Cosa sappiamo degli attacchi informatici che hanno colpito il nostro Paese negli ultimi mesi? Quelli che hanno paralizzato per ore i siti di Senato, Istituto superiore di Sanità, ACI, Polizia di Stato, CSM, Agenzia delle Dogane, ministeri di Esteri, Difesa, Istruzione e Beni Culturali.
Reso inutilizzabili i servizi di prenotazione e analisi degli ospedali Fatebenefratelli, Sacco, Buzzi, Macedonio Melloni e di altre 33 sedi territoriali. Provocato disagi ai viaggiatori in transito presso gli aeroporti di Linate, Malpensa, Bergamo, Genova e Rimini e ancora prima a quelli di Trenitalia. Attacchi improvvisi, oppure annunciati. Dimostrativi o propedeutici a qualcosa di più grave. Tutti però ingabbiati dentro a una sostanziale mancanza di informazioni. Pochi, pochissimi i commenti ufficiali. Il copione che si preferisce seguire è un altro. Derubricazioni, banalità assortite, verità alternative e attribuzioni di responsabili per procura, individuati a seconda del tifo prevalente della platea di astanti. Quasi mai qualcuno che provi a chiarire natura e tipologie di un attacco. Né tantomeno a individuare responsabilità e possibili conseguenze. Un andazzo il cui effetto – per molti versi straniante – è quello alla lunga di cedere alla tentazione di attribuire alla realtà una natura illusoria, quasi un “velo” dietro al quale si celerebbe la verità che non si può dire, insieme alle risate di chi ha tutto da guadagnare da questa deriva.
Il GDPR impone ad aziende e organizzazioni di comunicare al Garante i dettagli di un attacco che comporti indisponibilità, perdita o furto di dati personali. Allo stesso modo, i soggetti che rientrano nel Perimetro di sicurezza nazionale hanno l’obbligo di segnalare gli incidenti rilevanti all’Agenzia per la cybersicurezza. Quando però si tratta di gestire la comunicazione delle crisi informatiche, latitano sia le capacità professionali che il rispetto per clienti, pubblico e media. L’improvvisazione è lo spartito prevalente al quale solo di rado fa da contrappunto un po’ di buon senso. Bufale ed esagerazioni dilagano perché la scarsa trasparenza fornisce loro il brodo di coltura ideale. Commentatori ed esperti usano toni apocalittici per descrivere un attacco DDoS e le sue conseguenze, mentre passano sotto silenzio i moniti di chi prova ad aprirci gli occhi su ritardi e inadempienze. In mancanza di fatti è il dominio delle opinioni. Eppure gli attacchi informatici, per quanto ambiguo possa essere il termine, non sono tutti uguali. L’impatto di un attacco DDoS non può essere equiparato a quello di un ransomware che cifra tutti i documenti presenti sui server; così come il blocco di un impianto di produzione produce effetti diversi rispetto all’indisponibilità della posta elettronica.
Soprattutto, la scarsa informazione fa il gioco dei responsabili di questi scempi, che mascherano tutta la propria incompetenza, trincerandosi dietro al silenzio. Nella security come altrove, ancora troppo spesso troviamo personaggi inadeguati al ruolo e che gettano discredito sulle aziende e le istituzioni che rappresentano. Sempre perfettamente a loro agio nel pavoneggiarsi alle kermesse di settore, ammorbandoci con progetti strampalati. Molto meno a proporre iniziative davvero percorribili. Sono quelli a cui oggi gli hacker russi forniscono ancora una volta un altro alibi.
