Questo sito fa uso di cookie tecnici per una tua migliore esperienza di navigazione. Continuando ad utilizzare il sito, accetti la nostra policy di uso dei cookie.

Azure

Crash dei sistemi informatici INPS: importanza della pianificazione

progettareQuando il 1 aprile il portale dell’INPS ha aperto lo sportello virtuale per la richiesta del bonus di 600 euro previsto per lavoratori autonomi e partite IVA, si sono verificate enormi problematiche che hanno variato dall’irraggiungibilità del sito a, cosa ben più grave, l'accesso ai dati sensibili di persone differenti dall’utente che stava effettuando la richiesta.
I dirigenti dell’INPS hanno prontamente dichiarato che il sistema informatico è stato attaccato e violato da Hackers, ma fin da subito questa ipotesi non aveva affatto convinto chi con i sistemi informatici ci lavora giornalmente. Passato qualche giorno si è riuscito, in parte, a comprendere quali siano stati gli eventi che hanno portato a quello che sicuramente è uno dei più importanti data leak (incidenti informatici dove avviene un'esposizione involontaria di dati sensibili) italiani.
Fondamentalmente il problema è stato generato da diverse scelte tecniche sbagliate, messe in atto per contrastare quella che, come ampiamente previsto, sarebbe stata una massiccia transazione di dati concomitante. Prima fra tutte quella di non aver pensato a priori ad un sistema di prenotazione, che non accettasse nuovi utenti qualora le risorse disponibili fossero quasi esaurite; in seconda battuta, quando il sistema ha iniziato a non rispondere più, onde evitare il blackout completo, si è cercato di ricorrere all’utilizzo di sistemi di cache operando su due livelli:

  1. Sono state abilitate le cache di IIS sui servers interni dell’INPS
  2. Si è ricorsi all’utilizzo di un CDN -Content Delivery Network- esterno (Microsoft Azure)

Queste due scelte sono state sicuramente le peggiori che si potessero prendere, perché sono implementazioni che vanno effettuate per distribuire il carico relativo ad elementi detti “statici”, ovvero elementi che sono sempre uguali e vengono caricati e mostrati una sola volta.
Applicati ad elementi dinamici, come un form da compilare ad uso di utenti differenti (gli utenti che effettuavano la richiesta), ha generato una serie di dati ridondanti svincolati dall’utente che ne aveva fatto richiesta, portando quindi al data leak che ormai tutti conosciamo.

Quello che ci preme sottolineare da questa storia, è che tutte le problematiche che si sono venute a creare, e che probabilmente porteranno anche a grosse sanzioni da parte del Garante della Privacy, sono state il risultato di una mancata pianificazione e ad effettuare delle scelte tecniche in piena emergenza.

È per evitare queste situazioni che Data Commerce consiglia sempre i propri clienti di scegliere un percorso di assistenza tecnica continuativa, e non soltanto nel momento in cui si verifichino delle emergenze. Un contratto di assistenza tecnicainfatti non garantisce soltanto l’intervento nel momento del bisogno, ma anche l’analisi e la consulenza, prevedendo un rapporto costante per garantire la continuità dei processi produttivi del cliente.