Era già successo a piccole e grandi aziende, perfino ad ospedali e ai militari, il ransomware non risparmia nessuno, neanche il registro elettronico! Un malefico virus si installa nei server e crittografa tutti i file, backup compresi, fino a quando tutta l’infrastruttura informatica diventa inutilizzabile. Per uscirne bisogna avere la chiave di sblocco che gli hacker ti mandano in cambio di un riscatto in bitcoin. Unica alternativa al pagamento è la prevenzione e un backup che non sia stato infettato per tempo…
La notizia è che uno dei registri elettronici più usati dalle scuole italiane è stato attaccato il 3 aprile da Ransomware e le scuole hanno avuto un black out di difficile soluzione. La buona notizia è che i dati erano ancora presenti e che, dopo 6 giorni di disservizio, le scuole hanno riavuto il loro registro elettronico. L’amministratore dell’azienda ha inoltre dichiarato in un’intervista che nessun riscatto è stato pagato ai cybercriminali responsabili dell’azione.
Ora però ci sia consentita una riflessione più ampia sull’ in-utilità di tutta la normativa inerente la privacy e la sicurezza informatica: Il codice in materia di protezione dei dati personali e il GDPR caricano anche sulle scuole onerose procedure di “protezione dei dati” che in realtà nulla possono contro questo tipo di reati. Si perché un attacco informatico di questo tipo corrisponde a diversi reati già previsti dal codice penale, con pene anche molto severe.
Come può, una scuola che ha perso il registro elettronico, ora dimostrare che aveva preso tutte le misure necessarie per proteggere i suoi dati? E se un domani quei dati su cui hanno messo mano gli hacker venissero venduti sul dark web? Quali documenti sottoscritti dalla scuola, quali policy, quali patti di corresponsabilità, quali Master Data Protection Officer (DPO) sarebbero in grado di impedirlo? nessuno!
Tutti i documenti prodotti e sottoscritti, oltre ad essere in questo caso inutili, sembrano quasi dare parte della responsabilità al povero malcapitato e giammai agli introvabili cybercriminali. Alla fine sei tu che non hai adottato misure adeguate per proteggere i tuoi dati!?!
Per fortuna anche le aziende devono rispettare il GDPR, e quindi l’eventuale responsabilità è certamente del fornitore del registro elettronico e certamente non della scuola che si è affidata ad un servizio online. Quindi? Che senso hanno tutte queste procedure? queste linee guida? fanno solo perdere tempo in burocrazia o ci aiutano a proteggere meglio i dati? Possibile che compilando cartacce, elaborando documenti, sottoscrivendo procedure e liberatorie, i server che usiamo – che non sono neanche nostri! – siano poi davvero in grado di resistere meglio agli attacchi informatici?
Proteggere una infrastruttura informatica da attacchi sempre più agguerriti è un compito sempre più difficile che richiede competenze tecniche fuori dal comune, il GDPR con tutta la buona volontà non contiene queste competenze ma solo oneri e procedure leguleie.
https://www.punto-informatico.it/axios-registro-elettronico-tornato-online/
https://www.punto-informatico.it/axios-registro-attacco-ransomware-ripristino/
https://www.punto-informatico.it/axios-i-dati-del-registro-non-andranno-perduti/