Regione Lazio, se un malware terrorizza l'Italia - Agenda Digitale

vaccini e cyber

Regione Lazio, se un malware terrorizza l’Italia

Per il ransomware alla Regione Lazio bloccate le prenotazioni vaccini in piena variante Delta; ma anche molti anni di documenti necessari all’attività regionale. Motivi di massima allerta, anche e soprattutto perché è un “banale” caso. Ecco quali lezioni possiamo apprendere per il futuro

02 Ago 2021
Federico Fuga

ingegnere elettronico, coordinatore della commissione ICT dell’Ordine degli Ingegneri della provincia di Verona

Alessandro Longo

Direttore agendadigitale.eu

A memoria, forse è la prima volta che l’Italia – politici, decisori, autorità – si spaventa davvero per un malware. Dall’attacco ransomware alla Regione Lazio si comincia a percepire davvero la minaccia che ne può venire per la stabilità del sistema Paese; per la nostra sicurezza.

  • Perché dal ransomware sono state bloccate le prenotazioni vaccini in piena variante Delta (update 3 agosto, Regione Lazio promette sblocco il 13 agosto);
  • Perché Regione Lazio ha in pancia dati preziosissimi – anagrafici, sanitari – , di ministri e personalità (update 3 agosto: Regione Lazio dice che almeno questi dati sono al sicuro)
  • Perché sono stati bloccati circa dieci anni di documenti necessari alla Regione, pratiche edilizie, gestione rifiuti.

Cosa sappiamo e cosa non sappiamo sull’attacco alla Regione Lazio

Facciamo bene a preoccuparci, anche se i primi indizi lascerebbero pensare che si tratti “solo” di un gruppo criminale a caccia di soldi; non una potenza straniera.

WHITEPAPER
Scopri Digital Workspace: la guida ai servizi gestiti che abilitano lo smart working!
CIO
Dematerializzazione

C’è già stata una richiesta di riscatto, del resto. Attività di spionaggio sui dati sono silenziose a differenza di quest’attacco.

Regione non riuscirebbe a riattivare i sistemi perché anche i backup sono stati criptati. Non sono state applicate le misure di sicurezza in merito a disaster recovery pensate per le norme per le infrastrutture critiche (backup offline/offsite).

Regione Lazio, vaccini bloccati: poco pronta contro il ransomware, ecco perché

Attacco partito da computer lavoratore in smart working

Il 3 agosto la Regione ha detto che l’attacco è partito da un computer di un lavoratore in smart working.

Molte fonti riportano che la Polizia Postale lavora su una pista, in particolare: il fornitore di servizi security di LazioCrea-Regione Lazio avrebbe subito un attacco da cui sono stati sottratti dati di accesso VPN alla rete di diversi clienti (tra cui Regione). Uno di questi accessi potrebbe essere appunto quello del lavoratore.

Diversi esperti (Alberto Pelliccione, Stefano Fratepietro) hanno scritto che propri clienti hanno subito un attacco ransomware partito dal loro fornitore di servizi di sicurezza, lo stesso di Lazio Crea. Dato che le voci puntavano a Engineering (in effetti fornitore Lazio Crea ma non di servizi di sicurezza), quest’ultima ha smentito ogni responsabilità, pur dicendo di aver subito un ingresso illecito (ma subito respinto) il 30 luglio. E da quest’attacco è venuto solo un ransomware a Erg (suo cliente), ma non a Regione Lazio.

Regione Lazio, tutti i punti aperti dopo il backup ritrovato

Furto di dati?

Certo non si può escludere che ci sia stata comunque una esfiltrazione di dati e che questi dati siano sensibili. Anche se lo scopo è solo quello economico, poi dati rubati possono comunque circolare là dove non dovrebbero.

Nel caso di dati di utenti di un’azienda che ha subito un data breach per un ransomware, i rischi collaterali sono di phishing e frodi ai loro danni. In questo caso, data la natura dei dati e delle persone potenzialmente coinvolte, il danno collaterale – ancorché non ricercato dai criminali che hanno compiuto l’attacco – investe la sicurezza della Nazione.

Garante Privacy in azione su data breach 

Il Garante Privacy ha comunicato che “La Regione ha fatto pervenire una prima notifica preliminare di violazione dei dati all’Autorità, la quale si riserva di valutare a pieno la situazione una volta ricevuti ulteriori elementi anche all’esito delle analisi che la Regione sta compiendo”.

(aggiornamento delle 18.00)

La banalità del male

E tuttavia è un fatto anche che un attacco tutto sommato “comune” abbia creato così tanti problemi e allarmi. Ricordiamo che un allarme anche infondato è di per sé un problema: mina la fiducia dei cittadini nell’affidabilità e nella sicurezza delle aziende e istituzioni a cui si affidano.

L’attacco informatico che ha messo in ginocchio i sistemi della regione Lazio è, con buona pace di molti politici e delle testate che ne hanno riportato le dichiarazioni, tutto tranne che inatteso.

Inatteso è qualcosa che non si conosce, o di cui non ci si interessa perché di solito si verifica raramente e il cui danno è limitato. Inatteso è un terremoto in una zona non sismica, per cui, in assenza di indizi e dati storici, non si prendono precauzioni come i criteri di costruzione antisismica.

Ma si può considerare oggi un attacco informatico un evento inatteso?

Di sicuro no. Pochi mesi fa lo stesso tipo di attacco ha messo in ginocchio per una intera settimana i servizi del comune di Brescia. Per non parlare dei ransomware che hanno paralizzato la Sanità britannica e un oleodotto negli Stati Uniti.

Quello che colpisce, non è neanche la portata. Nonostante alcune testate definiscano l’attacco come “potente”, termine assolutamente privo di senso, non sembra esservi alcuna connotazione particolare che lo possa distinguere dai comuni attacchi informatici visti innumerevoli volte.

Com’è potuto succedere

Come conferma Corrado Giustozzi[1], giornalista, divulgatore ed esperto di infosec per diverse agenzie italiane ed europee tra cui AgID, Cert-PA, ENISA, si tratta di un attacco di stampo criminale, atto a ricattare la regione con la richiesta di un riscatto (di entità non precisata), per mezzo di un ransomware installato su un PC da cui sono stati ottenuti i privilegi di amministrazione (Privilege Escalation).

Secondo varie voci, l’accesso sarebbe avvenuto tramite una sessione amministrativa lasciata aperta, di un dipendente di Lazio Crea (società della Regione), forse per comodità (smart working?).

Circola anche una spiegazione alternativa. A quanto riferiscono fonti che lavorano al caso, la prima fonte dell’attacco sarebbeun fornitore di Lazio Crea, già compromesso con ransomware Lockbit 2.0. Un attacco supply-chain, quindi, sempre più diffusi (vedi caso Kaseya); motivo che ha spinto l’amministrazione americana Biden a imporre misure di sicurezza a tutti i fornitori della pubblica amministrazione Usa.

Come sia, pur non essendoci ancora un’analisi ufficiale, tutto risulta comunque molto ordinario, e niente attribuzione a fantomatici terroristi novax.

Colpisce certo dal punto di vista emotivo che tutto ciò sia avvenuto durante una importante e critica campagna vaccinale, ma la cosa non ha nulla di strano; da una parte, il contesto pandemico e l’urgenza della stessa campagna sono un enorme arma per gli scopi estorsivi dei perpetratori. Dall’altra potrebbe benissimo essere del tutto accidentale, come detto questi attacchi sono tutto tranne che rari. Si tratterebbe dunque di un attacco di matrice del tutto opportunistica.

La Regione Lazio poco preparata contro i ransomware?

Ma cosa possiamo dire invece dal punto di vista tecnico? Senza conoscere i dettagli dei piani di Disaster Recovery o dei sistemi di difesa messi in atto dalla regione Lazio, sarebbe prematuro e poco corretto affermare che essi fossero insufficienti. Le precedenti esperienze riguardanti non solo agenzie governative e ospedali di tutto il mondo, ma anche aziende multinazionali cui difficilmente si può attribuire una mancanza di cultura dell’infosec, ci insegnano che anche con i migliori sistemi di difesa la riuscita di un attacco è una eventualità possibile.

Un buon piano di Risk Management infatti deve prevedere sia i sistemi di difesa e prevenzione dell’attacco, sia un piano di recovery e di Incident Response che permetta in tempi brevi di riprendere l’attività ordinaria a seguito del malaugurato successo di un tale attacco. Recovery che, a volte, data la complessità delle reti, richiede tempi anche lunghi.

Norme incomplete e/o poco rispettate

Le norme riguardanti le infrastrutture critiche richiedono un piano di disaster recovery, ma queste norme sono solo in parte attuate (per ritardo dei decreti e sulla nascita dell’Agenzia della cybersecurity). Responsabilità condivise insomma tra legislatore, attuatori e aziende, PA.

Attacco Regione Lazio, che dicono le norme: una lezione per fare meglio

Non è del resto sufficiente, come molti pensano, ripristinare i sistemi criptati dal ransomware, occorre anche identificare la vulnerabilità sfruttata dall’attacco e correggerla, onde evitare che l’attaccante possa replicare l’attacco nello stesso modo.

Tutto questo richiede tempo, investigazione, risorse e know how. Dunque, né l’attacco in sé, né i tempi previsti per il ripristino costituiscono una sorpresa. Certo, nella PA italiana mancano competenze cyber – motivo che ha portato a un (solo) recente aumento degli investimenti in questa direzione (vedi bando Consip), che daranno i frutti (solo) tra un po’.

Ma non si può dire con certezza che altri Paesi e altre realtà siano sostanzialmente meglio attrezzati.

Consip, prima gara strategica per la cyber security: così si rendono più sicure le PA

Il vero errore, comune a tanti

L’unica riflessione che mi stimola è invece fornita da ben altri fatti. E cioè che nonostante i rischi siano noti, ancora si commettano errori marchiani nella gestione quotidiana di ciò che attiene alla sicurezza. Non solo la pubblicazione di una foto di un terminale leggibile con credenziali e password (banali) ben visibili (chissà se quelle credenziali sono state poi invalidate?), ma anche il solo fatto che si permetta a dei fotografi di accedere alle postazioni, fotografarle con tutte quelle informazioni che per un esperto di OSINT potrebbero valere oro (c’erano scontrini leggibili, biglietti da visita, post-it, nomi…).

Credo dunque che, oltre a discutere di cloud nazionale, si dovrebbe investire moltissimo nella formazione informatica degli operatori e dei dirigenti delle singole strutture; solo così infatti potremo incrementare la sicurezza informatica delle nostre reti, fino ad oggi demandata a sistemi e software ma estremamente precaria dal punto di vista del capitale umano.

In conclusione

La buona notizia che anche un attacco come questo può servire ad alzare la consapevolezza politica sul problema. Anche se si scoprirà che l’abbiamo scampata – nessun furto di dati, nessuna potenza straniera o gruppo interessato a boicottare il Paese – abbiamo sudato freddo e quindi saremo più motivati ad accelerare il processo già avviato (con molto ritardo).

Agenzia cybersecurity, Pagani (PD): “Bene ma restano nodi da affrontare, eccoli”

Articolo in aggiornamento rispetto a prima versione, del 2 agosto

WEBINAR
21 Settembre 2021 - 19:00
360ON Tv-Smart working tra rientro in ufficio e lavoro da remoto: che futuro per pubblico e privato?
Risorse Umane/Organizzazione
Smart working
@RIPRODUZIONE RISERVATA

Articolo 1 di 3