Attacco hacker alla Regione Lazio: terrorismo o impreparazione?

di Francesco Galofaro, Università di Torino

La cybernotizia della settimana è l’attacco hacker al Centro Elaborazione Dati (CED) della Regione Lazio, che, a partire dal 1 agosto, ha bloccato per una settimana la prenotazione di vaccini, visite e servizi. Si è parlato di un attacco terroristico proveniente dall’estero, con una matrice ideologica. In principio si sono incolpati genericamente ‘i no vax’. Poi, immancabilmente, Repubblica ha dato la colpa agli hacker russi. Sono girate cifre da capogiro circa il riscatto. I giornalisti hanno perfino fatto il nome di un’azienda, risultata poi estranea ai fatti.

In realtà si è trattato dell’attacco di semplici criminali, per quanto tecnologicamente all’avanguardia. Il polverone giornalistico è funzionale a coprire il gravissimo ritardo scontato da pubbliche amministrazioni, Stato, Enti locali, in fatto di cybersicurezza. Non si può ammettere che il danno è stato perpetrato da comuni banditi senza scrupoli aventi per fine un’estorsione. Ad attaccare la pubblica amministrazione deve essere stata la Spectre dei No vax, manovrati in realtà dal malvagio Vladimir Putin. Vediamo come la notizia è stata costruita di giorno in giorno, basandoci solo su comunicati ANSA:

1 agosto: non meglio precisati No vax sono stati incolpati dai giornalisti già al momento della diffusione della notizia, senza che fosse stata ancora resa pubblica la natura dell’attacco. A scanso di equivoci: non mi sono simpatici i No vax, ma non vedo il senso di accusarli di ogni misfatto in sicché possano presentarsi come perseguitati politici.

2 agosto: c’è la conferma del fatto che si è trattato di un attacco ransomware, operato da un algoritmo malevolo che cripta i dati dei sistemi colpiti rendendoli inaccessibili, allo scopo di riscatto. Tutto sembra indicare che il movente sia questo, ma il presidente della regione Zingaretti ha etichetterà l’accaduto come ‘terrorismo’; anche i PM antiterrorismo affiancheranno la polizia postale nelle indagini. Tuttavia, l’opinione degli esperti è diametralmente opposta: secondo Gabriele Faggioli, dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, non vi è alcuna matrice ideologica dietro l’attacco. Poiché non è stato possibile risalire a un furto delle credenziali di accesso al sistema, si è ipotizzata la presenza di una talpa interna alla Regione.

3 agosto: le vittime e gli inquirenti rilasciano dichiarazioni su altri attacchi respinti, non meglio precisati; l’attacco sarebbe partito dall’estero, e l’ultimo ‘nodo’ noto si troverebbe in Germania. Nel frattempo, si scomodano il ministro dell’interno Lamorgese e il COPASIR. Anche la Commissione europea esprime solidarietà ed elenca una serie di misure di sicurezza e finanziamenti per implementarle in futuro. L’assessore regionale alla sanità Alessio D’Amato promette il ripristino dei sistemi entro 72 ore. In realtà, i tre giorni serviranno a ripristinare soltanto la prenotazione dei vaccini; perché gli altri servizi tornino online, a partire da un backup, ci vorrà più tempo, e se ne guadagna un po’ organizzando un centralino temporaneo.

4 agosto: la polizia postale dichiara che anche FBI ed Europol collaborano nelle indagini per trovare similitudini con altri casi di attacco avvenuti all’estero. Nel frattempo, si spargono voci sull’origine dell’attacco da una società appaltatrice della Regione Lazio. Il gossip individua la falla nella società Engineering che in realtà non è affatto coinvolta.

Fabio Martinelli, dirigente di ricerca dell’Istituto di informatica e telematica del Cnr spiega che il ricorso al lavoro da casa e l’utilizzo del computer domestico rende più vulnerabile il sistema informatico, e che occorrono misure di sicurezza.

5 agosto: viene diffusa una non-notizia, secondo cui gli inquirenti starebbero dando la caccia agli indirizzi Ip da cui è partito l’attacco. Un dipendente della Regione è interrogato dagli inquirenti.

6 agosto: il dipendente dal cui computer si è diffuso il virus dichiara ai giornalisti di non aver ricevuto offerte di danaro e di essere stato preso di mira perché è solito lavorare in orari inconsueti.

Sulla basa di tutto questo è possibile dire che l’attacco non ha nessuna motivazione terroristica. L’attacco usa un software che serve a chiedere riscatti. Questo tipo di attacchi sono ormai diffusi in tutto il mondo e sono divenuti una piaga vera e propria. Inoltre, secondo ANSA, un mese prima un attacco simile aveva colpito il Consiglio nazionale del notariato. Sempre terrorismo?

È irresponsabile anche indicare colpevoli all’estero, quando potrebbero comodamente risiedere in Italia. Ogni cybercriminale che si rispetti usa una VPN (Virtual Private Network) per non farsi identificare. Inoltre, se il 5 agosto gli inquirenti stavano ancora lavorando sugli indirizzi IP, le voci diffuse da Repubblica sull’origine russa dell’attacco sono evidentemente infondate.

L’unica certezza, fin qui, è che l’attaccante è entrato nella Regione attraverso il terminale di un dipendente in regime di telelavoro, il quale non è in grado di spiegare come sia avvenuto il furto delle sue credenziali. Come hanno scritto gli esperti, il problema è proprio qui: il sistema di sicurezza è inadeguato. Nel 90% degli attacchi informatici, il punto debole è il fattore umano. I lavoratori non sono addestrati ad operare in condizioni di sicurezza oppure non hanno gli strumenti per farlo. L’autenticazione non è sicura, non è a due fattori, o manca un sistema di controllo per rilevare potenziali rischi o minacce in tempo reale.

In sintesi, per l’ennesima volta si agita lo spauracchio del terrorismo per coprire le responsabilità politiche implicate dall’attacco. Per dimostrare che qualcosa si sta facendo, si evocano non meglio precisati attacchi respinti. Si crea un clima da fortino assediato. Si spera forse che la paura impedisca all’opinione pubblica di inquadrare razionalmente la vicenda per quel che è: a cinque anni di distanza dal caso eclatante di Wannacry del 2017, il ransomware che aveva messo in ginocchio scuole, ospedali e amministrazioni pubbliche di tutto il mondo, la Regione Lazio non è in grado di garantire la sicurezza della propria rete di servizi dalle aggressioni dei malintenzionati. E chissà quanti altri tra enti locali, scuole, ospedali e altre articolazioni fondamentali dello Stato.