Smart Working

INPS, il riassunto del disastro

di pubblicata il , alle 17:41 nel canale Innovazione INPS, il riassunto del disastro

Cosa è successo al sito dell'INPS il 1° aprile? Sono stati davvero gli hacker o le motivazioni del collasso del sistema e del leak di dati sono altre? E quanto ci è costata l'infrastruttura informatica del'istituto? Proviamo a dare una risposta

 

"Sono stati gli hacker". Una frase che speravamo di non sentire più ripetere, soprattutto dagli esponenti della politica, in particolare dal premier Giuseppe Conte, che probabilmente di informatica ne capisce quando noi ne capiamo di ingegneria nucleare, ma che a nostro avviso dovrebbe essere più cauto nell'addossare a fantomatici criminali informatici i disastri dovuti invece all'imperizia di chi il sito INPS lo gestisce. 

"Sono stati gli hacker" è un po' come "mi hanno hackerato l'account", la tipica affermazione di chi le ha sparate grosse sui social e poi, resosi conto della sciocchezza, cerca di rimediare grossolanamente. Una scusa paragonabile al cane che ha mangiato il compito dello studente poco volenteroso. 

Ma cosa è successo esattamente al sito INPS e perché? Proviamo a capirlo. 

Down e data breach INPS: ecco perché è improbabile che siano stati gli hacker

Il 1° aprile, Edge9 ha pubblicato una guida su come ottenere il bonus di 600 euro stanziato dal governo e destinato agli autonomi. Lo abbiamo fatto incontrando molte difficoltà: il sito funzionava a singhiozzo, risultava a tratti inaccessibile e, in alcuni casi, consentiva sì l'accesso al sistema, ma visualizzando il profilo di altri utenti, fortunatamente non permettendo di modificarne i dati.  

Un data breach gravissimo, che ha attirato l'attenzione del Garante della Privacy, che ha già avviato un'istruttoria per valutare l’adeguatezza delle contromisure adottate e degli interventi necessari a tutelare i diritti degli utenti.

Perché alla storia degli hacker non ci crede nemmeno il Garante, e ne ha buoni motivi. Sia chiaro, non è che gli hacker non esistano, ma è molto difficile credere che un hacker investa tempo e risorse per far apparire a caso dati di altri utenti. Gli hacker i dati li sottraggono, se intenzionati a monetizzare dalle loro azioni, oppure mettono in crisi i siti, se vogliono fare attivismo politico. Ma in quest'ultimo caso, non si nascondono, anzi: lo annunciano fieramente, altrimenti le loro azioni perdono completamente di significato. Non è un caso che Anonymous Italia abbia twittato questo messaggio: 

Ma allora, se non sono stati gli hacker, cosa è successo? Semplicemente quello che era prevedibile: il sito INPS è stato subissato di accessi da parte dei tanti professionisti che si affrettavano a richiedere i famosi 600 euro. Una platea di oltre 5 milioni di persone, fra artigiani, commercianti, partite IVA, co.co.co e via dicendo. Persone che sono corse a richiedere l'indennizzo il prima possibile, sia perché per molti di loro la situazione economica è collassata con la chiusura delle attività, sia perché spinti dalla comunicazione ambigua apparsa sul sito dell'INPS stessa - e poi cancellata - che avvertiva che i fondi sarebbero stati elargiti sino all'esaurimento delle risorse.

"In ragione di quanto sopra, l’INPS riconosce l’indennità in base all'ordine cronologico di presentazione delle domande", appariva sul sito INPS, e a quel punto a nulla sono servite le rassicurazioni di Pasquale Tridico, il quale garantiva che non ci sarebbe stato alcun clic-day: la gente si è affrettata. Come dargli torto?

E il sito del'INPS a quanto pare non era strutturato per gestire una simile mole di richieste contemporaneamente. Basta questo a spiegare il motivo del down, senza tirare in ballo fantomatici hacker. Questo però non spiega come mai a molti è capitato di visualizzare il profilo di altri contribuenti

A spiegare cosa probabilmente è successo ci pensa Matteo GP Flora, Hacker e Professore a Contratto in Corporate Reputation e Storytelling presso la Facoltà di Economia dell’Università di Pavia.

L'ipotesi è che per cercare di alleggerire il carico dei server, siano stati implementati in fretta e furia dei meccanismi di caching. Integrati però malamente, tanto che nella cache sono finite anche sessioni private, esposte poi pubblicamente ad altri utenti. Un'ipotesi sposata anche da Riccardo Meggiato, giornalista ed esperto di analisi forense, che su Wired.it scrive: "in questo clamoroso disservizio, frutto di una tempesta perfetta, è molto più probabile l’errore umano che l’attacco hacker di cui hanno parlato sia il governo che l’ente previdenziale".

Quanto (ci) è costato il sistema informatico di lNPS?

Server Pornhub

Una situazione tanto surreale non può che essere terreno fertile per la nascita di meme, che non sono tardati ad arrivare. Del resto, quando il presidente INPS sostiene che "stiamo ricevendo 100 domande al secondo. Una cosa mai vista sui sistemi dell'Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri" è inevitabile il paragone con siti come Pornhub, che già nel 2017 dichiarava di riceverne 700 di sessioni al secondo. Sia chiaro, è un paragone volutamente azzardato, ma il sito pornografico più famoso al mondo (il nono sito più visitato al mondo) non si è fatto sfuggire l'occasione di rispondere : 

Però la domanda rimane. Quanto è costata ai contribuenti l'infrastruttura informatica di INPS? Circa 336 milioni dal 2005 al 2018. Tanti, pochi? Non sta a noi dirlo, ma il risultato è sotto gli occhi di tutti.

Bisogna considerare poi che la violazione della privacy potrebbe costare cara all'istituzione, una multa sino a 20 milioni per la violazione del GDPR. Verrà comminata? Non possiamo saperlo, ovviamente, ma c'è un fatto curioso da evidenziare: a quanto riporta Dagospia, al momento non esiste un Responsabile della Protezione dei dati.

"Peccato soprattutto che, nonostante il garante nazionale della privacy non abbia ritenuto di denunciare la cosa, all'appuntamento del 1 Aprile l'INPS si sia presentato senza il suo garante della privacy. Proprio così. Alla domanda chi è il garante della privacy dell'INPS, la risposta è: Nessuno. Ce n'era uno il cui incarico è scaduto, e l'Istituto, meglio il suo responsabile dell'informatica, se l'è presa comoda. Il sostituto arriverà soltanto tra una settimana perché ancora ricopre un altro incarico".

Se fosse confermato quando detto da Dagospia, la mancanza di un responsabile sarebbe grave, dal momento che si rischia di non poter individuare un reale responsabile della vicenda. Nessuno, insomma, pagherà sulla sua pelle per quanto è successo. 


34 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Marko_00103 Aprile 2020, 17:50 #1
dissento, (ovviamente chi se ne frega del Marco_pensiero...)
a raccontare cosa è successo sono stati la dirigenza INPS
ovvero la catena che va da chi controlla a chi decide in merito,
e in secondo grado, forse, a chi amministrava il sito, o meglio le società
che l'hanno in gestione.
accusare di incompetenza, che tra l'altro non è obbligato ad avere,
chi è stato portavoce di notizie date da altri,
in forma fiduciaria, a mio avviso è quantomeno scorretto.
supertigrotto03 Aprile 2020, 18:31 #2
Sapete, c'è solo una cosa di buono in tutto ciò,qualche commercialista,mosso da voltastomaco,ha dichiarato che diversi suoi clienti milionari,erano tutti presi a voler mangiare a sbafo questi 600 euro,nonostante conti correnti belli pieni,ok,per la legge ne avrebbero diritto ma per la morale,avere tipo 2 milioni di euro in banca e chiedere i 600 euro,rispetto all'elettricista,idraulico o quant'altro con un conto corrente da 2000 euro, è una vera indecenza.
Chissà se fra i nomi sono venuti fuori questi benestanti ingordi..... nonostante la crisi,certi italiani non cambiano mai.
giuliop03 Aprile 2020, 19:05 #3
La faccia da idiota che compare nella preview del video di YouTube mi scoraggia completamente dal vederlo. E lo so, è completamente irrazionale, ma tant'è.
aleardo03 Aprile 2020, 19:30 #4
Che figura penosa, neanche Pierino ormai userebbe giustificazioni così puerili: "Signora maestra, avevo fatto i compiti, ma gli hacker me li hanno cancellati"...
charbonnier66603 Aprile 2020, 19:33 #5
Originariamente inviato da: giuliop
La faccia da idiota che compare nella preview del video di YouTube mi scoraggia completamente dal vederlo. E lo so, è completamente irrazionale, ma tant'è.


idem, poi il paragone con youporn, netflix e affini è senza senso, sono architetture nuove, basate sul cloud e pornhub ad esempio ha il 99% delle utenze anonime, ovvero non ha bisogno di nessuna autenticazione per vedere i video. I video che poi sono un cdn esterno, altra facilitazione.
Inps è monolitico, non possono per motivi legali togliere velocemente sistemi che sono stati pagati e sono funzionanti, chiaramente in atto c'è un passaggio al cloud e trasformazione di tutti i servizi e aggiornamento degli stessi ma era ovvio che una pandemia non è un evento programmato e nessuno era pronto per il primo aprile.
Chi lavora, come me, nel settore sa che per mettere su un nuovo sistema ci vogliono anni e non un mese, tutte le strutture statali e parastatali sono in aggiornamento, chi più indietro e chi più avanti ma anche molti istituti bancari e altri privati. Ho lavorato in posti importanti dove tengono su ancora script in cobol e terminali con diplay a fosfori verdi.
Il problema è strutturale e finchè vedremo nei posti pubblici i dirigenti statali che giocano al solitario e non chi programma a lungo termine non ci saranno grandi cambiamenti.
Alberto Falchi03 Aprile 2020, 19:47 #6
Originariamente inviato da: charbonnier666
idem, poi il paragone con youporn, netflix e affini è senza senso, sono architetture nuove, basate sul cloud e pornhub ad esempio ha il 99% delle utenze anonime, ovvero non ha bisogno di nessuna autenticazione per vedere i video. I video che poi sono un cdn esterno, altra facilitazione.


Che "è un paragone volutamente azzardato" l'abbiamo specificato ;-)

Rimane il fatto che il sistema non ha retto, fatto prevedibile, soprattutto quando sino a poco prima sul sito INPS era presente una news che - tra le righe - incitava a sbrigarsi, che una volta esauriti i fondi gli altri si sarebbero attaccati.

Il problema è strutturale e finchè vedremo nei posti pubblici i dirigenti statali che giocano al solitario e non chi programma a lungo termine non ci saranno grandi cambiamenti.


Esatto. Ed è proprio questo il succo del discorso. 336 milioni spesi in 15 anni e il risultato è questo. Non tanto il down, sia chiaro, quello ci può stare, ma il fatto che i dati dei contribuenti siano stati esposti. Un fatto gravissimo, come dimostra l'intervento del Garante della Privacy. E la risposta "sono stati gli hacker" non è minimamente accettabile. Nemmeno in un momento difficile come questo.
phmk03 Aprile 2020, 20:00 #7
Con una spesa di 336 ML avrebbe dovuto reggere il carico tranquillamente..
~30000 blade ( ) ad es.. e supercarrozzati
kbios03 Aprile 2020, 20:04 #8
Originariamente inviato da: supertigrotto
Sapete, c'è solo una cosa di buono in tutto ciò,qualche commercialista,mosso da voltastomaco,ha dichiarato che diversi suoi clienti milionari,erano tutti presi a voler mangiare a sbafo questi 600 euro,nonostante conti correnti belli pieni,ok,per la legge ne avrebbero diritto ma per la morale,avere tipo 2 milioni di euro in banca e chiedere i 600 euro,rispetto all'elettricista,idraulico o quant'altro con un conto corrente da 2000 euro, è una vera indecenza.
Chissà se fra i nomi sono venuti fuori questi benestanti ingordi..... nonostante la crisi,certi italiani non cambiano mai.


Essendoci il limite di reddito a 35/50k dubito che molti milionari ne abbiano diritto
nameman03 Aprile 2020, 20:26 #9
...non sò quanti di voi hanno esperienza nella progettazione di siti web, io l'ho fatto fino a 3 anni fà, quando sono andato in pensione, ma di una cosa mi sono accorto, i siti istituzionali come l'inps sono fatti e concepiti da burocrati e devi essere esperto nella materia per poterti destreggiare in questi siti. NON sono assolutamente userfriendly !!!!!!! E se uno non è capace di creare un sito che sia accessibile a tutti volete che anche riesca solo a pansare a come riuscire a reggere un flusso imponente di richieste ?

Ma ragazzi, ancora non vi siete accorti che siamo in Italia ?!!!!!
Shirov03 Aprile 2020, 20:53 #10
Originariamente inviato da: kbios
Essendoci il limite di reddito a 35/50k dubito che molti milionari ne abbiano diritto


Eh, dipende da cosa dichiarano e cosa non dichiarano....

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^