Ancora la colpevolizzazione dello smart-working, anche per l’attacco hacker alla Usl 6 Euganea

Ancora una volta, per tutelarsi e per evitare di assumersi responsabilità sullo stato della sicurezza informatica nelle pubbliche amministrazioni, si preferisce scegliere la soluzione più semplice. Vi abbiamo già parlato dell’attacco hacker alla Usl 6 Euganea, avvenuto materialmente a inizio dicembre 2021, con i dati degli utenti che sono stati messi in rete e sul dark web a gennaio 2022. Al momento, un portale uzbeko sul quale erano comparsi i dati personali (dopo il rifiuto dell’azienda sanitaria di pagare il riscatto) è stato sequestrato. Non senza conseguenze: dal momento che gli hacker avevano fatto in tempo a mettere in evidenza delle situazioni sanitarie e familiari molto delicate. Non soltanto, infatti, sono stati resi noti referti di tamponi eseguiti anche a stretto giro, ma sono state pubblicate cartelle cliniche di utenti in condizioni molto difficili (casi di percosse tra le mura familiari, ad esempio, ma anche casi di anoressia o, ancora, di aborti e di mancata risposta alle terapie di malati oncologici). Un danno enorme per il sistema sanitario della regione Veneto, con oltre 9mila dati trafugati e pubblicati in rete. 

LEGGI ANCHE > Gli hacker che hanno messo sul dark web cartelle, dati e tamponi dell’Usl 6 Euganea

Attacco hacker alla Usl 6 Euganea, la colpevolizzazione dello smartworking

Nonostante il danno e nonostante lo stato insoddisfacente della sicurezza informatica a livello di amministrazione pubblica (le asl sono sempre più spesso bersaglio degli hacker, in questo caso del gruppo LockBit), si predilige sempre la soluzione più semplice per attribuire eventuali responsabilità. Il presidente della regione Veneto Luca Zaia, infatti, ha parlato di una ipotesi – che ancora, tra l’altro, non trova conferme ufficiali – di intrusione degli hacker a partire dal computer di un dipendente in smart-working.

«Sono cose già avvenute in Lazio e in altre aziende – ha detto Zaia -. Per legge abbiamo sempre l’obbligo di comprare servizi di tutela. Uno dei canali di ingresso di questi criminali è anche lo smart working: per esempio, l’utilizzo di password simili al lavoro e per le cose personali. Si stanno facendo delle indagini per capire se sono entrati da questa porta».

La colpevolizzazione dello smartworking in caso di attacco hacker

Gli aspetti critici di questa dichiarazione sono sotto gli occhi di tutti: innanzitutto, a quanto risulta, a parte le indagini citate da Zaia, non ci sono evidenze che l’attacco hacker sia effettivamente avvenuto a partire dal computer di un dipendente che si trovava in quel momento in smart-working. E in ogni caso, quando si tratta di dati personali sensibili come quelli trattati dalle aziende sanitarie, anche la condizione di smart-working dovrebbe essere tutelata, a livello di sicurezza informatica, preventivamente rispetto alla sua attivazione. Insomma, non è possibile prendersela con una forma di lavoro che si è rivelata indispensabile soprattutto in un periodo complicato come la pandemia, per attribuirle la colpa rispetto alla scarsa igiene digitale delle pubbliche amministrazioni.

Intanto, nonostante il blocco del sito uzbeko dove stavano circolando liberamente i dati personali di migliaia di cittadini che hanno nella Usl 6 Euganea il loro punto di riferimento sanitario, non è escluso che questi file possano circolare ancora nel dark web e in altri forum di riferimento del gruppo di hacker LockBit.

Foto/IPP/Gioia Botteghi – Roma