Attacco hacker in Italia e nel mondo: quali conseguenze per gli Enti locali

DPO in pillole/ Data protection e cybersecurity: tutte le PA e gli Enti locali sono chiamati a un cambio radicale di passo e di mentalità, rimanendo vigili e proattivi

6 Febbraio 2023
Modifica zoom
100%
di LUISA DI GIACOMO*

Appena una settimana dopo il down di Libero Mail, nella giornata di domenica 5 febbraio tutti i quotidiani nazionali, le testate web e persino i TG nazionali hanno battuto la notizia che decine di server e siti italiani e migliaia nel mondo sono fuori servizio a causa di un attacco hacker globale attraverso un ransomware, cioè un software malevolo che entra nei sistemi attraverso un link infetto o una e-mail di phishing per poi criptare i dati ivi esistenti e chiedere un riscatto (ransom, in inglese).
La segnalazione è stata data dall’Agenzia per la Cybersicurezza nazionale tramite il proprio CSIRT (Computer Security Incident Response Team) e prima ancora dalla sua omologa francese. Pare infatti che l’attacco sia partito oltralpe, per poi propagarsi in Italia, Europa e Nord America.

Il bersaglio principale sono stati i server di VMWare ESXi, un software utilizzato per la virtualizzazione dei sistemi da moltissime aziende: il pericolo principale è quindi la possibile indisponibilità, nelle prossime ore, di siti e servizi pubblici o privati, anche essenziali.
I sistemi di virtualizzazione di sono molto diffusi ed utilizzati da aziende in ogni settore, dunque gli impatti, che potrebbero potenzialmente estendersi a tutti i servizi erogati anche da infrastrutture critiche che si servono dei server colpiti, potrebbero essere dirompenti: pensiamo ad esempio al settore bancario o a quello sanitario, dove mettere fuori uso i servizi che si basano sulla rete potrebbe voler dire mettere in pericolo la vita di migliaia di persone.
Occorre tenere presente che i sistemi di virtualizzazione (sarebbe a dire il meccanismo con cui, utilizzando un software detto appunto di virtualizzazione, si crea un sistema di computer virtuali collegati partendo da un unico computer fisico) sono alla base della maggior parte dei sistemi informativi aziendali, per cui compromettere il sistema a monte vuol dire, in pratica, bypassare le protezioni degli applicativi nella maggior parte dei servizi informativi a valle (cioè quelli che utilizzano i server di virtualizzazione), entrando nei sistemi direttamente dalla porta principale: un data breach davvero di dimensioni enormi (si parla di centinaia di server in tutta Europa).

Che cosa sono i ransomware?

La vulnerabilità segnalata durante questo attacco apparterrebbe ad una nuova famiglia di ransomware, che permettono di prendere il controllo totale del sistema attaccato, ed è stata segnalata a partire dal febbraio 2021.
Abbiamo già trattato in questa rubrica Si tratta di malware (programmi infetti), che rendono inaccessibili i dati in un computer con una chiave di criptazione al fine di richiedere il pagamento di un riscatto per riottenerne la disponibilità. Si tratta di attacchi che hanno il solo scopo estorsivo, poiché i dati non lasciano il computer, non vengono cancellati e non sempre vi è esfiltrazione (al momento pare che in questo caso non ci sia stata), ovvero non vengono diffusi. Semplicemente sono sulla macchina del proprietario o del titolare, ma è come se fossero chiusi in una cassaforte di cui solo il cyber criminale possiede la chiave.
Per ottenere la chiave di decriptazione, di solito viene richiesto un pagamento, parametrato non solo alle dimensioni del data base sequestrato, ma anche alla consistenza del fatturato aziendale, da effettuarsi in criptovalute, seguendo specifiche istruzioni fornite dai criminali stessi.

>> LEGGI ANCHE:
Sei mesi di suggerimenti sulla cybersecurity nella PA: sette lezioni imparate.
Attacco ransomware alla Agenzia delle Entrate, chiesto il riscatto.

Come affrontare il problema

Il primo consiglio diramato dagli esperti di cybersicurezza in tutto il mondo è stato quello di “patchare” immediatamente. Che cosa significa? In inglese “patch” vuol dire cerotto, quindi il consiglio è, letteralmente, quello di “metterci una pezza”. In gergo di cybersecurity una patch è una toppa ad una falla di sicurezza. Naturalmente il problema degli attacchi di successo è proprio quello che di solito la patch non c’è, perché gli attacchi sfruttano vulnerabilità non ancora patchate, ma, e qui sta il tratto preoccupante e grave di questo attacco, le versioni attaccate del software da cui tutto è partito erano già state corrette dall’azienda produttrice di VMware ESXi.
Dunque, aggiornare i sistemi operativi e porre in essere tutte le best practice per la sicurezza della rete, successivamente effettuando una scansione di tutti i sistemi non ancora aggiornati.

CORSO ONLINE IN DIRETTA

formazione maggioli 300La gestione degli attacchi ransomware
Strategie di prevenzione e modalità di risposta

Corso on-line in diretta a cura di Corrado Giustozzi
Martedì 21 marzo 2023, ore 9-13

Iscriviti al corso

La gravità dell’attacco

Le conseguenze definitive di questo attacco si vedranno nei prossimi giorni e forse addirittura settimane, ma una prima stima ci può portare a fare alcune riflessioni, che riguardano direttamente gli Enti Locali. Innanzi tutto perché, come abbiamo detto, l’estrema diffusione del software di virtualizzazione oggetto di attacco potrebbe avere impatti diretti sulla operatività degli enti della Pubblica Amministrazione: per questo motivo il Governo si è già mosso attivando una unità di crisi per la gestione dell’emergenza e per assicurare che tutti i servizi essenziali della PA non subiscano perdite o problemi.
Ma ciò che più dovrebbe preoccupare le amministrazioni comunali è che questo attacco ha sfruttato una vulnerabilità già conosciuta da due anni e quindi già “patchata”, ovvero già oggetto di aggiornamento. Nell’eterna lotta tra sviluppatori e cybercriminali, vince la battaglia quello che sta un passo davanti all’altro. Trovata la vulnerabilità, trovata la patch e c’è da sperare che qualcosa o qualcuno non si insinui nel sistema nel lasso di tempo che lo sviluppatore ci impiega a mettere la pezza.

>> PER APPROFONDIRE: Il fattore H: perché la formazione del personale è l’arma migliore contro gli attacchi cyber.

Aggiornare i sistemi operativi costituisce la base di qualsiasi strategia di cybersecurity che si rispetti e non abilitare gli aggiornamenti automatici o addirittura disabilitarli (questo a volte succede perché gli aggiornamenti operativi possono impattare sull’operatività del programma. In questo caso, la correzione della vulnerabilità è stata pubblicata due anni fa, che in campo tecnico equivale a un’era geologica.
A fronte di un crescente numero di attacchi a livello globale e dell’esistenza di buone prassi consolidate, con soluzioni adatte a ridurre i rischi, per troppe aziende l’attenzione ed il budget dedicato alla sicurezza dei dati e dei sistemi informativi rimane ancora qualcosa di secondario, un vezzo da smanettoni e complottisti, per cui non vale la pena di adoperarsi troppo.
Purtroppo, le conseguenze non tardano ad arrivare.
Tutte le Pubbliche Amministrazioni e gli Enti locali sono chiamati a un cambio radicale di passo e di mentalità, rimanendo vigili e proattivi: formare il personale e aumentare il grado di consapevolezza e prevenzione e adottare le buone prassi consigliate dall’Agenzia per la Cybersicurezza nazionale sono le uniche vere armi che abbiamo per proteggere i dati del Comune, i servizi critici al servizio di tutti i cittadini e in una parola noi stessi.

Cybersecurity - Luisa Di GiacomoL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

Scrivi un commento

Accedi per poter inserire un commento