L'hackeraggio nel Lazio rivela l'urgenza di normare lo smart working
Se si va verso un sistema misto (metà tempo a casa e metà in ufficio), allora serve una cornice: mezzi informatici adeguati, regolazione contrattuale delle prestazioni “da casa” e loro valutazione, adattamento degli ambienti di lavoro “domestici”. E soprattutto sicurezza
Mentre si vota la legge sulla cybersicurezza l’intero sistema informatico del Lazio è stato messo sotto attacco. Quel che ne sappiamo, al momento, non è molto. Prima ci hanno detto del figlio di un impiegato che utilizzava per i suoi giochi lo stesso computer del padre in smart working (una versione che in seguito è stata screditata). Poi che è stato l’errore di una ditta esterna. Poi che tutto sarebbe partito da un dipendente di Engineering informatica (l'azienda però smentisce). Ci vorrà tempo prima di chiarire. Intanto, la settimana scorsa, tre importanti società olandesi di sicurezza informatica hanno lanciato un allarme, parlando di "una crisi nazionale" per il diffondersi di ransomware, cyberattacchi a scopo di ricatto. Emerge dunque la vulnerabilità, non solo in Italia, dei grandi sistemi a rete, la loro penetrabilità da porte laterali. E la loro fragilità una volta individuata la chiave giusta per introdurvisi. Non a caso il Recovery Plan dedica al tema più di qualche riga.
Si confermano due preoccupazioni. La prima è che lo smart working, così come si è realizzato sotto l’urgenza incalzante della pandemia, è stato tradotto tipicamente “all’italiana”, cioè improvvisato, disordinato, privo dei necessari inquadramenti e supporti di sicurezza. Lo attestano le dichiarazioni recenti del ministro Colao: il 95 per cento dei server della pubblica amministrazione sono a rischio sicurezza. La seconda è che siamo in ritardo, sia nella percezione dei rischi, sia nella costruzione dei sistemi di difesa. La legge stessa ora approvata e l’Agenzia che istituisce arrivano almeno due anni dopo. Mi dice un’amica che lavora da tempo in Gran Bretagna nel settore anti-Covid-19, sia nel municipio Newham di Londra, sia in una importante charity del medesimo campo: “I computer che ci danno a casa sono configurati in VPN (una sorta di tunnel iperprotetto tra l’utente e Internet). Tutti noi abbiamo un certificato personale per vedere i dati sensibili. Per accedere abbiamo un Pin e una password Bios (massima sicurezza), che ti forniscono loro. Poi hai una password login a windows, alla quale accedi solo dando tutte le credenziali del tuo modem. I tecnici del municipio hanno accesso remoto al tuo computer. Si fanno statistiche sui collegamenti (ora e durata). Se il VPN ha un problema, tutti i computer si fermano. Non puoi accedere a niente dal tuo computer privato”. Più o meno la stessa cosa avviene nell’Ong.
Io non mi intendo di informatica. Tuttavia ho fatto una piccola inchiesta intervistando amici che hanno lavorato in smart working. Le loro situazioni sono state in questi mesi le più disparate: molti hanno usato il loro computer privato.
Lo smart working non è per le pubbliche amministrazioni e forse neanche per il privato la panacea che si dice. Attenti a fantasticare su un mondo dove ciascuno dalla sua abitazione si collega con tutti e lavora in autonomia: il lavoro è una cosa seria, riguarda la vita delle persone, la loro psicologia, i rapporti sociali con gli altri, il loro movimento, la separazione tra spazio pubblico e vita privata. Nulla che sia stato valutato nel corso della pandemia: cucine e tinelli domestici trasformati in uffici, latitanza dei controlli in loco (e non parlo del fatidico cartellino ma della valutazione della produttività del lavoro), assenza di supporti. Basta per preoccuparci?
Probabilmente ha ragione chi dice che si deve tornare a lavorare in presenza. Tuttavia qualcosa, di questi mesi così spontaneisticamente trascorsi all’insegna del fai da te, rimarrà. Forse un turn over (già accade), metà tempo a casa e metà in ufficio; forse un decentramento di progetti e attività “indipendenti”; o contratti a part-time per il lavoro a distanza. Nel privato già molte aziende pensano di abbattere così i loro costi. Se, come è plausibile, si andasse a un sistema misto, allora servirebbe la cornice: i mezzi informatici adeguati; la regolazione contrattuale delle prestazioni “da casa”, e la loro valutazione; l’adattamento degli ambienti di lavoro “domestici”. E anche, direi soprattutto, la sicurezza. Questo quadro generale, in altri paesi previsto e costruito con costanza sin dall’inizio, da noi è ancora solo episodico.