Le indagini forse porteranno a scoprire chi ha colpito. Le attività di auditing possono invece rilevare chi non ha fatto o non ha saputo fare il suo mestiere, aprendo la strada ai pirati informatici non avendo predisposto idonee ed efficaci misure di sicurezza. Aspettiamo su entrambi i fronti di scoprire, con legittima curiosità, cosa ci sia dietro al penoso black-out digitale di questi giorni.
Nella serata del 4 agosto arriva notizia di un’altra intrusione sui sistemi informatici della Regione Lazio, “intrusione” più che legittima ad opera stavolta dei magistrati della Corte dei Conti ed è lo stesso sito web della magistratura contabile a darne notizia.
La tutt’altro che “buona nuova” riguarda la deliberazione n° 70/2021/GEST della Sezione Regionale di Controllo per il Lazio, provvedimento intitolato “La gestione dei servizi informatici nel Sistema Sanitario della Regione Lazio negli anni 2018-2019.
A dispetto dell’approvazione del bilancio che potrebbe indurre a non continuare a leggere il prosieguo della pagina, si leggono già nel comunicato stampa “le principali questioni rilevate”.
Siccome si potrebbe pensare a libere interpretazioni di chi scrive riportiamo – anche per sostanziale pigrizia – il testo letterale di quanto appare online sul sito della Corte dei Conti limitandoci a renderlo semplicemente più leggibile.
I magistrati hanno anzitutto rilevato “la presenza, su un medesimo tipo di prodotto, di una pluralità di differenti programmi e di sviluppi applicativi” e quindi una serie di “doppioni” probabilmente inutili.
La deliberazione evidenzia pure la presenza “di diverse ditte fornitrici dei software, dell’assistenza e della manutenzione con emersione di scarso grado di colloquio tra le aziende sanitarie, che si ritiene utile superare attraverso il proficuo confronto sui bisogni comuni e sulla scelta dei prodotti maggiormente idonei alle proprie esigenze, fino a pervenire a programmi condivisi, che possano consentire maggiore efficienza, risparmio di spese e maggiore semplicità di uso, dato che trattasi di enti aventi medesime caratteristiche e simili necessità”. Quando si legge che sarebbe necessario “il proficuo confronto sui bisogni comuni e sulla scelta dei prodotti maggiormente idonei alle proprie esigenze” si è portati a pensare l’acquisto e la messa in esercizio di qualcosa che non serve o non risolve i problemi che hanno portato a comprare questo o quel software.
La circostanza è confermata quando sul sito della Corte si legge di “problematiche legate più a forniture e utilizzi parziali non perfettamente integrati, dovute a sovrapposizioni, alla presenza di resistenze nell’utilizzo di alcuni programmi e ad altre criticità di gestione amministrativa”.
I magistrati in termini garbatamente edulcorati hanno osservato che non ci sarebbero “attente considerazioni in merito alle modalità di acquisizione dei programmi, alla convenienza delle relative scelte e alla congruità dei costi sostenuti, con raccomandazione, in attesa della realizzazione di una più pregnante presenza della Regione Lazio nella fase di coordinamento degli acquisti, ad una attenta verifica di ogni scelta di approvvigionamento, auspicabilmente attraverso il proficuo confronto tra tutti gli enti”.
Tra le note dolenti emerge una discreta (ed onerosa) confusione “in merito allo stato di attuazione e funzionamento dei programmi condivisi tra la Regione e gli enti del SSR, inclusa la partecipazione della società LAZIOCrea”. In particolare la Corte “rileva che l’impiego unitario degli stessi non impedisce l’acquisto, da parte di ciascuna azienda, di moduli sovrapposti a quelli regionali, che risultano però mal programmati e scoordinati, con costi aggiuntivi necessariamente ridondanti”.
La Sezione Regionale di Controllo della magistratura contabile, poi, “rileva la necessità di implementare e migliorare la fase attuativa della pur presente programmazione regionale in materia, con rafforzamento delle conseguenti fasi di coordinamento e controllo dell’intero settore, anche al fine di realizzare nei tempi previsti i progetti da diversi anni in cantiere quale il sistema contabile unitario, funzionale al percorso attuativo della certificabilità, ancora oggi in fase di implementazione”.
Il quadro di situazione non sembra confortante.
A fronte delle non tenere considerazioni generali della Corte, cosa può saltare fuori da un esame critico delle precauzioni adottate a tutela del patrimonio informativo della Regione Lazio?
La sicurezza dei sistemi rientra forse tra “i progetti da diversi anni in cantiere?”
Articolo pubblicato su infosec.news
Articoli correlati
I centri medici di Synlab sotto attacco hacker. Tutti i dettagli sulla società
Giavazzi scopre che il debito pubblico è buono, ma solo quello europeo. Gulp
Forza Draghi, anzi no: abbasso Draghi. Girotondo di opinioni
Sorprese e amnesie di Antonio Di Pietro
