APPROFONDIMENTI

Business Continuity e Disaster Recovery

Cosa insegnano gli attacchi informatici alla Colonial Pipeline ed al Servizio Sanitario Irlandese

14/05/2021

di Avv. Gianluca Marmorato

I vari autorevoli Report recentemente pubblicati confermano come il trascorso 2020 e questi primi mesi del 2021 vedano un forte incremento di attacchi informatici.

Senza dubbio l’emergenza sanitaria ha determinato uno stress test per gli apparati informatici di tutti i settori, ma le statistiche parlano chiaro: il mondo sanitario e quello delle infrastrutture critiche hanno visto un sostanziale raddoppio degli attacchi rispetto al precedente anno.

Certamente questa indicazione è molto preoccupante, in considerazione della delicatezza dei dati ”sensibili” che sono oggetto di interesse e di necessaria tutela,  e delle attività ad essi connesse.

Lo sviluppo frenetico della digitalizzazione si sta rivelando un’occasione ghiotta per tutti quei soggetti ed organizzazioni che intendano lucrare sfruttando le fragilità dei sistemi.

Questo processo tecnologico infatti, oltre agli innegabili aspetti positivi  e costruttivi, è purtuttavia foriero di una moltiplicazione di criticità, determinate dalla difficoltà di proteggere le infrastrutture critiche, gli endpoints, e gli strumenti IOT sempre più interconnessi.

Con grande fatica si sta diffondendo la sensibilità rispetto alla necessità di porre in essere una corretta gestione dei Dati da parte delle attività commerciali, Enti e professionisti, proprio perché i Dati rappresentano sempre di più la linfa vitale di queste attività sotto un punto di vista economico.

Appare necessario interrogarsi in modo approfondito  su ciò che è accaduto all’oleodotto della Colonial Pipeline, chiuso a seguito di un attacco informatico pochi giorni da e del quale non è ben comprensibile l’iter e le tempistiche di riapertura, con gravissime ripercussioni economiche e geopolitiche.

Il caso è ovviamente ancora aperto, ci saranno indagini federali per accertare le identità del gruppo di attacco, ma fa riflettere come la società statunitense si sia trovata nella necessità di chiudere l’intero impianto, a causa di una massiccia esfiltrazione  di dati, per il timore che l’attacco potesse determinare danni  irreparabili all’intera infrastruttura.

È inoltre notizia della data odierna di un grave attacco informatico che ha visto come obiettivo il Servizio Sanitario Irlandese, determinando, anche in questo caso, la necessità di sospendere il sistema informatico e, di conseguenza, numerose attività cliniche, determinando ripercussioni estremamente gravi nel tessuto sociale.

L’analisi del fenomeno deve certamente tenere in considerazione due aspetti, da un lato la ragione per la quale gli attacchi informatici al settore sanitario ed a quello delle infrastrutture siano praticamente fuori controllo, e contemporaneamente porre l’attenzione alla tipologia di minacce che sfruttano le criticità.

Con buona probabilità, i target menzionati appaiono appetibili, in ragione del fatto che, in caso di attacco, questi siano settori ove si registra una maggiore disponibilità rispetto ad altri di “pagare” importanti somme quali riscatto.

Pensiamo ad esempio a ciò che rappresenta oggi la macchina sanitaria tesa, da un lato a  combattere il Covid-19, e dall’altra a procedere con il delicato programma vaccinale.

Un attacco che abbia come conseguenza l’interruzione dei servizi, avrebbe conseguenze catastrofiche; ed è proprio questo che sta accadendo.

Ed allora, l’attenzione dovrebbe concentrarsi  sulle criticità e sugli strumenti maggiormente utilizzati per mettere a segno gli attacchi, quali i malware ramsomware, oltre ai botnet o i più sofisticati sistemi che sfruttano attività di ingegneria sociale.

Peraltro, si intensificano le notizie di ingenti pagamenti effettuati da soggetti che hanno subito attacchi attraverso la cifratura o l’esfiltrazione dei loro dati: si porta ad esempio il caso di un recente attacco sferrato attraverso lo strumento Ryuk ai danni  di una società statunitense che tratta dati sanitari provenienti da decine di strutture sanitarie e che avrebbe pagato  oltre 15 milioni di dollari in bitcoin per “liberare” i propri sistemi, o, da ultimo, si può citare il caso sopra menzionato della Colonial Pipeline, che sembra abbia effettuato un ingente pagamento per evitare la compromissione dell’infrastruttura.

Ben si comprende quale sia l’importanza, oltre alla pianificazione di adeguati strumenti di protezione informatica, dell’adozione di un accurato piano di ripristino dell’attività, che si colloca in un più ampio piano di continuità operativa.

La Business Continuity può essere definita come la capacità di un’Azienda di mantenere la continuità operativa nonostante un evento che ha minacciato questa funzionalità e comprende strategie organizzative e tecniche per mantenere inalterata la produttività.

Il Disaster Recovery invece è il piano tecnico ed organizzativo finalizzato a ripristinare i sistemi e l’infrastruttura IT dopo un’emergenza e che deve prevedere le misure messe in campo per tornare ad un pieno controllo dei Dati e dei sistemi, al fine di contenere il tempo necessario per il ripristino, e per contenere la quantità di dati persi.

Nei casi di Disastro o emergenza, il semplice backup dei dati appare infatti del tutto insufficiente se non sono stati previsti processi che possano consentire il ripristino dei file, dei software di sistema e di tutte le funzionalità che possano consentire la pronta ripresa delle attività produttive.

Ci troviamo di fronte alla necessità di realizzare una vera e propria check-list che possa consentire l’adozione dei corretti passaggi operativi, senza lasciare margine alle valutazioni soggettive degli operatori, ed evitando così possibili errori in fasi concitate quali sono quelle immediatamente successive ad eventi critici.

E’ peraltro evidente che la realizzazione di queste linee operative debba  essere frutto di un attento lavoro preliminare, preventivo e proattivo, le cui strategie potrebbero identificarsi in attività quali:

  • la creazione di una corretta gestione di Business Continuity o Incident Response
  • l’adozione di una adeguata gestione del perimetro della rete e dei privilegi di accesso
  • la creazione di una corretta gestione dei dati, anche attraverso adeguate azioni di cifratura
  • la realizzazione di una costante attività di Risk Management che si rapporti in modo costante e continuativo con la Governance dell’Ente
  • l’effettuazione di  attente ricerche di trojan, anche attraverso strumenti di IA, ricordando che gli attacchi ransomware iniziano solitamente proprio con una iniziale infezione di trojan
  • l’innalzamento del livello di guardia in particolar modo nei periodi festivi
  • la sensibilizzazione di tutto il personale rispetto ad un corretto utilizzo degli strumenti informatici e degli accessi esterni, quali le mail o i device in modo da poter  riconoscere eventuali attività di phishing.

Pubblicazioni

Solamente qualche giorno fa – ordinanza n. 26805 del 12.09.2022 - la Corte di Cassazione è intervenuta per fare ancora una volta chiarezza sulle differenze semantiche e ontologiche esistenti tra il danno biologico, il danno morale e la personalizzazione. Termini polisemici e di frequente mal interpretati.

Nel richiedere la liquidazione del danno non patrimoniale spesso le parti incorrono in confusione nel nominare in modo diverso concetti uguali o nel richiedere più volte uno stesso nocumento indicandolo sotto diverse nomenclature.

Il corretto inquadramento di queste componenti che appartengono ad un unico genus – cioè quello del danno non patrimoniale - è indispensabile al fine di applicare in modo appropriato i criteri per la loro liquidazione, anche in virtù delle modifiche di recente apportate dall’Osservatorio di Milano alle tabelle meneghine.

Una prima precisazione va fatta con riferimento al danno biologico che i più fanno coincidere con il danno alla salute.

In realtà, come ben chiarito dalla Suprema Corte nella sentenza n. 7513 del 2018, il danno alla salute non va considerato, e in questo senso è d’accordo anche la medicina legale italiana, come nocumento fisico in re ipsa ma piuttosto quale compromissione delle abilità della vittima nello svolgimento di tutte le sue attività quotidiane.

Sotto tale profilo il Dott. Rossetti, relatore della citata pronuncia ricordava che “In questo senso si espresse già quasi vent'anni fa (ma inascoltata) la Società Italiana di Medicina Legale, la quale in esito al Congresso nazionale tenuto nel 2001 definì il danno biologico espresso nella percentuale di invalidità permanente, come "la menomazione (...) all'integrità psico-fisica della persona, comprensiva degli aspetti personali dinamico-relazionali (...), espressa in termini di percentuale della menomazione dell'integrità psicofisica, comprensiva della incidenza sulle attività quotidiane comuni a tutti".”

Pertanto per danno biologico è da intendersi il danno alla salute nei suoi riflessi dinamico relazionali. Prosegue la Cassazione “Non, dunque, che il danno alla salute “comprenda” pregiudizi dinamico-relazionali dovrà dirsi; ma piuttosto che il danno alla salute è un danno “dinamico relazionale”. Se non avesse conseguenzedinamico relazionali”, la lesione della salute non sarebbe nemmeno un danno medico-legalmente apprezzabile e giuridicamente risarcibile.”

Dunque l’incidenza di una menomazione permanente sulle quotidiane attività dinamico-relazionali della vittima non è un danno diverso dal danno biologico ma è proprio ciò che lo compone.

Nell’ambito della lesione della salute e dei suoi profili dinamico-relazionali vi possono essere conseguenze comuni a tutte i soggetti che hanno quel grado di invalidità e conseguenze peculiari che abbiano cioè reso il pregiudizio subito dalla vittima diverso e maggiore rispetto ai casi similari.

Mentre le prime vengono liquidate dietro mera dimostrazione del grado di invalidità, le seconde richiedono la prova concreta ed effettiva del maggior pregiudizio subito onde ottenerne il risarcimento mediante personalizzazione del danno. Ed infatti “In applicazione di tali princìpi, questa Corte ha già stabilito che soltanto in presenza di circostanze "specifiche ed eccezionali", tempestivamente allegate dal danneggiato, le quali rendano il danno concreto più grave, sotto gli aspetti indicati, rispetto alle conseguenze ordinariamente derivanti dai pregiudizi dello stesso grado sofferti da persone della stessa età, è consentito al giudice, con motivazione analitica e non stereotipata, incrementare le somme dovute a titolo risarcitorio in sede di personalizzazione della liquidazione (Sez. 3, Sentenza n. 23778 del 07/11/2014; Sez. 3, Sentenza n. 24471 del 18/11/2014).”

Il danno morale, infine, è costituito invece dai[1] “..pregiudizi che non hanno fondamento medico-legale, perché non aventi base organica ed estranei alla determinazione medico-legale del grado percentuale di invalidità permanente, rappresentati dalla sofferenza interiore (quali, ad esempio, il dolore dell'animo, la vergogna, la disistima di sé, la paura, la disperazione).”

Il danno morale è quindi una categoria autonoma[2] rispetto al danno biologico e si sostanzia nella rappresentazione di uno stato d'animo di sofferenza interiore del tutto autonomo e indipendente dalle vicende dinamico-relazionali della vita del danneggiato e che costituiscono come detto l’essenza del danno biologico.

L’autonomia di questa categoria – e il suo non automatico riconoscimento – si è riverberata nella revisione delle Tabelle di Milano che nella loro versione del 2021 specificano e distinguono nella liquidazione del danno non patrimoniale la componente biologico/relazionale e quella morale.

Nella pronuncia di settimana scorsa la Corte di Cassazione ha quindi chiarito l’operazione che gli operatori del diritto si trovano a dover fare nel momento della liquidazione delle poste risarcitorie e cioè dividere il danno non patrimoniale nelle sue componenti dinamico/relazionale (id est il danno biologico, se del caso personalizzato) e quella morale. Ed infatti “il giudice di merito dovrà:

1) accertare l'esistenza, nel singolo caso di specie, di un eventuale concorso del danno dinamico-relazionale e del danno morale;

2) in caso di positivo accertamento dell'esistenza (anche) di un danno da sofferenza morale, determinare il quantum risarcitorio applicando integralmente le tabelle di Milano, che preved(eva)ono la liquidazione di entrambe le voci di danno, ma pervenivano, per il danno biologico - prima dell'ultima, necessaria modificazione all'indicazione di un valore monetario automaticamente e complessivamente unitario (costituito dalla somma aritmetica di entrambe le voci di danno);

3) in caso di negativo accertamento, e di conseguente esclusione della componente morale del danno, considerare la sola voce del danno biologico (espressamente ed esclusivamente definito dal legislatore, fin dall'anno 2000, come danno dinamico/relazionale), depurata dall'aumento tabellarmente previsto per il danno morale secondo le percentuali ivi indicate, e liquidando, conseguentemente il solo aspetto dinamico-relazionale del danno;

4) in caso di positivo accertamento dei presupposti per la cd. personalizzazione del danno secondo gli stringenti criteri indicati dalla sentenza 7513/2018, procedere all'aumento fino al 30% del valore del solo danno biologico, depurato, analogamente a quanto indicato al precedente punto 3, dalla componente morale, automaticamente (ma erroneamente) inserita in tabella, giusta il disposto normativo di cui al già ricordato art. 138, punto 3, del novellato codice delle assicurazioni.”

4.15   Di conseguenza la personalizzazione del danno:

- andrà riconosciuta solo dietro specifica e concreta dimostrazione “di circostanze "specifiche ed eccezionali", tempestivamente allegate dal danneggiato, le quali rendano il danno concreto più grave, sotto gli aspetti indicati, rispetto alle conseguenze ordinariamente derivanti dai pregiudizi dello stesso grado sofferti da persone della stessa età.”[3]

- se dimostrata, andrà liquidata mediante aumento “fino al 30% del valore del solo danno biologico[4] e non prendendo a riferimento il danno non patrimoniale nella sua unitarietà. 

 

[1] Cass. Civ. sent. n. 7513 del 2018 

[2] Cass. Civ. ordinanza n. 15733 del 17.05.2022

[3] Civile Ord. Sez. 3 Num. 7513 Anno 2018

[4] Cass. civ. Sez. III, Ord., 12.09.2022, n. 26805


Leggi di più

Contattaci

010 5704951

Genova • Milano • Roma

info@boglione.eu

Scrivici