possiamo tuttavia più permetterci di ignorare temi enormi cone quelli della qualità del software che fa funzionare piattaforme e apparati in uso alla pubblica amministrazione, dell’esternalizzazione —cloudsourcing— dei servizi al cittadino e, in sintesi, del controllo della pubblica amministrazione digitale sugli strumenti che utilizza.

Agli albori della digitalizzazione, fra la fine degli anni ’80 e i primi anni ’90, i grandi temi della sicurezza, del controllo sul software e dell’accesso all’informazione erano già noti e teorizzati. Eravamo già arrivati al crossroad e, come Robert Johnson, abbiamo fatto il patto con il diavolo. Lui per suonare il blues, noi per creare un colosso digitale dai piedi d’argilla, reso ancora più fragile dalle logiche di un settore industriale che privilegia l’obsolescenza programmata e il release early, release often senza troppa attenzione al resto. Non si può generalizzare, ma è un fatto che anche grandi realtà internazionali del settore IT che dovrebbero dare garanzie di affidabilità si sono rivelate, alla prova dei fatti, non all’altezza delle promesse.

La situazione sembra senza speranza, eppure, una soluzione a portata di mano c’è e si chiama riuso dei software per la Pubblica Amministrazione. Il Codice dell’amministrazione digitale prevede già da tempo che le amministrazioni utilizzino prevalentemente software open source e AgID svolge un ruolo essenziale in questo processo.  

Al netto di visioni radicali che demonizzano altre forme di gestione della proprietà intellettuale sul software, dare spazio alla libera circolazione dei software è un modo per incrementarne qualità e sicurezza.

Non si tratta, per essere chiari, di estromettere il settore privato dall’interazione con lo Stato, ma di far sì che in questo rapporto siano le esigenze dello Stato a ricevere maggior attenzione rispetto ai (pur legittimi) interessi privati volti al profitto.

Cosa c’entra tutto questo con il ransomware che ha colpito Regione Lazio? Sul brevissimo periodo, praticamente nulla, sul medio-lungo, moltissimo.

L’ecosistema digitale pubblico è diventato così complesso che è difficile pensare di continuare a gestirlo con approcci basati sui modelli industriali di oggi sia per quanto riguarda i prodotti sia per quanto riguarda il loro utilizzo.

Non si può più delegare alle Big Tech la decisione sul quando rilasciare aggiornamenti o correggere vulnerabilità, così come non si può più sperare che qualche bug hunter decida di rendere pubblico uno zero-day invece di venderlo sul mercato nero. Riprendersi la sovranità digitale passa anche per scelte di questo tipo.

Ciò che serve è la volontà politica di imprimere un vigoroso impulso in questa direzione, coinvolgendo anche le università in uno sforzo certamente titanico ma fondamentale per il Paese. Coinvolgere le università nello sviluppo e nel miglioramento dei software per la Pubblica Amministrazione consentirebbe una verifica pressocché costante della loro sicurezza. Avere persone che, all’ingresso nel mondo del lavoro, hanno già conoscenza e competenza sulle piattaforme utilizzate dagli uffici grandi e piccoli rende più agevole gestirli in sicurezza. Sapere come sono fatti i programmi consente al settore privato di sviluppare una concorrenza basata su qualità ed efficienza invece che su scontistica e tempi di pagamento.

È facile criticare una proposta del genere sostenendo che non è fattibile, che le università non sono in grado di raccogliere la sfida (e perché mai?) o che si tratta di un’utopia radicale priva di valore concreto. Molto più difficile è rimboccarsi le maniche e provare a trasformarla in realtà.