logo-mini
“Regione Lazio. Cosa è successo davvero. E come evitare che ... OF OSSERVATORIO FINANZIARIO

SOMMARIO

È il più grave attacco hacker mai avvenuto in Italia. Con danni incalcolabili nel lungo periodo. E mentre ancora si tenta di capire come ripristinare i servizi essenziali, già ci si interroga sulle possibili cause. Come evitare di cadere vittima, in futuro, di questi attacchi? Lo spiega a OF Gerardo Costabile, attualmente CEO di DeepCyber e con una lunga carriera alle spalle passata in prima linea a combattere la criminalità informatica

“Regione Lazio. Cosa è successo davvero. E come evitare che accada di nuovo”

Leggi anche:
» Con il Covid boom di crimini online. Che fare?

È stato definito il più grave attacco hacker mai verificatosi in Italia. Anche perché ha colpito un servizio essenziale, soprattutto in questo particolare periodo. Da domenica, poco dopo la mezzanotte, il sito della Regione Lazio, quello del Consiglio regionale e il portale di prenotazione dei vaccini contro il Covid-19 (o di qualsiasi altra visita medica, in realtà) non sono raggiungibili. Un virus, infatti, ha mandato in tilt tutti i servizi collegati al Centro elaborazione dati (Ced), il sistema che gestisce l’intera infrastruttura informatica regionale: ad oggi non si possono prenotare visite mediche, ottenere green pass, pagare il bollo dell’auto.

Anche l’unico backup esistente dell’intero sistema risulta bloccato. E se non verrà recuperata la chiave di accesso, questi dati, che includono informazioni personali dei cittadini, non potranno più essere ripristinati. Con danni incalcolabili sul lungo periodo. Soprattutto qualora i criminali del web decidessero di vendere queste informazioni al “mercato nero” di Internet.

Stando alla ricostruzione degli esperti, che da giorni lavorano senza sosta per tentare di ripristinare i servizi, l’attacco sarebbe partito dal pc di un dipendente che lavorava da casa in smart working. I cybercriminali, dopo aver studiato le sue abitudini di navigazione, sono riusciti a violare l’account personale, a carpire le sue credenziali e ad accedere al sistema informatico della Regione. Così facendo hanno avuto via libera per prenderne il controllo e per installare al suo interno un ransomware, cioè quel particolare tipo di virus che blocca alcuni dati sensibili, o programmi, rendendoli inutilizzabili, per poi chiedere un riscatto (normalmente in Bitcoin) in cambio della liberazione (da qui, appunto deriva “ransom”, letteralmente “riscatto”). Anche se finora non risulta essere pervenuta alcuna richiesta di denaro virtuale.

Com’è potuto accedere? E come imparare a riconoscere potenziali truffe per evitare che queste situazioni si ripresentino in futuro? OF Osservatorio Finanziario lo ha chiesto a Gerardo Costabile, attualmente CEO di DeepCyber, una boutique creata nel 2017 ed acquisita dal Gruppo Maggioli a fine 2020, specializzata in Advanced Cyber Threat Intelligence, Protection e Antifrode, oltre che Presidente dell’Italian Chapter di IISFA (associazione no profit che raggruppa gli specializzati in informatica forense), ma con una lunga carriera alle spalle passata in prima linea a combattere il crimine informatico.

OF: Com’è stato possibile un attacco di queste proporzioni?
Costabile: Allora, partiamo da una premessa. La situazione della Regione Lazio è pressoché la stessa di tutte le altre regioni, e non solo. Il sistema sanitario ha investito poco e male nella cybersecurity, nonostante nel 2017 avessimo registrato uno dei più importanti attacchi internazionali con Wannacry, una tipologia di ransomware che è stata responsabile di un'epidemia su larga scala sui computer Microsoft Windows. Lo confermano anche i dati: come emerge dal report DBIR del 2021 e da quelli degli anni precedenti, i dati e i sistemi sanitari sono diventati i target preferiti dagli attaccanti.

OF: Perché i cybercriminali preferiscono puntare su queste vittime?
Costabile: Anche, ma non solo, perché sono quelli mediamente meno sicuri.

OF: Ma quindi, come ha agito il virus?
Costabile: Io non starei a scomodare sofisticati attacchi governativi, vulnerabilità sconosciute o altro ancora. Direi, anzi, che nel caso della Regione Lazio sembra essersi trattato di un noto ransomware, utilizzato da un gruppo di cybercriminali opportunistico e motivato dal denaro.

OF: Però il ransomware è andato talmente in profondità che, oltre ai dati, ha bloccato anche il backup, cioè la copia di riserva.
Costabile: Non vorrei deludere qualcuno, ma non basta certo un backup (ovviamente off-line) per risolvere il problema. Backup dei dati e più faticosamente uno snapshot della parte tecnologica sono solo un pezzo del problema. Ripristinare un servizio non significa solo avere un backup dei dati.

OF: Quindi come si può risolvere?
Costabile: Ci sono alcuni aspetti che vorrei fossero chiari. Da un lato eviterei di semplificare, sono infrastrutture complesse. E proprio perché si tratta di infrastrutture critiche, non può non essere approfondita la causa, oltre all'effetto. Perché, a mio avviso, identificare la causa che ha portato al successo di un attacco è uno degli aspetti chiave della cybersecurity. Per ridurre il rischio che succedano di nuovo.

OF: E qual’è stata la causa?
Costabile: Seguendo la filiera dell'attacco un altro punto fondamentale è la continuità operativa della "macchina sanitaria". Ultimamente, si sta parlando molto spesso di resilienza, anche in virtù della costituenda Agenzia di cyber security (o di sicurezza cibernetica) nazionale. La resilienza si misura proprio in casi come questi.

OF: Si spieghi meglio…
Costabile: Gestire un incidente con un così grande impatto non è banale, servono persone formate e bisogna fare simulazioni periodiche, come accade per la protezione civile su eventi fisici. Non ci si può improvvisare. Bisogna prima progettare e poi testare i processi e tutto l’ecosistema della business continuity e disaster recovery. Serve un nuovo modo di interpretare la materia, con il giusto polso e anche sanzionando le inefficienze o gli errori.

OF: La Regione ha detto che, per ora, sembra non siano stati trafugati dati sensibili…
Costabile: Il problema non è sicuramente la riservatezza del vaccino del Presidente della Repubblica, che lo ha fatto in diretta e con trasparenza, ma ci preoccupano tutti gli altri dati sanitari, molto interessanti per lo spionaggio industriale o per analizzare le strategie di un paese.

© OF Osservatorio Finanziario – riproduzione riservata

Leggi Anche:


Contatti

OF Osservatorio Finanziario

OfNews è una realizzazione di OF Osservatorio Finanziario. Leggi Privacy Policy (formato PDF)

Visita il sito