La notizia certa è che la Regione Lazio ha subito un importante attacco cyber, ancora in corso di svolgimento.
La notizia da verificare è: la Regione Lazio era preparata e pronta a rispondere adeguatamente all’attacco cyber?
La risposta dovrebbe essere positiva ma il condizionale è d’obbligo.
Regione Lazio: c’è virus e “virus”
Ricordiamo che la Regione Lazio è un’infrastruttura critica ricompresa nell’ambito della NIS (la Direttiva europea per la sicurezza delle reti e dei sistemi informativi) e nel perimetro nazionale di sicurezza cibernetica.
Tradotto: la Regione Lazio deve obbligatoriamente mantenere standard di cyber security elevati.
Purtroppo pare che la realtà sia drammaticamente diversa.
Testimonianza di ciò è la comunicazione istituzionale, che si sta dimostrando imprecisa, inadeguata e fuorviante e quindi non compliant rispetto al GDPR.
Invero, la Regione Lazio è tenuta a fornire una comunicazione semplice e chiara quando la violazione di dati è suscettibile di presentare un rischio elevato per i diritti e libertà dei cittadini. Questi sono i soggetti meno sono consapevoli delle conseguenze e dei pericoli di quanto sta accadendo.
Anche i mass media non stanno offrendo un buon servizio, riportando notizie non pienamente corrette e affidabili e generando ulteriore confusione e allarmismo.
La cronaca si chiede solamente chi sono gli attaccanti, quale è loro motivazione, quanto è il riscatto, etc..
Questi sono certamente aspetti importanti per le autorità competenti e gli analisti al fine di indagare e analizzare la dinamica dell’attacco.
Tuttavia manca la domanda fondamentale, che riproponiamo: la Regione Lazio era preparata e pronta a rispondere adeguatamente all’attacco cyber?
La risposta purtroppo sembra di segno negativo, e non dobbiamo neanche sbalordirci.
L’Italia e la questione cyber
Come fa notare Franco Gabrielli, Autorità delegata per la sicurezza della Repubblica, l’Italia sconta un ritardo decennale/ventennale rispetto ad altri Paesi economicamente avanzati. Solo oggi siamo in dirittura d’arrivo per l’istituzione dell’Agenzia per la cybersicurezza nazionale (ACN), la cui legge verrà votata al Senato in settimana.
Oltre al deficit istituzionale, il ritardo del nostro Paese si misura anche sul piano della reazione al tipo di attacco: il ransomware non presenta nulla di tecnologicamente avanzato.
Le conseguenze del ransomware, anche molto dannose, derivano unicamente dal grado di maturità della vittima e dalle sue capacità di risposta.
Non osiamo immaginare cosa potrebbe accadere di fronte ad un attacco di alto profilo.
Il caso della Regione Lazio è emblematico: l’Italia è assai vulnerabile sul piano cyber. Anzi, è essa stessa una vulnerabilità.
Cos’è CryptoLocker
Il “protagonista” di questa vicenda è CryptoLocker: tecnicamente, è un software malevolo (malware) di tipo ransomware; concretamente, cifra i dati del dispositivo della vittima, rendendoli inutilizzabili.
Pagando un riscatto (ransom) in criptovaluta – poiché difficilmente tracciabile –, la vittima otterrebbe dall’attaccante, senza però alcuna garanzia, una chiave di decriptazione, necessaria per riavere i dati in chiaro e poterli nuovamente utilizzare.
CryptoLocker infetta i sistemi operativi Windows e di solito viene inoculato come un allegato email, in apparenza lecito e inoffensivo, proveniente da un indirizzo legittimo, oppure viene caricato su un computer già parte di una botnet, cioè una rete di dispositivi infetti e manovrati dall’attaccante.
Tornando all’hackeraggio subito dalla Regione Lazio, Corrado Giustozzi, esperto di cyber security e già membro Agenzia per l’Italia Digitale e ENISA (agenzia europea per la cyber security), chiarisce alcuni punti.
Scartando l’ipotesi di gruppi NoVax o Anonymous, l’attribution dell’attacco riguarderebbe cyber criminali che hanno inoculato il ransomware direttamente sui sistemi tramite intrusione su un pc, da cui è partita l’escalation.
Da escludere poi l’ipotesi di email phishing o social engineering, trattandosi invece di un attacco alle macchine e non alle persone. Ciò farebbe pensare ad un insider threat, ossia una persona che conosceva i sistemi della Regione Lazio, ulteriore dimostrazione di come il fattore umano, volente o nolente, è quello più insidioso per la cyber security.
Conclusioni
L’hackeraggio dei siti della Regione Lazio è certamente un episodio grave che desta molta preoccupazione.
L’attacco ha causato l’interruzione del servizio di prenotazione dei vaccini anti-Covid, ledendo il diritto alla salute, costituzionalmente garantito, in un periodo di grande preoccupazione per la diffusione delle varianti del virus e il rialzo nella curva dei contagi.
Inoltre è a rischio la privacy degli italiani: il Ced – Centro elaborazione dati della Regione Lazio – gestisce i dati sensibili di circa 6 milioni di persone. I dati sanitari sono oro per i cyber criminali e la pandemia da Covid-19 lo ha reso più evidente. Anche in questo caso, non abbiamo ancora imparato la lezione.
In chiusura, non possiamo sperare che i “cattivi” (i cracker) diventino magicamente “buoni”.
La domanda da fare è: i “buoni” (le vittime) hanno fatto/stanno facendo il loro dovere?
In attesa di risposta, ribadiamo che serve una vera cultura cyber su tutti i livelli (aziendale, istituzionale, sociale) e che dobbiamo dotarci di risorse, strutture e mission adeguati per contrastare, preventivamente e successivamente, minacce e attacchi cyber.