Articoli di ICTEd Magazine

Attacco hacker alla Regione Lazio

Attacco hacker alla Regione Lazio

L’attacco subito dalla Regione Lazio durante l’estate ha avuto molto risalto, sia per la modalità, sia perché si è trattato di uno scenario malevolo che molto spesso viene sottovalutato all’interno della pubblica amministrazione. In questo articolo si descriverà brevemente il contesto e lo scenario.

Agli inizi di agosto, la Regione Lazio, impegnata in prima linea nella vaccinazione covid, ha subito un attacco hacker mediante un ransomware.

Cosa significa ransomware? Questo termine è la crasi tra ransom (riscatto) e software. Per l’appunto un attacco ransomware si concretizza mediante un software malevolo che infetta i dispositivi andando a criptare i file in esso contenuti e chiedendo un riscatto (mediante criptovalute) per decriptare i file. In parole semplici, la Regione Lazio si è vista bloccare i propri sistemi informativi, utilizzati anche per favorire la campagna di vaccinazione da un attacco informatico che ha comportato un blocco dei dati con conseguente richiesta di riscatto per renderli nuovamente disponibili.

Si è trattato una intrusione vera e propria, i criminali utilizzando connessione remota di un dipendente in smartworking e ottenendo le credenziali hanno inoculato direttamente sui sistemi il malware. Inoltre, hanno cercato di rendere indisponibili le copie di salvataggio il backup al fine di mantenere un'unica copia dei dati (cifrata) ma per fortuna questa seconda operazione non è andata a buon fine.

Riuscire a rintracciare gli autori di questo attacco risulta difficile, per diversi fattori: capacità di offuscamento del percorso di navigazione e quindi anche della propria identità, rende difficile, in fase investigativa individuare i responsabili.

In questo scenario, quello che ha reso ben più grave l’attacco è stato la cifratura dei dati particolari di oltre il 70% dei cittadini della Regione. Pertanto, l’attacco rileva due profili: da un lato l’attacco cyber, dall’altro la violazione delle norme in materia di protezione dati.

I due profili, per quanto non differenti e equivalenti, implicano un quadro normativo che fa discernere due diverse procedure a cui la Regione Lazio deve obbligatoriamente rispondere.

L’attacco ai sistemi digitali della sanità regionale rientra tra le  Infrastrutture Critiche nazionali, pertanto è  soggetta alla Direttiva NIS (Direttiva 2016/1148 dell’Unione Europea sulla sicurezza delle reti e dei sistemi informativi) e al Perimetro di sicurezza nazionale cibernetica. Entrambe le norme prevedono che siano attuate tutte le misure ritenute necessarie per ottenere un elevato livello di sicurezza delle reti. Non si ha però certezza che la Regione Lazio rientri nel perimetro: questa è informazione classificata. Tale informazione è dovuta dal fatto che i soggetti individuati dal Perimetro di sicurezza nazionale cibernetica non sono di dominio pubblico. Tuttavia, sembra probabile, da una lettura della norma che rientri tra i soggetti obbligati dal Perimetro.

Secondo l’ultimo decreto attuativo del Perimetro cibernetico, richiamando il Framework Nazionale per la Cybersecurity e la Data Protection, ha introdotto l’obbligo di implementazione di un piano di incident response comprensivo di procedure per garantire una reazione strutturata agli incidenti che comportino un data breach.

Quest’ultimo obbligo fa discernere un altro obbligo, il quale non proviene dalle normative in materia di cyber security, bensì da quelle legate alla privacy. Infatti, secondo gli articoli 33 e 34 del GDPR, sorge in capo al Titolare del trattamento (Regione Lazio) l’obbligo di notificare l’avvenuto data breach sia al Garante Italiano per la Privacy sia agli interessati.

L’aumento di attacchi cyber, pertanto non incide soltanto sulle aziende ma anche le pubbliche amministrazioni. Le quali appaiono ben più fragili e ben più esposte per quanto riguarda gli attacchi cyber con finalità dimostrative di carattere politico.

Da quanto è emerso, sembrerebbe che l'attacco cyber è stato possibile trafugando le credenziali della VPN di un dipendente di una delle società della Regione Lazio e tramite queste, sono riuscite a criptare i dati contenuti nei diversi dispositivi e nel server centrale.

Ma com’è stato possibile tutto ciò? Innanzitutto, è evidente che c’è un problema di mancanza di cultura della sicurezza informatica nella Pubblica Amministrazione e in particolar modo negli enti locali. Questa mancanza appare in controtendenza rispetto ai processi di digitalizzazione della Pubblica Amministrazione, un processo che non può non prescindere da una sicurezza informatica che parta fin dall’ideazione del servizio che si vuole rendere ai cittadini.

blocked

 

Secondo le prime indagini della polizia postale due sono i fattori che hanno reso possibile l’attacco: una vulnerabilità della VPN e l’utilizzo di un ransomware as service. Per quanto riguarda la vulnerabilità della VPN essa può essere evitata scegliendo un servizio che sia il più sicuro, certificato. Molto spesso, quando si parla di investimenti in ambito della sicurezza informatica si tende a cercare soluzione low budget rispetto a soluzioni di qualità. In particolar modo, una VPN robusta, difficile da criptare è indispensabile per garantire il lavoro agile ai dipendenti. Per quanto riguarda il ransomware utilizzato, dalle indagini è emerso che si tratta di una tipologia di software malevolo, comprato dagli attaccanti nel dark web e pronto all’utilizzo: in altre parole, chi ha sferrato l’attacco non ha dovuto far altro che lanciare il ransomware già programmato da altri.

Per quanto riguarda il profilo della privacy, come già detto sopra si è trattato di un data breach contenente dati particolari che ai sensi dell’articolo 9 del GDPR, salvo il divieto generale previsto dal medesimo articolo, possono essere trattati  se è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato.

Risulterà da chiarire infatti che il verificarsi di un data breach non comporta di per sé una violazione della normativa sul trattamento dei dati personali. Tuttavia, alla luce del principio dell’accountability (prevista dal GDPR), la Regione Lazio dovrà dimostrare di aver attuato le misure tecniche e organizzative e che il data breach è stato possibile non per colpa dell’ente. La questione non è semplice poiché si tratta della prima Regione in Italia che subisce un attacco così invadente in grado di vedersi bloccati tutti i servizi digitali.

Dott. Benedetto Fucà

RIFERIMENTI

logo icted

ICTEDMAGAZINE

Information Communicatio
Technologies Education Magazine

Registrazione al n.157 del Registro Stam­pa presso il Tribunale di Catanzaro del 27/09/2004

Rivista trimestrale  

Direttore responsabile/Editore-responsabile intellettuale

Luigi A. Macrì