Cassandra Crossing/ Le teste che non rotolano

(499) — Una tempesta perfetta ha colpito i sistemi informatici della PP.AA.; perché tutto tace e non ci sono conseguenze?

3 aprile 2022 — Il 30 marzo una tempesta perfetta ha colpito l’informatica pubblica italiana. Una serie di servizi informatici vitali sono diventati improvvisamente indisponibili, e questo ha provocato lo stop totale di servizi al pubblico essenziali.

In tutta Italia le farmacie non potevano accedere alle ricette elettroniche e dispensare farmaci, tutte le aziende non potevano fatturare, il CERT che monitora e gestisce la risposta agli incidenti informatici non poteva operare, il gioco elettronico in tutte le sue deleterie incarnazioni era bloccato, i servizi dell’Agenzia delle Entrate erano tutti fermi e tutte le aziende italiane non potevano rispettare gli adempimenti fiscali, dogane e monopoli avevano i sistemi bloccati, le tessere sanitarie non funzionavano, i green pass non potevano essere emessi e verificati e le pubblicizzatissime app pubbliche IO ed Immuni non funzionavano.

L’elenco potrebbe continuare e non è completo, ma l’incidente è stato di portata così vasta che anche la sua estensione esatta è difficile da determinare. Di certo servizi essenziali come le farmacie sono stati bloccati per un giorno e mezzo, ma le conseguenze per i responsabili di questa situazione non si sono per ora manifestate.

Perché?

Riavvolgiamo il film e ripartiamo dall’inizio. Cosa è successo?

Secondo alcune indiscrezioni, poi confermate in linea di massima da stentate dichiarazioni ufficiali, nel datacenter romano di Sogei, storica e grandissima società interamente pubblica, che da sempre gestisce buona parte dell’informatica delle pubbliche amministrazioni, si è verificato un brevissimo calo di tensione (Acea, la società elettrica romana responsabile della fornitura al datacenter, parla di un secondo di durata).

Cali di tensione di questa entità sono previsti a livello contrattuale e di livelli di servizio, quindi sono dei “non-eventi”; non è successo niente di anormale.

Ma il calo di tensione ha fatto scattare gli interruttori differenziali che proteggono alcuni sistemi di rete vitali, che, facendo il loro mestiere, hanno interrotto l’alimentazione, e questo ha isolato completamente i server, pur funzionanti, del datacenter.

Il problema comincia adesso; i tecnici hanno tentato di riarmare le protezioni, ma non ci sono riusciti. I dettagli non sono noti, ma per ridare tensione ai sistemi di rete isolati e far ripartire tutti i servizi ci sono voluti tempi lunghissimi, biblici, anche di 36 ore.

Ora definire “tempesta perfetta” un evento del genere è riduttivo. Eventi di questa grandezza semplicemente non possono e non devono succedere. Perché?

Perché infrastrutture critiche di questa dimensione devono assolutamente essere progettate e realizzate con meccanismi di ridondanza e di decentralizzazione atti a garantire in maniera assoluta che tutti i servizi, magari con prestazioni degradate, continuino ad essere disponibili.

E se un oggetto tutto sommato semplice come il sistema elettrico di alimentazione non riesce a reagire nemmeno ad un “non problema” … da qualche parte c’è un grosso problema!

E se fosse mancata davvero e completamente la corrente? Allora cosa sarebbe successo? Esistono opportuni gruppi di continuità? Vengono testati e verificati periodicamente, come negli ospedali e nelle centrali nucleari?

Lo stato italiano (quindi tutti noi) paga molti soldi a Sogei perché i servizi vengano erogati tramite infrastrutture informatiche progettate proprio per queste situazioni.
Si tratta di architetture assai più complesse e costose del normale ma che sono ben note e consolidate, che si sa perfettamente come realizzare, che sono, tra l’altro, obblighi contrattuali e di legge.

Queste architetture devono e sono sempre periodicamente ed estesamente testate per verificare che tutti i meccanismi di sicurezza e recupero funzionino perfettamente.
Esistono normative e best practice per tutti questi aspetti; test periodici e verifiche a caccia di problemi o di errori di progetto dell’infrastruttura sono la norma.

Ora, se veramente una batteria di interruttori differenziali può mettere in ginocchio per un giorno e mezzo l’informatica pubblica in Italia, almeno i test periodici sono errati, incompleti od omessi, nulla di tutto questo è stato garantito e le responsabilità tecniche e manageriali sono evidentemente enormi.

Allora perché la notizia è apparsa come una meteora sui media ed altrettanto rapidamente è sparita?

Perché non veniamo aggiornati quotidianamente sulle indagini volte a determinare le cause e le responsabilità di questo “impossibile” ed inconcepibile evento?

Se sistema di verifica della sicurezza e disponibilità degli impianti non era adeguato o comunque ha fallito in pieno la sua missione, perché tra i ruoli manageriali e tecnici responsabili non ci sono teste che rotolano? La meritocrazia sarà forse opzionale, ma la “demeritocrazia” è essenziale al buon funzionamento di qualsiasi organizzazione.

Non è compito di Cassandra, che non dispone di informazioni adeguate sulla situazione e sugli eventi, spiegare il perché; il suo ruolo di profetessa stavolta la limita a descrivere gli eventi già avvenuti ed a prevedere genericamente un futuro cupo per un paese che non sa garantire a sé stesso ed ai propri cittadini queste prestazioni minime.

Ma Cassandra sa identificare perfettamente una delle ragioni per cui ci troviamo in questa situazione; perché i cittadini di un paese che pretende di essere tra i Grandi, pur colpiti da gravi disservizi che semplicemente non devono avvenire mai, non afferrano, metaforicamente, i forconi e cominciano a ricercare e pungolare i responsabili.

Anche in questo caso, proprio loro, i principali danneggiati, si fanno “complici” del velo che ha coperto tutta la faccenda, ed ancora una volta si rassegnano, sperando che non ricapiti, od almeno non a loro

Fino alla prossima volta…