Ci si preoccupa di installare barriere hardware e software e scongiurare indebite penetrazioni o forzature.
Inutile stendere filo spinato o cocci di vetro sulla sommità dei muri di cinta se le persone autorizzate lasciano spalancata la porta, consentono che qualcuno si introduca all’interno accodandosi nella loro scia o addirittura si fanno rubare le chiavi.
Quanto è accaduto al sistema informatico della Regione Lazio è conseguenza diretta di una impreparazione globale dinanzi ad un problema noto a tutti da almeno tre anni. In quell’arco di tempo – che nella civiltà digitale equivale ad un’era geologica – sono stati sviluppati programmi capaci di intercettare queste forme di attacco e di scongiurare l’indebita cifratura delle informazioni che rende inutilizzabili i database e impedisce l’erogazione di qualsivoglia servizio “alimentato” dalla conoscenza di certi dati.
Nel medesimo intervallo si sarebbe dovuto procedere all’educazione di chi adopera strumenti elettronici che per loro natura sono destinati ad essere impiegati anche fuori dall’ufficio e a convergere su sistemi centrali che condividono – purtroppo – anche le fregature.
In termini elementari, a voler fare un esempio di facile comprensione in tempi di pandemia, sono stati realizzati dispositivi di protezione (pensiamo a mascherine, guanti e gel disinfettanti) ma ci si è dimenticati di fornire agli utilizzatori le dovute istruzioni per sfruttare pienamente le opportunità di difesa.
Le raccomandazioni troppo soft e i tiepidi consigli dovevano assumere le vesti di regole mandatorie, caratterizzate da inderogabile cogenza, corredate da sanzioni per un eventuale mancato loro rispetto. L’impiegato o chi altro lavora con pc, tablet o smartphone deve essere guidato e incanalato nel tenere comportamenti conformi a ben precise prescrizioni di sicurezza, deve essere messo in condizioni di conoscere e capire quali sono i rischi e le insidie, deve venire responsabilizzato e reso collaborativo.
Se non matura la necessaria consapevolezza dei pericoli che incombono, è inutile sperare che le difese possano sortire il loro effetto. Come per i medicinali è fondamentale osservare le “condizioni d’uso” avendo ben presenti le controindicazioni, gli effetti collaterali e ogni altro elemento di contorno. La somministrazione dovrebbe certamente avvenire sia prima sia dopo i pasti.
Il ruolo della preparazione professionale assume ancora maggiore importanza in caso di smart working e in quel contesto hanno debito rilievo le iniziative di tipo organizzativo. Lavorare da casa o comunque da luogo diverso dalla sede aziendale impone l’utilizzo di apparati che siano dedicati esclusivamente alle attività d’ufficio. E’ impensabile che il dipendente si avvalga dello stesso computer con cui nel tempo libero frequenta i social network o apre la posta elettronica personale o consente al figlio di giocare con i videogames.
La politica del cosiddetto BYOD (Bring Your Own Device), che permette di sfruttare i dispositivi di proprietà dell’utente anche quando lavora, è da considerarsi deleteria. Al comportamento “sbadato” o semplicemente superficiale dell’utente, si aggiunge anche la non idoneità di quel che viene impiegato per connettersi. Travasare un virus o iniettare un ransomware diventa un gioco da ragazzi anche per il meno evoluto malintenzionato.
