A memoria, forse è la prima volta che l’Italia – politici, decisori, autorità – si spaventa davvero per un malware. Dall’attacco ransomware alla Regione Lazio si comincia a percepire davvero la minaccia che ne può venire per la stabilità del sistema Paese; per la nostra sicurezza.
- Perché dal ransomware sono state bloccate le prenotazioni vaccini in piena variante Delta (update 3 agosto, Regione Lazio promette sblocco il 13 agosto);
- Perché Regione Lazio ha in pancia dati preziosissimi – anagrafici, sanitari – , di ministri e personalità (update 3 agosto: Regione Lazio dice che almeno questi dati sono al sicuro)
- Perché sono stati bloccati circa dieci anni di documenti necessari alla Regione, pratiche edilizie, gestione rifiuti.
Cosa sappiamo e cosa non sappiamo sull’attacco alla Regione Lazio
Facciamo bene a preoccuparci, anche se i primi indizi lascerebbero pensare che si tratti “solo” di un gruppo criminale a caccia di soldi; non una potenza straniera.
C’è già stata una richiesta di riscatto, del resto. Attività di spionaggio sui dati sono silenziose a differenza di quest’attacco.
Regione non riuscirebbe a riattivare i sistemi perché anche i backup sono stati criptati. Non sono state applicate le misure di sicurezza in merito a disaster recovery pensate per le norme per le infrastrutture critiche (backup offline/offsite).
Regione Lazio, vaccini bloccati: poco pronta contro il ransomware, ecco perché
Attacco partito da computer lavoratore in smart working
Il 3 agosto la Regione ha detto che l’attacco è partito da un computer di un lavoratore in smart working.
Molte fonti riportano che la Polizia Postale lavora su una pista, in particolare: il fornitore di servizi security di LazioCrea-Regione Lazio avrebbe subito un attacco da cui sono stati sottratti dati di accesso VPN alla rete di diversi clienti (tra cui Regione). Uno di questi accessi potrebbe essere appunto quello del lavoratore.
Diversi esperti (Alberto Pelliccione, Stefano Fratepietro) hanno scritto che propri clienti hanno subito un attacco ransomware partito dal loro fornitore di servizi di sicurezza, lo stesso di Lazio Crea. Dato che le voci puntavano a Engineering (in effetti fornitore Lazio Crea ma non di servizi di sicurezza), quest’ultima ha smentito ogni responsabilità, pur dicendo di aver subito un ingresso illecito (ma subito respinto) il 30 luglio. E da quest’attacco è venuto solo un ransomware a Erg (suo cliente), ma non a Regione Lazio.
Regione Lazio, tutti i punti aperti dopo il backup ritrovato
Furto di dati?
Certo non si può escludere che ci sia stata comunque una esfiltrazione di dati e che questi dati siano sensibili. Anche se lo scopo è solo quello economico, poi dati rubati possono comunque circolare là dove non dovrebbero.
Nel caso di dati di utenti di un’azienda che ha subito un data breach per un ransomware, i rischi collaterali sono di phishing e frodi ai loro danni. In questo caso, data la natura dei dati e delle persone potenzialmente coinvolte, il danno collaterale – ancorché non ricercato dai criminali che hanno compiuto l’attacco – investe la sicurezza della Nazione.
Garante Privacy in azione su data breach
Il Garante Privacy ha comunicato che “La Regione ha fatto pervenire una prima notifica preliminare di violazione dei dati all’Autorità, la quale si riserva di valutare a pieno la situazione una volta ricevuti ulteriori elementi anche all’esito delle analisi che la Regione sta compiendo”.
(aggiornamento delle 18.00)
La banalità del male
E tuttavia è un fatto anche che un attacco tutto sommato “comune” abbia creato così tanti problemi e allarmi. Ricordiamo che un allarme anche infondato è di per sé un problema: mina la fiducia dei cittadini nell’affidabilità e nella sicurezza delle aziende e istituzioni a cui si affidano.
L’attacco informatico che ha messo in ginocchio i sistemi della regione Lazio è, con buona pace di molti politici e delle testate che ne hanno riportato le dichiarazioni, tutto tranne che inatteso.
Inatteso è qualcosa che non si conosce, o di cui non ci si interessa perché di solito si verifica raramente e il cui danno è limitato. Inatteso è un terremoto in una zona non sismica, per cui, in assenza di indizi e dati storici, non si prendono precauzioni come i criteri di costruzione antisismica.
Ma si può considerare oggi un attacco informatico un evento inatteso?
Di sicuro no. Pochi mesi fa lo stesso tipo di attacco ha messo in ginocchio per una intera settimana i servizi del comune di Brescia. Per non parlare dei ransomware che hanno paralizzato la Sanità britannica e un oleodotto negli Stati Uniti.
Quello che colpisce, non è neanche la portata. Nonostante alcune testate definiscano l’attacco come “potente”, termine assolutamente privo di senso, non sembra esservi alcuna connotazione particolare che lo possa distinguere dai comuni attacchi informatici visti innumerevoli volte.
Com’è potuto succedere
Come conferma Corrado Giustozzi[1], giornalista, divulgatore ed esperto di infosec per diverse agenzie italiane ed europee tra cui AgID, Cert-PA, ENISA, si tratta di un attacco di stampo criminale, atto a ricattare la regione con la richiesta di un riscatto (di entità non precisata), per mezzo di un ransomware installato su un PC da cui sono stati ottenuti i privilegi di amministrazione (Privilege Escalation).
Secondo varie voci, l’accesso sarebbe avvenuto tramite una sessione amministrativa lasciata aperta, di un dipendente di Lazio Crea (società della Regione), forse per comodità (smart working?).
Circola anche una spiegazione alternativa. A quanto riferiscono fonti che lavorano al caso, la prima fonte dell’attacco sarebbeun fornitore di Lazio Crea, già compromesso con ransomware Lockbit 2.0. Un attacco supply-chain, quindi, sempre più diffusi (vedi caso Kaseya); motivo che ha spinto l’amministrazione americana Biden a imporre misure di sicurezza a tutti i fornitori della pubblica amministrazione Usa.
Come sia, pur non essendoci ancora un’analisi ufficiale, tutto risulta comunque molto ordinario, e niente attribuzione a fantomatici terroristi novax.
Colpisce certo dal punto di vista emotivo che tutto ciò sia avvenuto durante una importante e critica campagna vaccinale, ma la cosa non ha nulla di strano; da una parte, il contesto pandemico e l’urgenza della stessa campagna sono un enorme arma per gli scopi estorsivi dei perpetratori. Dall’altra potrebbe benissimo essere del tutto accidentale, come detto questi attacchi sono tutto tranne che rari. Si tratterebbe dunque di un attacco di matrice del tutto opportunistica.
Paganini: “Perché sconcerta l’attacco ransomware a Regione Lazio”
Quanto è accaduto è sconcertante, un attacco ad un servizio critico in un momento come questo ed assimilabile ad un attentato allo Stato.
Per quale motivo le istituzioni parlano di un attacco senza precedenti? Osserviamo migliaia se non milioni di attacchi ransomware di complessità differente e a risultante è spesso la medesima, furto dei dati della vittima ed indisponibilità del servizio.
Il termine “senza precedenti” si riferisce quindi al livello di complessità? Sono state utilizzate falle non note al tempo dell’attacco (cosiddette zero-day) per penetrare le reti dell’ente ed impiantare il ransomware? Dalle informazioni sommarie che si trovano in rete parrebbe di no, anzi si parla di una intrusione attraverso un sistema di un dipendente evidentemente non adeguatamente protetto.
L’aspetto che preoccupa maggiormente in questa vicenda è la capacità di risposta all’incidente. Il blocco dei sistema si è reso necessario per evitare la propagazione della minaccia, ma siamo sicuri che non siano stati esfiltrati i dati in quello che appare un attacco mosso da un gruppo criminale?
Preoccupa la velocità di ripristino delle operazioni. Qualcosa non ha evidentemente funzionato nella risposta all’incidente, in quelle procedure scritte e soluzioni tecnologiche che avrebbero dovuto garantire la continuità del servizio in concomitanza di qualunque evento avverso, soprattutto dinanzi ad un comune attacco ransomware. E’ pur vero che gestire la continuità operativa di servizi simili è tutt’altro che semplice, tuttavia quanto è accaduto è sintomatico di un approccio non corretto al problema.
Inutile in questa fase puntare il dito per accusare, dobbiamo apprendere la lezione e far tesoro degli errori commessi. Quanto è accaduto dimostra quanto sia potenzialmente fragile la nostra infrastruttura pubblica, quanto siano importanti gli aspetti di cyber security per una società che si fonda sulla tecnologia.
Pierluigi Paganini, CYBHORUS
La Regione Lazio poco preparata contro i ransomware?
Ma cosa possiamo dire invece dal punto di vista tecnico? Senza conoscere i dettagli dei piani di Disaster Recovery o dei sistemi di difesa messi in atto dalla regione Lazio, sarebbe prematuro e poco corretto affermare che essi fossero insufficienti. Le precedenti esperienze riguardanti non solo agenzie governative e ospedali di tutto il mondo, ma anche aziende multinazionali cui difficilmente si può attribuire una mancanza di cultura dell’infosec, ci insegnano che anche con i migliori sistemi di difesa la riuscita di un attacco è una eventualità possibile.
Un buon piano di Risk Management infatti deve prevedere sia i sistemi di difesa e prevenzione dell’attacco, sia un piano di recovery e di Incident Response che permetta in tempi brevi di riprendere l’attività ordinaria a seguito del malaugurato successo di un tale attacco. Recovery che, a volte, data la complessità delle reti, richiede tempi anche lunghi.
Norme incomplete e/o poco rispettate
Le norme riguardanti le infrastrutture critiche richiedono un piano di disaster recovery, ma queste norme sono solo in parte attuate (per ritardo dei decreti e sulla nascita dell’Agenzia della cybersecurity). Responsabilità condivise insomma tra legislatore, attuatori e aziende, PA.
Attacco Regione Lazio, che dicono le norme: una lezione per fare meglio
Non è del resto sufficiente, come molti pensano, ripristinare i sistemi criptati dal ransomware, occorre anche identificare la vulnerabilità sfruttata dall’attacco e correggerla, onde evitare che l’attaccante possa replicare l’attacco nello stesso modo.
Tutto questo richiede tempo, investigazione, risorse e know how. Dunque, né l’attacco in sé, né i tempi previsti per il ripristino costituiscono una sorpresa. Certo, nella PA italiana mancano competenze cyber – motivo che ha portato a un (solo) recente aumento degli investimenti in questa direzione (vedi bando Consip), che daranno i frutti (solo) tra un po’.
Ma non si può dire con certezza che altri Paesi e altre realtà siano sostanzialmente meglio attrezzati.
Consip, prima gara strategica per la cyber security: così si rendono più sicure le PA
Il vero errore, comune a tanti
L’unica riflessione che mi stimola è invece fornita da ben altri fatti. E cioè che nonostante i rischi siano noti, ancora si commettano errori marchiani nella gestione quotidiana di ciò che attiene alla sicurezza. Non solo la pubblicazione di una foto di un terminale leggibile con credenziali e password (banali) ben visibili (chissà se quelle credenziali sono state poi invalidate?), ma anche il solo fatto che si permetta a dei fotografi di accedere alle postazioni, fotografarle con tutte quelle informazioni che per un esperto di OSINT potrebbero valere oro (c’erano scontrini leggibili, biglietti da visita, post-it, nomi…).
Credo dunque che, oltre a discutere di cloud nazionale, si dovrebbe investire moltissimo nella formazione informatica degli operatori e dei dirigenti delle singole strutture; solo così infatti potremo incrementare la sicurezza informatica delle nostre reti, fino ad oggi demandata a sistemi e software ma estremamente precaria dal punto di vista del capitale umano.
In conclusione
La buona notizia che anche un attacco come questo può servire ad alzare la consapevolezza politica sul problema. Anche se si scoprirà che l’abbiamo scampata – nessun furto di dati, nessuna potenza straniera o gruppo interessato a boicottare il Paese – abbiamo sudato freddo e quindi saremo più motivati ad accelerare il processo già avviato (con molto ritardo).
- La nascita dell’Agenzia per la sicurezza cibernetica (in ritardo)
- I fondi del PNRR per la cyber security (finalmente, ora speriamo si acceleri su attuazione).
- Il perimetro per la sicurezza cibernetico (in ritardo gli ultimi decreti).
Agenzia cybersecurity, Pagani (PD): “Bene ma restano nodi da affrontare, eccoli”
Consip: su cyber security impegnati da anni
Gentile Direttore,
in merito all’articolo “Regione Lazio, se un malware terrorizza l’Italia”, pubblicato lunedì 2 agosto su AgendaDigitale a firma di Federico Fuga, Consip precisa che l’impegno di Consip in tema di cybersecurity ha precorso i tempi ed, infatti, già nel maggio 2016 veniva aggiudicato – per un importo di 600 milioni di euro – il Lotto 2 della procedura “SPC Cloud”, specificatamente dedicato ai temi della sicurezza dei sistemi e delle soluzioni della PA.
Successivamente, come evidenziato nell’articolo, si è provveduto a sviluppare un ampio portafoglio di soluzioni e servizi di cybersecurity, nell’ambito delle “Gare Strategiche” volte alla trasformazione digitale della PA, sostitutive e/o integrative del succitato contratto.
Pubblicato per diritto di rettifica
Articolo in aggiornamento rispetto a prima versione, del 2 agosto
