Acito: «L'attacco hacker era evitabile»

HO VISSUTO in prima persona, da paziente, i problemi che l’attacco hacker ha creato al Madonna delle Grazie, problemi subiti anche dagli altri ospedali lucani. Dopo il dovuto e sentito ringraziamento al personale medico e paramedico dei reparti di cardiologia e radiologia, per la professionalità, la dedizione ed il senso di umanità che offrono a tutti i pazienti, non posso tacere sui problemi che l’attacco hacker ha creato in termini di velocità e impegno delle procedure mediche e logistiche. Dalla impossibilità di accedere alla banca dati per confrontare gli esami in corso con quelli memorizzati nel fascicolo sanitario dei pazienti, per consentire un riscontro sulla evoluzione della malattia, alla gestione degli esami di laboratorio o dei servizi logistici, al lavoro di trascrizione manuale che toglie tempo prezioso da dedicare alle funzioni mediche di profilo più alto.

Nel condividere un problema così drammaticamente complesso, ho ricordato due passaggi; il primo: nella proposta di modifica al piano strategico regionale 2021-2030, scrivevo che nel PO-FESR 2014-2020 erano previste risorse per la realizzazione di un Data Center regionale con l’obiettivo di memorizzare i dati provenienti, tra le altre, anche dalle aziende sanitarie regionali, per favorire la continuità operativa garantendo la sicurezza e la conservazione sostitutiva dei dati. Il progetto del Data Center aveva, sicuramente, tenuto conto della tecnologia disponibile al momento della gara di evidenza pubblica; ma sappiamo tutti la velocità di obsolescenza delle tecnologie informatiche soprattutto in termini di cyber sicurezza. Nel documento evidenziavo che il Data Center era un investimento ad alta intensità di capitale che andava rinnovato mediamente ogni 3-4 anni, con costi ricorrenti abbastanza alti perché è richiesta una struttura di gestione altamente specializzata in più ambiti (servizi Cloud e sicurezza), oltre ai costi dei servizi connessi come elettricità e guardiania. Inoltre un investimento consistente come un Data Center non comporta ricadute occupazionali distribuite sul territorio.

La soluzione, scrivevo, è inserita nel PNRR che prevede la realizzazione di infrastrutture di Data Center per realizzare il Cloud Nazionale della PA su cui tutti gli enti dovranno convergere e su cui sarà effettuato un investimento considerevole sugli aspetti di sicurezza informatica. Questa proposta nasceva dalla considerazione che i servizi Cloud rientrano in un mercato che vede la competizione internazionale di soggetti rilevanti con investimenti di miliardi di Euro/anno e tecnologia in forte evoluzione e con importanti aspetti di sicurezza informatica. Il secondo: il piano strategico, approvato con legge regionale, accoglieva solo in parte la mia proposta prevedendo, nella “Azione 20” la conferma del progetto in corso di costruzione del nuovo Data Center. Un progetto rivolto non solo alle strutture sanitarie regionali (dipartimenti, aziende sanitarie ed ospedaliere, enti sub regionali ecc.) ma, come previsto negli obiettivi del PO FESR, a tutti gli enti locali del territorio. Una iniziativa che sarebbe stata riconsiderata alla luce dell’orientamento assunto dal PNRR per la realizzazione di infrastrutture di Data Center per realizzare il Cloud Nazionale della PA su cui tutti gli enti dovranno convergere e su cui saranno effettuati investimenti considerevoli sugli aspetti di sicurezza informatica.

Servizi di sicurezza che prevedono costanti azioni di monitoraggio e di aggiornamento dei sistemi di prevenzione e di contrasto di un attacco hacker o cibernetico. Non ci risulta che, dopo oltre due anni, la regione abbia riconsiderato la inderogabile necessità di utilizzare il cloud previsto dal PNRR, per cui qualcuno dovrebbe chiedersi se è arrivato il momento di abbandonare il Data Center regionale; il riscatto richiesto in bit-coin (da fonti non ufficiali sembrerebbe l’ equivalente di due milioni di euro) ed i disservizi creati al settore sanità, lungi da essere terminati, comportano danni economici di difficile previsione, tanto da far configurare il Data Center regionale come strumento di profonda diseconomia, anche alla luce degli ulteriori potenziali futuri disservizi. Forse è arrivato il momento di considerare seriamente, dopo oltre due anni, di convergere agli obiettivi previsti dal PNRR in termini di cyber sicurezza ed abbandonare il Data Center regionale.

*Ex consigliere regionale