Come tutelare con efficacia il patrimonio informativo e documentale del nostro Paese? La domanda torna a chiedere con urgenza una risposta a seguito dell’ultimo episodio: l’attacco hacker del gruppo russo Lockbit 3.0 contro la pubblica amministrazione. L’attacco, che risale alla prima mattina dell’8 dicembre, ha colpito Westpole, un cloud provider qualificato utilizzato da Pa Digitale SpA, software house che fornisce servizi a circa 1.300 enti della pubblica amministrazione. Ieri, l’Agenzia per la cybersicurezza nazionale ha fatto sapere che è avvenuto il ripristino di “tutti i servizi impattati, nonché il recupero dei dati oggetto dell’attacco per più di 700 dei soggetti pubblici nazionali e locali”. Ma cosa è andato storto? E come poter evitare attacchi simili in futuro? Anorc, l’Associazione Nazionale Operatori e Responsabili della Custodia di contenuti digitali, sottolinea che Westpole è un “cloud provider qualificato, quindi astrattamente in regola con gli standard di sicurezza definiti per il nostro Sistema Paese”. Il danno è consistito in una “chiusura a chiave” di database e sistemi informativi, ma per la natura dell’attacco non dovrebbe aver determinato esfiltrazione di dati. Resta però un grave databreach “perché il danno si è propagato a dismisura, investendo sistemi informativi e documentali di tantissime PA, centrali e locali, le quali facevano affidamento su servizi di fornitori che utilizzavano Westpole, proprio perché è nell’elenco dei cloud provider migliori“, sottolinea Andrea Lisi, avvocato, esperto di digitalizzazione, privacy e diritto dell’informatica e presidente di Anorc Professioni.
Chi si è affidato a Westpole, quindi, non ha sbagliato. “PA digitale, uno dei fornitori che si è servito di questo provider qualificato, è conservatore iscritto ad Anorc. E son sicuro che il sistema di conservazione, strutturato secondo le Linee Guida AgID, abbia retto all’impatto del databreach- aggiunge Lisi-. Per carità, nulla può essere sicuro al 100%, ma dalle caratteristiche che ho letto in merito alla tipologia di attacco informatico posso essere ragionevolmente convinto che un presidio di security, affidato a un robusto sistema archivistico digitale poggiato su un sistema di endo conservazione a norma, avrebbe retto”.
Il problema, dunque, non è PA digitale, ma resta la domanda di cosa fare per tutelare con efficacia il patrimonio informativo e documentale del nostro Sistema Paese. “Le regole della conservazione dei documenti informatici ci sono e vanno applicate e fatte applicare. E, se il sistema Paese si poggia interamente e inevitabilmente sul Cloud, allora la security deve essere affidata a misure elevatissime e monitorate costantemente (e non affidata a semplici autodichiarazioni)” conclude Lisi.
Per l’avvocato Luigi Foglia, segretario generale Anorc, “ormai attacchi alle PA sono praticamente quotidiani. Quello che ci fa preoccupare in questo caso è che sia stato colpito un fornitore qualificato come Westpole che dovrebbe avere tutte le carte in regola. Delle due, l’una: o il fornitore non ha rispettato tutte le regole oppure le stesse non sono in grado di assicurare la piena protezione del nostro patrimonio informativo. Probabilmente è arrivato il momento di avviare una profonda riflessione sull’efficacia delle regole che dovrebbero assicurare la tenuta dei sistemi anche alla luce delle numerose forme di attacco sulla scena e sull’attività di vigilanza, per fare in modo che le qualifiche non si trasformino in mere dichiarazioni”.