Ancora poche certezze sulle cause e le modalità dell’attacco ransomware al CED regionale, mentre emerge la necessità di una struttura di cybersicurezza pubblica più forte.
Il 30 luglio il CED e i servizi informatici della Regione Lazio hanno subito un attacco ransomware, che secondo le fonti ufficiali non è riuscito a trafugare né eliminare dati personali; inoltre, il riscatto non è stato pagato. A distanza di circa un mese, facciamo il punto su uno degli ultimi episodi (sempre più frequenti) di attacchi informatici alla sanità e alla Pubblica Amministrazione.
Che cosa sappiamo su questo attacco? Quali sono i rischi per i cittadini? Cosa si può fare per prevenirli e ridurre le vulnerabilità ransomware? Continua a leggere.
L’attacco alla Regione Lazio
Tuttora, sappiamo ben poco sull’attacco che il 30 luglio 2021 ha interessato la rete informatica della Regione Lazio, mandando in tilt i servizi a privati e aziende, tra cui il sistema informatico sanitario e quello dedicato alla vaccinazione contro il COVID-19.
L’anello debole, in questo caso, è stato un dipendente di Frosinone di LazioCrea (secondo le indagini di Cnaipic, il Centro nazionale anticrimine informatico per la Protezione delle infrastrutture critiche), a cui sono stati rubati i dati di accesso al sistema. Tuttavia, anche su questo punto le fonti ufficiali non sono del tutto chiare: non sappiamo se sia stato vittima di un attacco di phishing mirato o se semplicemente abbia scaricato il ransomware dalle mille trappole che si trovano online, magari un PDF infetto o una pagina web con uno script malevolo.
Ciò che conosciamo bene, invece, sono i danni provocati dall’attacco: un mese di interruzioni dei servizi, dal sistema sanitario online per i cittadini ai registri dei dati delle farmacie e perfino di altri settori come quello urbanistico. La maggior parte è stata ripristinata, ma per alcuni ci sono ancora grossi ritardi. In particolare, l’emergenza ha interessato il database delle vaccinazioni e di rilascio dei green pass.
Le incognite più grosse rimangono quelle più importanti dal punto di vista della sicurezza: non sappiamo chi sia stato e perché. Non sembra un attacco con fini distruttivi e neanche un attacco mirato, da quanto si è potuto appurare fino a oggi. Si è parlato di una richiesta di riscatto in Bitcoin, ma la PA non ha ancora confermato che si tratti di una richiesta diretta, mentre acquista forza l’ipotesi di un’infezione con ransomware indiretta, senza premeditazione.
Sappiamo che i dati sono stati recuperati da un backup che era stato cancellato e non criptato (sempre secondo le fonti ufficiali) e che l’infezione è stata rilevata rapidamente e bloccata prima che si estendesse ad altri sistemi comunicanti.
I cybercriminali attaccano le strutture ospedaliere perché non possono permettersi di rimanere inattive.
Vulnerabilità e difese contro i ransomware
I ransomware sono sempre più diffusi e mietono vittime sia tra i privati che tra le aziende di tutte le dimensioni. In particolare, nell’ultimo anno si sono moltiplicati gli attacchi alle strutture sanitarie e pubbliche, come dimostra il recentissimo attacco all’ospedale San Giovanni di Roma.
Questo è solo l’ultimo di un elenco sempre più nutrito di attacchi, che ovviamente non interessa solo l’Italia ma tutti i paesi più avanzati. C’è, insomma, una chiara tendenza in corso: i cybercriminali attaccano le strutture ospedaliere e i sistemi informatici legati alla sanità perché non possono permettersi di rimanere inattivi e, teoricamente, sono più propensi a pagare il riscatto.
Tuttavia, la somma richiesta dai criminali è stata pagata poche volte, perché nella maggior parte dei casi i dati non vanno persi del tutto grazie ai backup.
LEGGI ANCHE: Come e quando fare il backup del PC.
Il vero problema degli attacchi ransomware è la divulgazione dei dati personali rubati, che per le organizzazioni private e pubbliche ha una serie di costi diretti e indiretti altissimi:
- Aumento dei tassi di interesse per i prestiti
- Aumento delle assicurazioni
- Costi operativi del recupero
- Perdita di proprietà intellettuali
- Perdita di contratti e giro di affari
- Calo della reputazione
- Calo in borsa
- Riduzione del valore agli occhi dell’utente/cliente
Per tutti questi motivi, i data breach conseguenti a un attacco ransomware (che possono avvenire anche a distanza di anni da questo) sono visti con terrore dagli esperti del settore e dai diretti interessati.
Quindi, al di là di backup, difese, personale extra, riorganizzazioni strutturali e delle tante altre soluzioni proposte, l’unica strategia veramente efficace è la prevenzione.
Per proteggerti da attacchi e minacce informatiche, la prima cosa da fare è conoscerli.
Cosa possiamo imparare dall’attacco alla Regione Lazio
Quando si presenta una crisi informatica a livello pubblico, non serve a nulla sommarsi al coro di voci indignate che criticano la mancanza di investimenti e risorse umane. Sono problemi che conosciamo bene e che interessano in maniera endemica tutta la PA, certamente non solo la sicurezza informatica. Anzi, quest’anno il Governo italiano ha risposto rapidamente all’emergenza degli ultimi mesi e ha anche istituito un nuovo organismo, l’Agenzia per la cybersicurezza nazionale (ACN).
Piuttosto che dedicarci a critiche sterili, vediamo cosa possiamo imparare da questo episodio:
- L’anello debole è (quasi) sempre il fattore umano. Anche il miglior sistema di cybersecurity è completamente inutile se un dipendente utilizza il PC del lavoro per connettersi a siti non sicuri e non sa riconoscere il phishing.
- Per questo motivo, servono formazione e prevenzione a più livelli: corsi, protocolli, personale dedicato, eventi pubblici, campagne di sensibilizzazione e così via. Bisogna dare rilevanza alla cybersicurezza e in particolare ai fenomeni del ransomware e del phishing.
- Parola d’ordine: ridondanza dei dati. Quante più copie di backup abbiamo, meno danni farà un attacco ransomware. L’ideale, anche per i privati, è un backup periodico nel cloud e uno su server in rete e hard disk indipendenti, affinché le varie copie non siano raggiungibili tramite lo stesso canale di attacco.
- A livello pubblico, servono piani di crisi per garantire la continuità dei servizi e il recupero di dati e funzionalità. Questo principio si adatta anche ai piccoli professionisti e ai privati. Sai già cosa fare in caso di attacco informatico? L’ideale sarebbe stabilire una strategia semplice e attuabile.
- Di fronte alle minacce informatiche servono più livelli di cybersicurezza. Creare password sicure, utilizzare l’autenticazione a più fattori, aggiornare i sistemi operativi e installare una soluzione antivirus potente e completa.
Infine, vogliamo ricordarti che per proteggerti da attacchi e minacce informatiche, la prima cosa da fare è conoscerli e seguirne l’evoluzione nel tempo. Per questo motivo, ti consigliamo di seguire il nostro blog di cybersicurezza per non perderti le ultime novità del settore.
CONTINUA A LEGGERE: 5 passaggi per mitigare i danni di un attacco ransomware.
Buona navigazione e buona protezione dai ransomware!