Ormai la notizia è diffusa a livello globale: la Regione Lazio è stata vittima di un attacco informatico e sta subendo un ricatto per tornare in possesso dei dati criptati.

Ma come è stata data la notizia? Cosa stanno diffondendo i media? Come stanno comunicando la vicenda, i politici?

Sicuramente non nel modo più corretto.

 

All’interno dei sistemi della Regione Lazio si è diffuso un ransomware, un malware (probabilmente Lockbit 2.0) in grado di rendere inintelligibili i dati dei sistemi informatici, per mezzo di un processo di criptazione degli stessi. I malfattori, dietro il pagamento di un riscatto, fornirebbero la chiave di decriptazione.

Il primo “rozzo” ransomware nacque nel 1989, ma da allora, in particolare, dal 2012 in poi, questo genere di malware si è evoluto e “raffinato” al punto di riuscire a compromettere i sistemi di backup e di essere abbinato a sistemi di “esfiltrazione” di dati dai sistemi compromessi.

Come riescono i malfattori a introdurre questa infezione nei pc di tutto il mondo?

I sistemi sono molteplici:

– diffusione di allegati infetti all’interno di mail di phishing e siti web;

– inserimento nei sistemi tramite supporti fisici (chiavette usb);

– inserimento tramite desktop remoti;

– tramite software “civetta” di giochi, musica o altro, spesso proposti gratuitamente;

– sfruttando vulnerabilità di software, come il celebre WannaCry del 2017.

 

Ma vediamo ora, di seguito, le frasi, le parole e le imprecisioni con cui ci viene decritta la vicenda della Regione Lazio:

1) “abbiamo subito un potente attacco hacker senza precedenti”.

Gli addetti ai lavori noteranno più di un errore in questa frase. Primo, non è un attacco senza precedenti, ma un normalissimo ransomware come quelli che ogni giorno compromettono i dati di migliaia di enti, aziende e privati; è anche sbagliato definirlo “attacco”, in realtà, il ransomware è come un esca attaccata ad un amo che attende che qualcuno abbocchi; il termine hacker non si riferisce a chi diffonde malware o danneggia sistemi, ma indica un individuo che, per vari motivi (a volte etici e dimostrativi, a volte malevoli) accede a dei dati, superando il “muro” di sicurezza dei sistemi informatici. Insomma, non tutti gli hacker sono criminali, anche se molti criminali sono anche hacker (ma non è detto).

2) “attacco sofisticato effettuato da persone molto esperte”.

L’attacco ha poco di sofisticato. E’ un normale ransomware. Non è detto che chi ha compiuto l’attacco sia così esperto. Oggi la rete, in particolare il dark web, è ricca di tools di malware e virus, utilizzabili anche da chi non ha particolari competenze tecnologiche.

3) “la Regione è ancora sotto attacco”.

Questa frase farebbe pensare a qualcuno che continua a svolgere attività informatica malevola. In realtà, il sasso è stato lanciato: il ransomware ha fatto il suo “dovere”. Il punto adesso è un altro: cosa fare? Come mitigare i danni? Come ripristinare i sistemi? Probabilmente, se fossero state prese tutte le precauzioni ex ante, come suggeriscono tutte le buone pratiche informatiche necessarie e tutte le buone regole di disaster recovery e di business continuity, a quest’ora, forse, vedremmo, se non una soluzione immediata, almeno dei segnali di veloce ripresa. Ma, a quanto pare, la Regione Lazio, pur essendo un’infrastruttura critica soggetta alla direttiva Nis (direttiva europea relativa alle misure obbligatorie che le strutture critiche devono implementare), non si dimostra all’altezza di una situazione di emergenza come quella attuale.

4) “sono entrati attraverso le credenziali di un dipendente”.

Ma siamo sicuri? Non è che per caso il funzionario in questione è stato un poco “disattento” e ha aperto una mail infetta? E’ tutto da verificare.

5) “attacco terroristico”.

Non ci vedo nulla di terroristico. Semplicemente qualche organizzazione criminale ha preso di mira un pesce grosso per realizzare un facile guadagno, attraverso il riscatto. Non è neanche da escludere che sia stata una fatalità, in fondo l’attività cyber criminale è resa efficace dalla massiva diffusione in rete dei ransomware, che, prima o poi, qualcuno aprirà.

Il caso in questione, come molti altri, denota una ormai risaputa mancata sensibilità e cultura della sicurezza informatica che coinvolge aziende e istituzioni. Restiamo in trepidante attesa di qualche dichiarazione e intervento da parte del DPO (responsabile della protezione dei dati); di chi è incaricato delle attività di incident response e del Garante della privacy, che già ha definito la vicenda come “data breach”, tradotto, violazione dei dati, che, come da regolamento (Reg. Eu 679/2016 conosciuto come GDPR), precisamente negli artt. 33 e 34, prevede alcune precise procedure, come la notifica circostanziata dell’accaduto; le attività di mitigazione e di ripristino e la notifica ai soggetti interessati.

 

Kruzer si occupa, con la collaborazione di primari partner internazionali specializzati in cybersecurity, di gestire i principali aspetti relativi alla privacy, alla sicurezza dei dati e dei sistemi informatici, senza dimenticare alcuni aspetti fondamentali, come la formazione e le attività post data breach.

Puoi approfondire CLICCANDO QUI.

 

 

 

 

Condividi