Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Dentro alla ULSS6. Intervista a Maria Teresa Turetta segretaria del CUB Veneto.

Massimiliano Brolli : 17 Febbraio 2022 07:42

  

Autore: Massimiliano Brolli

Abbiamo parlato molto dell’incidente ransomware avvenuto alla ULSS6 su questo Blog, analizzandolo dal punto di vista tecnico, scoprendo come operano le le cyber gang.

Abbiamo conosciuto LockBit 2.0, e le sue tattiche tecniche e procedure (TTPs), abbiamo descritto i dati esfiltrati dalle infrastrutture informatiche della ULSS6 seguendo da vicino la vicenda attraverso la nostra Timeline, ma non abbiamo mai visto la cosa dall’interno, attraverso le persone che hanno subito questo incidente di sicurezza informatico.

Parliamo per primo dei pazienti e successivamente dei medici e degli ospedalieri che sono stati travolti da questa vicenda, costretti a gestire questa emergenza con “carta e penna”, riportandoci indietro nel tempo come mai era accaduto prima.

Perché oltre all’informatica, agli incidenti di sicurezza, le aziende sono fatte di persone e nel caso specifico di un ospedale, sono i medici e il personale sanitario quelli più colpiti in quanto non possono più offrire un servizio loro malgrado, che si tratta del compito più importante tra tutti ovvero “prendersi cura delle persone malate” a causa dell’impossibilità di accedere alle infrastrutture informatiche.

La digitalizzazione oggi abbraccia tutto, da una banale lavastoviglie, ad una macchina per il caffè fino ad arrivare ai nostri laptop, agli ascensori, ad una normale macchina fino ad abbracciare l’intero ecosistema di una grande rete di una azienda o di un grande ospedale.

Dopo la dichiarazione del presidente Zaia che ha riportato “ora investiamo in sicurezza informatica”, abbiamo voluto sentire una voce autorevole all’interno della vicenda, la quale ha avuto a che fare con il personale dell’ULSS 6, ovvero Maria Teresa Turetta, segretaria della Confederazione Unitaria di Base (CUB) Veneto alla quale ci ha concesso gentilmente una intervista.

RHC: RHC ha molto parlato di questa vicenda, ma non abbiamo mai affrontato il tema umano, ovvero delle persone che lavorano nel comparto sanitario della ULSS6. Come stanno vivendo questa situazione i medici e il personale ospedaliero?

Maria Teresa Turetta: Sono passati da eroi a unitori, hanno lavorato in condizioni indicibili nella prima fase della Pandemia, privi delle più elementari tutele di sicurezza, senza adeguati DPI, con turni impossibili da sostenere e diritti fondamentali cancellati dall’emergenza: no ferie, no riposi, infortuni e morti sul lavoro a causa del Covid 19. Successivamente, con l’introduzione del vaccino obbligatorio per legge, sono stati perseguitati fino alla sospensione dal servizio e dal salario, con provvedimenti non coerenti con la norma. Il risultato ottenuto è stato quello di centinaia di operatori e medici sospesi che ha provocato tagli ad alcuni servizi sanitari. Nonostante il vaccino, i contagi sono dilagati tra gli operatori che sono rimasti in servizio dimostrando palesemente le falle della campagna vaccinale come prescrizione a tutela della salute nei posti di lavoro.

RHC: Parallelamente all’incidente della ULSS6 stiamo assistendo ad una vicenda analoga alla ASL Napoli 3 Sud, dove per un problema al sistema informatico, l’ospedale non è riuscito a calcolare l’importo degli stipendi pagando la metà dello stipendio base. Questo è un episodio sconcertante, soprattutto verso questa categoria che ad oggi risulta così sotto pressione dall’emergenza sanitaria. In ULSS6, si stanno avendo dei disagi al personale, oltre ai conosciuti disagi informatici? Se si, ce li può raccontare?

Maria Teresa Turetta: E‘ incredibile che avvenga tutto ciò e la beffa amara degli stipendi dimezzati alla ASL di Napoli ha superato ogni immaginazione. Purtroppo mentre il personale dipendente paga spesso a caro prezzo, con sanzioni disciplinari pesanti, i propri errori, quello che è successo all’Ulss 6 Euganea rischia di passare in cavalleria. Con una pacca sulle spalle e una interrogazione da parte del Pd in consiglio regionale.

RHC: Qual’è stato dopo l’incidente informatico, il problema maggiormente segnalato dai dipendenti e/o evidenziato dal sindacato in ambito logistico-informatico?

Maria Teresa Turetta: L‘imbarazzo correlato al rigoroso rispetto della privacy imposto ai lavoratori dipendenti a tutela dei dati sensibili degli utenti, mentre poi i sistemi informatici fallaci acquistati dalla Regione Veneto spiattellano tutto ai quattro venti e senza che alcuno paghi per questo!

RHC: Siamo in un periodo critico, soprattutto per quanto riguarda il trattamento e la tutela dei dati personali nell’ambito dell’emergenza Covid. Quale è il doppio sforzo – normativo ed informatico – che in questo momento si deve chiedere di portare avanti alla direzione dell’azienda sanitaria?

Maria Teresa Turetta: Sul piano normativo ci sono molte cose da fare. Debbono essere fissati obblighi ancor più chiari in materia delle procedure da seguire per garantire la privatezza dei dati. La mancata osservanza va poi sanzionata anche penalmente. Al contempo vanno ricomprese nel comparto pubblico professionalità e competenze in questo ambito non ci sono più o non ci sono mai state. E al contempo vanno ridefiniti i criteri di ingaggio di queste professionalità perché spesso la pubblica amministrazione, quando non bara nei concorsi, nemmeno è in grado di valutare i candidati.

RHC: Quali sono a suo avviso, anche considerando l’emergenza sanitaria ancora in atto, i punti critici dei servizi ospedalieri italiani?

Maria Teresa Turetta: In ambito informatico non è pensabile un proliferare di appalti e sub-appalti nell’ambito delle commesse informatiche delle Ulss: il tutto a scapito della qualità del servizio e dei lavoratori. L’autonomia prevista dal titolo V della Costituzione, riforma tesa al decentramento spinto, sbagliata, ingiusta e scritta da cani, va superata con una nuova legge di rango costituzionale. Il sistema della difesa informatica sanitario va centralizzato, reso solido e omogeneo: appalti, sub-appalti, commesse e sub-affidamenti devono finire. Deve tornare ad essere il pubblico a gestire questo ambito. E quando non è possibile il privato deve essere una azienda controllata con personale ben remunerato: queste funzioni sono delicatissime e strategiche, non si può pensare di fare la cresta o peggio del caporalato sulle spalle del personale della cibersecurity.

RHC: Come sempre, le vittime di incidenti informatici che colpiscono gli ospedali sono i pazienti. Come ha preso l’utenza dell’ospedale il forte disagio soprattutto del primo periodo, quando i punti tampone e i centri vaccini erano down e si procedeva con “carta e penna”?

Maria Teresa Turetta: Molto male. Le reazioni, da quello che ci consta, sono state le solite di chi si lamenta per altri disservizi cronici come le liste di attesa o le difficoltà astruse nella prenotazione. Pensi che c’è un ospedale nel Veneto in cui le prenotazioni delle visite radiologiche non possono essere effettuate al centro prenotazioni dell’ospedale ma bisogna salire in reparto. Ecco, questo sarebbe un sistema informatico all’avanguardia?

RHC: Passiamo invece al post incidente. Zaia ha detto “Il nostro sistema di protezione era assolutamente ad alti livelli, ma questi sono professionisti che riescono ad arrivare anche al Pentagono”. A suo parere, eravamo davvero ai massimi livelli i sistemi di sicurezza della ULSS6 oppure c’è parecchio ancora da fare?

Maria Teresa Turetta: Zaia fa quasi tenerezza, ma in realtà queste sue uscite sono dovute al fatto che il governatore è ben conscio di non trovare un arcigno contraltare nelle opposizioni, che in parte cogestiscono il potere, sia nella grande stampa che è troppo spesso scandalosamente sdraiata. Faccio notare che poco dopo la notizia dell’attacco hacker alla Regione Lazio un noto tecnico informatico Carlo Alberto Sartor, intervistato da Vicenzatoday.it preconizzò un cyber-attacco alle strutture sanitarie venete. Sempre Vicenzatoday.it scrisse che le vulnerabilità delle strutture informatiche della sanità veneta erano note persino ai nostri servizi segreti. Quindi di che cosa stiamo parlando?

RHC: Questa violazione ha colpito un’organizzazione pubblica, finanziata dallo stato con le tasse dei cittadini. Al momento non si sa nulla di ufficiale su come sono andate le cose. Lei crede che una volta terminato questo periodo turbolento e terminate le indagini, qualcuno potrà raccontare ai pazienti, ai cittadini e agli elettori cosa è accaduto e quali sono le reali misure messe in atto per evitare che un altro episodio del genere si verifichi?

Maria Teresa Turetta: Io credo che i colpevoli dell’attacco difficilmente saranno identificati e quindi credo che difficilmente, trapelerà qualche cosa di quella inchiesta. Di converso qualcosa si dovrebbe sapere sulle responsabilità penali, che ci sono ma i nomi vanno identificati perché nel penale le responsabilità sono sempre personali, di chi non ha vigilato nei controlli. Sicuramente invece dovrebbero emergere alcune responsabilità da una inchiesta amministrativa che la Regione Veneto dovrebbe avviare sul caso. In questo frangente, sia per il ruolo delle opposizioni sia per quanto previsto dalla legge in materia di accesso agli atti da parte dei cittadini qualcosa dovrebbe saltare fuori. Ma da questo versante la Regione Veneto tende ad essere un muro di gomma. Tutti ricordano, per esempio, i vergognosi silenzi sulla Superstrada pedemontana veneta e sul caso Pfas. Per quest’ultimo dell’inchiesta amministrativa sulle responsabilità dei dirigenti di Arpav non si è più saputo nulla. Il potere tende a occultare ciò che lo mette in imbarazzo. Da sempre è così.

RHC: Normalmente quando un CISO fallisce all’interno di una organizzazione privata, a seguito di un incidente informatico di rilievo come in questo caso, viene rimpiazzato con un altro. Lei crede che questo caso porterà ad un cambio del management oppure rimarrà tutto come adesso?

Maria Teresa Turetta: Quello che in informatica con un anglicismo orrendo viene definito Chief information security officer, ossia il dirigente demandato alla sicurezza informatica non deve ipocritamente diventare un capro espiatorio. Mi spiego meglio. Di fronte a una spaccata colossale patita dal sistema informatico dell’Ulss euganea, per non parlare di quello multiplo patito da tutte le Ulss venete per quanto riguarda i dati delle avvenute negativizzazioni da Covid-19, c’è molto da dire. Qui non si tratta solo di far pagare il dovuto a chi è responsabile, cosa sacrosanta peraltro. In questo caso bisogna intervenire affinché la matrice che ha generato questo sfascio sia azzerata per ricominciare da capo in modo coerente e strutturale. Cioè deve essere svelato l’intero sistema della mala gestio. Altrimenti incolpare una sola persona serve solo come foglia di fico: qui siamo di fronte ad un kombinat rispetto al quale devono chiarezza all’opinione pubblica non solo i componenti della giunta regionale, non solo gli alti dirigenti, ma pure i top manager e i grandi azionisti dei colossi e delle imprese un po’ più piccole che con palazzo Balbi, con l’Azienda zero e con le singole Ulss hanno fatto accordi e sottoscritto contratti,

RHC: Zaia ha detto recentemente “ora investiremo in sicurezza informatica”. Cosa pensa a riguardo?

Maria Teresa Turetta: Le parole di Zaia sono ipocrite e pericolose. Perché c’è la eventualità di aumentare le spese senza che si risolva il problema. Zaia avrebbe dovuto dire: prima misuriamo la efficacia della spesa attuale, poi eventualmente aumentiamo il budget. Così si rischia di finire dalla padella alla brace, cioè aumentare a dismisura la spesa mantenendo rapporti poco cristallini con le società fornitrici senza che i gap strutturali siano risolti. Se Zaia vuole procedere come si deve renda intanto pubblica la segnalazione di incidente informatico rilevante che per legge le Ulss colpite dall’attacco hacker hanno dovuto inviare al garante. I consiglieri regionali e i giornalisti abbiano il coraggio di chiederla.

RHC: La normativa vigente obbliga le aziende (privati o enti che siano) al rispetto di specifiche normative e requisiti di sicurezza. Sicuramente stiamo entrando in un dettaglio più tecnico, ma che lei sappia, era attivo un backup settimanale, un antivirus, un cambio password periodico? La ULSS6, era conforme alla normativa GDPR?

Maria Teresa Turetta: Guardi, da questo punto di vista stiamo lavorando per approfondire l’intera partita a stretto contatto coi nostri consulenti e coi nostri legali. È una questione delicatissima. Posso solo dire che ci faremo vivi, anche con le carte bollate. E lo faremo senza tentennamenti.

Ringraziamo molto Maria Teresa Turetta per aver risposto alle nostre domande e averci dedicato il suo tempo. Noi le auguriamo che l’impegno profuso messo in campo su questa incresciosa vicenda possa portare quanto prima i risultati attesi.

Massimiliano Brolli
Responsabile del RED Team di TIM S.p.a. e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali in Telecom Italia che vanno dal ICT Risk Management all’ingegneria del software alla docenza.