A seguito delle numerose segnalazioni pervenute e della notifica di data breach effettuata dall’INPS, in relazione alla violazione di dati personali che ha riguardato il suo sito istituzionale, il Garante per la protezione dei dati personali ha avviato un’istruttoria allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati.
Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità richiama l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti.
Come si presenta oggi il sito?
Questa mattina il sito INPS funziona. “Oltre mezzo milione domande, il sito regge”, ha detto Nunzia Catalfo, ministra del lavoro. Il day after della Caporetto digitale inizia con una buona notizia, anche se, nel 2020, vedere un sito della pubblica amministrazione accessibile in modo scaglionato è una nuova brutta immagine di digitalizzazione dei servizi erogati dallo Stato.
Oggi il sito INPS è “aperto” dalle ore 8.00 alle 16:00 per patronati e consulenti e dalle 16.00 per i cittadini.
Milioni di italiani vogliono sapere qual è stata la causa del pasticcio di ieri.
- Perché il sito è andato in tilt?
- Ci sono stati davvero gli attacchi hacker?
- Sono stati gli attacchi hacker la causa del data breach?
- Quanti milioni e quanto personale ha l’Inps a disposizione per il settore informativo?
Cercheremo di dare le risposte grazie alla lettura di tre quotidiani in edicola oggi.
Sito INPS down, cosa è successo nel dettaglio
La cronaca puntuale e tecnica è di Valentina Conte su Repubblica:
“Tra le 9 e le 10 di ieri Inps decide di alleggerire il sovraccarico del traffico dai server interni e chiede a una società appaltatrice di sviluppare un ‘caching’, una sorta di sito specchio su cui convogliare il traffico. E a quel punto il disastro…” che ormai è noto a tutti. Per circa 30 minuti chi accede al sito con le proprie credenziali si trova di fronte i dati di altri utenti. Un data breach o un data leak? Saranno le autorità competenti ad accertarlo, in primis il Garante privacy.
(Sì c’è una differenza tra data breach e data leak).
Dopo che la falla è venuta a galla, e raccontata sui siti web e sui social con un’ulteriore violazione della privacy dei soggetti interessati, l’INPS ha deciso di rientrare sui propri server.
Poi alle 11.51 il primo attacco hacker, racconta ancora Repubblica, poi il secondo, che porta l’Istituto a sospendere il sito fino alle 17:30.
Poi è stato di nuovo online ed il firewall è riuscito questa volta a reggere il terzo attacco hacker.
“Gli hacker non hanno rubato nulla, volevano testare solo la resistenza del sito e creare confusione”, continua Repubblica, che ha sentito una fonte interna all’INPS: “Abbiamo messo una batteria di server nuovi, abbiamo comprato di tutto di più, ma nessun sito al mondo può reggere 5 milioni di accessi simultanei”.
Gli errori più gravi, anche quelli di Comunicazione
Vero, gli intasamenti erano imprevedibili, ma non inevitabili. L’errore più grave commesso da INPS è stato proprio questo, farsi trovare impreparato ad un traffico eccessivo. Ma non impossibile da gestire: i giganti del web allora come fanno?
Oggi è facile dire che la scelta di scaglionare l’accesso al sito andava presa sin da subito. E gli stress test sono stati effettuati? Al momento abbiamo assistito alla Caporetto digitale. Un’ennesima dimostrazione dell’improvvisazione della Pa digitale.
Inoltre, a leggere oggi i giornali non vi è mai una parola di ‘scusa’ verso i cittadini da parte dei dirigenti INPS.
“Sì, ma adesso è facile sparare sulla Croce Rossa”, risponde, stizzita al Corriere della Sera la direttrice generale di INPS, Gabriella Di Michele, che giustifica l’accaduto, come il presidente dell’Istituto Pasquale Tridico e il premier Giuseppe Conte, con l’attacco hacker: “C’è stato anche un attacco hacker, che è partito verso le 11 di ieri mattina”.
Ci sono stati davvero gli attacchi hacker?
Ci fidiamo di quanto dichiarato dall’INPS, ed attendiamo i risultati delle indagini.
Per questo gli investigatori Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche), articolazione della Polizia Postale, stanno vagliando i presunti tentativi di accesso al rete dell’Istituto. La valutazione riguarderà̀ i server Inps e la ricostruzione, a ritroso, di tutti gli indirizzi Ip che negli ultimi giorni hanno tentato di accedere al portale.
Al momento, però, nessun fascicolo è stato aperto dal procuratore capo di Roma, Michele Prestipino. Il magistrato, infatti, intende prima analizzare l’eventuale relazione degli investigatori. Non è escluso, inoltre, che nei prossimi giorni lo stesso Tridico depositi un esposto.
L’attività informatica dell’Inps conta su un budget di 424 milioni quest’anno
L’attività informatica dell’Inps è sostenuta da 658 dipendenti diretti (sui 28.700 attualmente in organico) e conta su un budget di 424 milioni quest’anno (292 di spesa corrente il resto per investimenti), circa il 20% delle spese per il personale, il 10% di quelle complessive di funziona- mento. “Con la legge di Bilancio abbiamo perso 250 milioni che ci avrebbero aiutato anche per gli acquisiti di beni e servizi legati all’informatica” ha ricordato al Sole24Ore la direttrice generale, Gabriella Di Michele. “Speriamo di poter recuperare quelle risorse con la conversione in legge del Dl Cura Italia, sarebbero strategiche”.
Si parla di più fondi all’INPS, ma dai vertici dell’INPS nessuna scusa ai cittadini, che ieri hanno vissuto il disastro digitale dell’Istituto di previdenza sociale, che promette di erogare i soldi entro il 15 di aprile.
“Scusateci“. Invece, inizia così il comunicato che Marco Stancati, docente di ‘Comunicazione per il management d’impresa’ alla Sapienza Università di Roma, ha riscritto, affermando che in quello di ieri dell’INPS apparso sul sito offline “manca del senso empatico della comunità che sta affrontando una stessa terribile emergenza: l’astratto linguaggio burocratico non ascolta, non si scusa e mantiene assurde distanze”.
“Velocizzeremo al massimo l’iter. Non aspetteremo di ricevere tutte le domande prima di procedere alla liquidazione, ma partiremo prima”, ha promesso il ministro del Lavoro Nunzia Catalfo.