Notizie

Regione Lazio: l’attacco cyber continua

Cittadini: grandi disagi per prenotare vaccini e visite mediche. Rischio violazione privacy e dati personali.

L’attacco cyber contro la Regione Lazio è al centro della cronaca nazionale.

Preoccupano molto tre aspetti: 1) l’attacco cyber è ancora in corso; 2) la Regione non sta dando una risposta adeguata, in termini di cyber security e comunicazione; 3) i cittadini non possono prenotare i vaccini anti Covid-19 e le normali visite mediche.

Cittadini: rischio per salute e privacy

L’hackeraggio non ha colpito solamente i sistemi informatici della Regione Lazio ma ha leso un diritto fondamentale della nostra costituzione: la salute.

L’attacco cyber ha disabilitato il sistema di prenotazione dei vaccini anti Covid-19, in un periodo di grande preoccupazione per la diffusione delle varianti del Codiv-19 e l’aumento dei contagi.

Ma il sistema sanitario regionale non si occupa solo di Covid-19.

Si registrano i disservizi su tutte le piattaforme del sistema sanitario regionale: si fermano le visite ospedaliere attraverso Cup e Recup, gli screening programmati, la fatturazione elettronica. Perfino scegliere e revocare il medico curante è impossibile.

Poi aleggia sempre il rischio di violazione della privacy.

Parliamo dei dati sensibili (anagrafici, residenziali, codici fiscali, sanitari) di 5,8 milioni di persone che sono gestiti dal Ced – Centro elaborazione dati della Regione Lazio.

Se i cyber criminali se ne impossessano, li venderebbero sul dark web e otterrebbero grandi guadagni.

Regione Lazio: normativa NIS e GDPR

Purtroppo la Regione Lazio non si sta dimostrando compliant rispetto alla normativa europea ed italiana.

In primo luogo, la Regione Lazio deve mantenere elevati standard di cyber security secondo la direttiva NIS e il perimetro nazionale di sicurezza cibernetica, essendo un’infrastruttura critica. Purtroppo, le misure e le contromisure cyber per fronteggiare l’attacco ransomware dimostrano l’impreparazione della Regione.

In secondo luogo, la Regione Lazio è tenuta a dare comunicazione chiara e semplice ai sensi del GDPR se la violazione di dati rischia di pregiudicare diritti e libertà delle persone.

Sebbene la Regione Lazio abbia notificato il data breach al Garante Privacy e agli interessati, la comunicazione istituzionale è apparsa fin da subito inadeguata, imprecisa e fuorviante.

A pagarne le spese sono innanzitutto le singole persone che generalmente non conoscono o si informano poco e male sui temi e e sui pericoli riguardanti il mondo della cyber security.

Tuttavia la Regione Lazio è in “buona” compagnia, visto che pure i mass media non stanno riportando notizie totalmente corrette e avvalorate da fonti affidabili.

La cronaca si chiede solamente chi sono gli attaccanti, quale è loro motivazione, quanto è il riscatto, etc..

Questi sono certamente aspetti importanti per le autorità competenti e gli analisti al fine di indagare e analizzare la dinamica dell’attacco.

Tuttavia manca la domanda fondamentale, che riproponiamo: la Regione Lazio era preparata e pronta a rispondere adeguatamente all’attacco cyber?

La cyber security in Italia 

Vittorio Colao, Ministro per l’Innovazione tecnologica e la Transizione digitale, ha recentemente dichiarato che il 95% server pubblici non è sicuro.

Franco Gabrielli, Autorità delegata per la sicurezza della Repubblica, ha sottolineato che l’Italia è in ritardo di 10/20 anni rispetto ad altri Paesi economicamente avanzati in ambito di cyber security.

Bastano questi elementi per capire che la cyber security in Italia non gode affatto di buona salute. Anzi, il nostro Paese è molto vulnerabile in questo senso e l’episodio della Regione Lazio ne rappresenta, purtroppo, un chiarissimo esempio.

C’è voluta una pandemia per arrivare all’istituzione dell’Agenzia per la cybersicurezza nazionale (ACN) – in settimana è atteso il via libera dal Senato – ma questo non basterà per affrontare e risolvere i problemi strutturali e le emergenze contingenti.

Ciò è drammaticamente evidente se guardiamo alla risposta della Regione Lazio ad un attacco ransomware che, di per sè, non ha nulla di tecnologicamente avanzato.

Certo, il ransomware può causare danni molto rilevanti ma questo non deve trarci in inganno. Tutto dipende in modo cruciale dalla maturità della vittima e dalle sue capacità di prevenzione e reazione a livello di cyber security.

Lockbit 2.0: il ransomware

In generale, il ransomware è un malware (software malevolo) che cifra i dati del dispositivo della vittima, rendendoli inutilizzabili.

Per riaverli indietro, la vittima è indotta a pagare un riscatto (ransom) in criptovaluta, metodo difficilmente tracciabile. In cambio, i cyber criminali fornirebbero una chiave per decifrare i dati, ma la vittima non ha alcuna garanzia in merito.

Lockbit 2.0 è ransomware particolare, capace di scaricare fino a 10 gigabyte di dati in meno di due minuti.

I cyber criminali, prima di crittografarne il contenuto, rubano i file e minacciano la vittima in due modi: eliminando la chiave di decrittazione e/o pubblicando i file online.

Dinamica dell’attacco (ipotesi)

A parere di Corrado Giustozzi, esperto di cyber security e già membro Agenzia per l’Italia Digitale e ENISA (agenzia europea per la cyber security), l’attacco sarebbe opera di cyber criminali e non di gruppi NoVax o Anonymous.

Questi poi hanno attaccato le macchine e non le persone, quindi niente email phishing o social engineering.

Lockbit 2.0 è quindi stato inoculato direttamente su un pc facente parte del sistema informativo della Regione Lazio, da cui è iniziata l’escalation.

Conclusioni

Una volta si diceva “la salute prima di tutto”. Oggi dobbiamo dire “la cyber security prima di tutto”. Eh sì, perché la cyber security è ormai abilitante.

L’attacco cyber ai siti della Regione Lazio costituisce un evento molto grave e preoccupante, considerando che l’attacco è ancora in corso, la soluzione è incerta e i tempi si allungano.

Oggi come non mai serve una cultura cyber e un Sistema-Paese in grado di contrastare minacce e attacchi cyber preventivamente e successivamente.

Insomma, sarà un agosto molto caldo per la cyber security italiana.

Flavio Campara

Responsabile del Centro Studi & Ricerche e Portavoce affari istituzionali dell'Associazione Consumerismo no profit. Dottore in Scienze delle Pubbliche Amministrazioni (LM) presso l’Università degli Studi Roma Tre, con tesi “Digitalizzazione della Pubblica Amministrazione”, ha all’attivo una serie di pubblicazioni riguardanti le Innovative Technologies, in particolare in ambito blockchain, smart contracts, crytocurrencies, cybersecurity, open data, open government, analizzate secondo una prospettiva giuridica.
Back to top button