L’attacco informatico contro la regione Lazio è stato apparentemente scatenato da un utilizzatore di LockBit 2.0, ossia una sorta di virus informatico dato in appalto da una società madre (Il gruppo di criminali informatici Blackmatter, ex Darkside) in cambio di una quota dei riscatti ottenuti da chi lo utilizza “affiliandosi”. Secondo le prime ricostruzioni degli esperti, la Regione non sarebbe quindi stata colpita direttamente e non sarebbe l’unica vittima poiché “l’intrusione” avrebbe riguardato un importante MSSP italiano, ossia un fornitore di servizi a cui si appoggia la regione ma non solo. Il sito della regione Lazio è stato attaccato domenica scorsa, causando tra l’altro, la disattivazione del portale salute e delle prenotazioni vaccinali. Difficile capire ora quanto esteso sia il danno, quali i tempi di risoluzione del problema e, soprattutto, l’esatta provenienza della violazione. Ne parliamo con Stefano Zanero, docente di sicurezza informatica al Politecnico di Milano.
Professor Zanero, il presidente della regione Lazio Nicola Zingaretti, afferma che per ora non sono pervenute richiesta di riscatto (ma è probabilmente giunta al fornitore di servizi per la regione in quanto “implicita” in questo tipo di software malevoli), parla di un attacco terroristico e afferma che in ogni caso non tratterà con chi ne è responsabile. Fa bene?
L’approccio è giusto ed è una buona posizione di principio, perché trattare diventa sempre un incentivo a perpetrarne altri. Un po’ come accade per i sequestri di persona. Non sappiamo quale siano le vulnerabilità degli altri sistemi informatici regionali, non è detto che siano meglio difesi di quello laziale. È una scelta difficile ma è la scelta corretta in un’ottica di difesa della pubblica amministrazione. Ci tengo però a dire che l’attacco in sé dice poco sul livello di sicurezza di un sistema. Eventi di questo tipo avvengono ogni giorno, anche a danno di società e istituzioni con sistemi di difesa informatica di alto livello. Un sistema sicuro riduce le probabilità che un attacco avvenga ma non le elimina. E’ un po’ come un incidente automobilistico. Il fatto che si verifichi non significa in automatico che il guidatore sia incapace o il veicolo poco sicuro. Infine, comprendo la logica che porta Zingaretti ad usare il termine “terroristico” per definire l’attacco ma mi permetto di ritenerla un po’ fuori luogo. Il terrorismo sottintende motivazioni politiche mentre qui le ragioni sembrano essere esclusivamente finanziarie.
Anche i tempi di reazione e di rimessa in funzione di un sistema operativo dicono molto delle capacità di una struttura di fronteggiare queste emergenze…
Sì, non dimentichiamoci però che questi sono sistemi davvero grandi e complessi. In ogni caso ripristinarne la funzionalità è un’operazione non da poco. L’attacco si è verificato ieri, per ora siamo all’interno di tempistiche assolutamente normali . Cito l’esempio della Norsk Hydro (compagnia norvegese e quarto gruppo al mondo nell’alluminio, ndr) che qualche tempo fa è stata vittima di un attacco e che è stata estremamente trasparente sulle modalità di gestione dell’emergenza. Per risolvere il problema sono servite tre settimane. La statunitense Colonial Pipeline, colpita da un ransomware (virus informatico che “sequestra” i dati criptandoli e li “libera” solo dietro pagamento di un riscatto, generalmente in bitcoin, ndr) dopo ripetuti tentativi falliti per ripristinare la funzionalità delle sue infrastrutture ha scelto di pagare. In entrambi i casi parliamo di grandi società che non mancano di risorse finanziarie e/o tecniche.
Per il Lazio si parla di un software malevolo proveniente dalla Germania. Tuttavia generalmente il processo di attribuzione di un attacco informatico è un’operazione estremamente complessa che richiede tempo e indagini approfondite….
Di per sé la provenienza geografica significa poco e nulla dice riguardo agli autori. L’attacco può semplicemente essere transitato da lì. Come sempre ci vorrà tempo per provare a capire da dove venga davvero l’attacco e a chi sia riconducibile, ammesso che sia possibile farlo, cosa non scontata.
In generale i sistemi della pubblica amministrazione italiana sono particolarmente a rischio o gli standard sono equiparabili a quelli di altri paesi europei?
Partirei da quello che ha affermato il ministro per la transizione digitale e l’innovazione digitale Vittorio Colao, ossia che il 96% di computer della pubblica amministrazione è a rischio. Un dato che fa riflettere. Tuttavia non dimentichiamo che, nel 2017, l’intero sistema sanitario britannico (Nhs) fu messo in ginocchio dal malware “WannaCry”. Aggiungo che la sanità è di per sé un sistema particolarmente esposto e difficile da difendere. Gli utenti connessi sono tanti e quindi le porte di accesso sono numerose.
Qual è il valore “sul mercato” dei dati sanitari eventualmente sottratti?
In Europa e in Italia limitato, negli Stati Uniti più alto visto il ruolo che le assicurazioni hanno nel sistema sanitario. Nel momento in cui nel sistema viene immessa una componente economica il prezzo sale. Per un assicuratore, avere informazioni riservate sullo stato di salute di chi deve sottoscrivere una polizza è, ovviamente, una “ricchezza”. Ciò non toglie poi che, ovunque, ci possa essere un disagio a livello personale nel sapere che qualcuno ha conoscenza delle mie condizioni sanitarie, indipendentemente dal fatto che sia in salute o meno. Maggiore interesse, anche economico, possono inoltre averlo dati di personaggi come amministratori delegati di grandi aziende o politici di primo piano. Sapere che il numero uno di una grande banca o industria è malato potrebbe, ad esempio, essere informazione utile a fini speculativi.
Il traffico in rete di dati illecitamente sottratti è comunque realtà nota e molto più diffusa di quanto si pensi. Anche perché, paradossalmente, molti utenti potrebbero non venire mai a conoscenza del fatto che alcuni dei loro dati sono stati “rubati” e rivenduti…
Purtroppo è così. Eppure le conseguenze, anche se a nostra insaputa, possono esserci. Pensiamo, ad esempio alla storia creditizia di un individuo. Se messa a disposizione di una struttura finanziaria potrebbe essere motivo per decidere di non erogare un mutuo o di un prestito. Sapremmo che il prestito ci viene negato, ma non sapremmo il vero motivo.