lunedì 2 agosto 2021

Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)

Dalla nottata di ieri i sistemi informatici della Regione Lazio sono bloccati: l'attacco va avanti da oltre 40 ore e già ieri la Regione ne dava comunicazione tramite le proprie pagine Twitter e Facebook. Sono irraggiungibili ad ora il sito web della Regione, ma anche la piattaforma online per la prenotazione sia dei vaccini che dei tamponi molecolari (il portale Salute Lazio). In generale sono irraggiungibili tutti i servizi online connessi alla sanità regionale, Green Pass compreso, ma anche i servizi correlati al sistema degli appalti pubblici. 

I siti web ad ora offline: 

  • https://prenotavaccinocovid.regione.lazio.it/welcome
  • http://www.consiglio.regione.lazio.it/
  • http://www.regione.lazio.it
  • https://www.salutelazio.it/
  • https://www.salutelazio.it/campagna-di-vaccinazione-anti-covid-19


Le dichiarazioni ufficiali hanno aggiunto caos al caos: si è parlato di un "potente (?) attacco informatico", di sistemi in tilt senza però dare indicazioni chiare sulla tipologia e sui tempi di risoluzione. I dubbi sono stati spazzati via quando si è diffusa la notizia che una richiesta di riscatto in Bitcoin è arrivata nella mattinata di oggi: non è stato ad ora divulgato l'ammontare del riscatto richiesto.  

Secondo l'AGI, il ransomware avrebbe colpito i sistemi sia in aree di produzione che in quelle dove sono contenuti il backup dei dati: se così è, siamo di fronte al peggior scenario possibile, quello in cui non è possibile ripristinare le reti grazie al backup. Alla Regione Lazio non resterebbe che pagare il riscatto o riuscire, ma è ormai sempre più difficile, a produrre un tool di decriptazione efficace. Altre fonti invece affermano che il backup è rimasto intatto ed è stato ripristinato, ma ad ogni tentativo di riportare online il sistema, il ransomware pare riattivarsi. 

Sempre secondo AGI,  gli attaccanti avrebbero avuto accesso al computer di uno degli amministratori di sistema di LazioCrea: con credenziali avanzate che hanno garantito loro i privilegi di amministrazione, gli attaccanti hanno potuto lavorare a lungo nella rete senza limitazioni "per settimane". 

Ovviamente non mancano le polemiche, a maggior ragione per il fatto che la Regione Lazio rientra nell'ambito della Direttiva europea NIS e nel perimetro nazionale di cyber security: come tale, quindi, la Regione sottostà al preciso obbligo di implementare un piano di risposta ai cyber attacchi che sia così dettagliato da elencare e descrivere le procedure da seguire per mettere in campo una risposta veloce ed efficace a tutte le tipologie di attacco informatico che potrebbero mettere a repentaglio la riservatezza e l'integrità dei dati personali. 

Per approfondire > LA DIRETTIVA NIS – Network and Information Security
Per approfondire > A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano

Dalla Regione fanno sapere di aver già attivato tutte le autorità competenti e che, nel corso delle prossime ore, sarà aperto un fascicolo presso la Procura sull'incidente. Nuovamente però l'amministrazione regionale si macchia di "eccesso di difesa" dichiarando già pubblicamente, per bocca dell'assessore alla Sanità Alessio D'Amato, che "nessun dato è stato trafugato". Una affermazione difficilmente verificabile, soprattutto a pochissime ore dall'inizio e dell'attacco e del tutto inverosimile se, davvero, gli attaccanti sono dentro la rete regionale da settimane: i sistemi colpiti contengono dati personali di 7,4 milioni di persone. In generale infatti, come già più volte ribadito, un attacco ransomware va anche subito considerato come un data breach, soprattutto dopo l'introduzione della fase di furto dati prima dell'avvio della criptazione dei sistemi: un paradigma , questo, che ha fatto scuola e che ormai è parte integrante del mondo ransomware. 

Per approfondire
Un attacco Ransomware è da considerarsi anche un databreach: l'esempio dell'attacco a Luxottica

Nessun commento:

Posta un commento