Quando il responsabile IT dovrebbe andare a nascondersi

closeQuesto articolo è stato pubblicato 4 anni 9 mesi 20 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi.

Da una settimana uno degli ospedali di Torino ha gravi problemi con i sistemi informativi. Oggi leggo un articolo che mi ha fatto prima sorridere, poi mi ha fatto pensare che purtroppo non tutti sono in grado di gestire dei sistemi informativi complessi.

Un Data Base ben strutturato è fatto in modo che ci sia integrità dei dati e che ci sia sopratutto la sicurezza. Tutti i sistemi di DB sono dotati di meccanismi che permettono di tornare indietro nel tempo ad un determinato minuto per il recupero dei dati. A patto che questi siano attivati.

Nell’articolo è scritto

I dati dei pazienti ci sono, ma sono in disordine – spiega Iliana Siboni, direttore amministrativo dell’ospedale

Un morto che risultava prenotato per un esame al Gradenigo, pazienti che nel database dell’ospedale avevano il cognome di un altro, o la data di nascita di vent’anni più giovane.

E’ noto che un classico problema è quello che il DB metta in disordine i dati, cambiando indici e relazioni (non è vero, sono ironico). In un DB con un’anagrafica solitamente nello stesso record c’è un campo con il nome e uno con il cognome, non si può perdere la relazione, è lo stesso record! Qualcosa è andato fisicamente a prendere i dati e a “mischiarli”. Immaginate di avere un Excel con la colonna A dentro cui si mette il cognome e nella colonna B il nome di un elenco di persone; l’unico modo che avete per mischiare il tutto è mettere in ordine alfabetico, per errore, la sola colonna A o la sola colonna B. In un DB questo non si può fare. Per spostare i dati tra i vari record ci vanno delle query ben pensate.

Ma continuiamo nella lettura

Prima hanno provato a risolvere il problema con i tecnici interni. Ma non ci sono riusciti. Hanno chiamato 30 consulenti diversi per aggiustare il sistema, ma anche qui non ce l’hanno fatta. E così, non riuscendo a risolvere il problema in Italia, si sono rivolti alla «Kroll Ontrack», agenzia tedesca leader mondiale nel recupero di dati professionali e ogni altro tipo di memorizzazione.

Adesso il problema è chiaro: hanno perso i dati e NON avevano un backup funzionante. Qualunque cosa sia successa (corrotto il DB, cancellati i dati, rotti due o più dischi di un RAID 5, …) la realtà è che nei Sistemi Informativi del Gradenigo non era presente un backup funzionante dei dati, mi risulta difficile pensare il contrario. Questo è grave. La sicurezza di dati sensibili e sanitari è richiesta dalla Legge 196/2003 (della Privacy) e il non averla implementata o testata è reato penale. In questo caso sarebbe dovuto uscire il nome del responsabile dei Sistemi Informativi, per poterlo mandare davanti ad un giudice e sopratutto per evitare che altre aziende lo assumano dopo che il Gradenigo lo avrà lasciato a casa. Spero che lo facciano, appena risolto il problema. E soprattutto mi auguro che gli addebitino l’intervento dei signori specialisti nel recupero dati.

Sono cosciente che nella realtà il conto del recupero graverà sulle nostre tasche, impoverendo la già malandata Sanità piemontese e sopratutto sono certo che nessuna testa cadrà, come al solito in queste realtà.

Andiamo avanti, perché non è finita

Quello che sappiamo – continua Iliana Siboni -, è che la colpa non è stata di un virus. Chissà, potrebbe anche essersi trattato di un attacco hacker

Rileggete bene. “potrebbe essersi trattato di un attacco hacker“. Potrebbe? Avete in gestione i dati sanitari di migliaia di pazienti e non sapete se qualcuno è entrato nei vostri sistemi a fare danno? Ma a chi avete dato in mano la gestione dei Sistemi Informativi?

[…] gli altri li hanno recuperati grazie alle fotocopie dei referti. Certe volte, nelle situazioni critiche, la carta batte ancora il digitale

Esatto, la carta batte il digitale quando il digitale è gestito da persone che dovrebbero fare un mestiere che non sia a contatto con qualcosa che contenga bit.

Adesso vi calo nella realtà di moltissimi sitemi informativi, dai più piccoli ai più complessi. Non sono tutti così, nel settore informatico c’è molta gente brava e competente, ma purtroppo in molti posti la sicurezza è una “inutile perdita di tempo” per troppe persone. Alcuni esempi

  • Tutti coloro che lavorano su un DB hanno la password si amministratore del DB, che solitamente è vuota o è come l’utente o è il nome di chi ha fatto il DB. Profilare gli utenti con i corretti diritti in base a quello che devono fare è un lavoro lungo e laborioso, spesso ignorato. Cosa ci va a fare la query sbagliata che distrugge un DB se si ha il potere massimo?
  • Il backup è fatto da sistemi attivati da aziende esterne, anni prima e mai più controllati. I test di restore dei dati non sono mai stati fatti. “tanto cosa potrebbe mai succedere?”
  • La sala server dove risiedono tutti i dati è in un sottoscala (alluvioni) o in un posto facilmente raggiungibile da chiunque e con la porta mai chiusa a chiave. Ho visto server dentro i bagni o fuori al balcone “perché le ventole fanno rumore”
  • Le password di amministrazione sono scritte sullo scotch di carta attaccato sui singoli server o sui monitor dei PC

Quindi chissà cosa potrebbe essere mai successo… e sopratutto, perché diavolo non avevate un backup? Nessuno ha parlato di incendio o crollo, quindi se il restore non ha funzionato è colpa grave di qualcuno.

Ovviamente non ho mai visto la realtà nello specifico, ma ne ho viste di simili e, purtroppo, non credo di essere andato troppo lontano dalla realtà

3 pensieri riguardo “Quando il responsabile IT dovrebbe andare a nascondersi”

  1. Hai appena descritto il 95% (e sono stato buono) delle realtà informatiche italiane, dove l’ “IT” in realtà è un agglomerato di magia nera e riti vudù a cui solo pochi e malvagi adepti (meritevoli solo di odio e disprezzo) ne comprendono il reale significato.

  2. Il problema è che in molti casi questi malvagi adepti non sanno neanche cosa sia l’integrità, la disponibilità e la sicurezza dei dati. Men che meno quelli sanitari…

  3. I cacciavitari che si professano DEI onniscienti vi sono in ogni campo. Il problema, che secondo me è tremendamente ironico, sta nel fatto che i sopracitati, vendendosi bene, riescono a ipnotizzare coloro che alla fine prendono decisioni (completamente ignoranti in materia…ma loro fanno un altro lavoro) e che, ahimè, non ascoltano minimamente il proprio organico IT (se presente e per quanto sia skillato) . Ovviamente come dici tu, quando è proprio il reparto IT ad andare a rotoli, allora vai a zappare con le mani, perchè con una zappa sei pericoloso…..

Nota importante, da leggere prima di commentare

Questo è un blog scritto per passione, non fornisco quindi risposte di tipo professionale, se avete bisogno di un aiuto tecnico rivolgetevi ad un professionista di fiducia, non offendetevi se mi astengo dal rispondere. Vi ringrazio per la comprensione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.