Nel panorama sempre più complesso della gestione del cloud, l’attacco ransomware a Westpole offre una lezione cruciale sulla sicurezza delle infrastrutture nazionali e .
Indice degli argomenti
Caso Westpole, necessaria una revisione dei fornitori cloud
In un momento in cui si progetta un cloud nazionale, è imperativo che un paese come l’Italia eviti la paura dei Big Tech e si concentri sulla scelta oculata dei provider cloud, in particolare per garantire la sicurezza delle proprie infrastrutture. Le strade percorribili in questo senso sono due: o ci fidiamo di chi fa questo lavoro da sempre oppure cerchiamo ad ogni costo di emularli, su tutti i lati positivi, primo fra tutti quello relativo alla sicurezza dell’infrastruttura e di tutta la catena dei dipendenti coinvolti.
Il caso Westpole evidenzia la necessità di andare oltre la mera adozione di servizi cloud di terze parti e di adottare una strategia di selezione consapevole dei fornitori. La sicurezza dovrebbe essere una priorità nella scelta del partner cloud per tutta la pubblica amministrazione, con una revisione attenta delle politiche e delle misure di sicurezza adottate dal fornitore. Così come non è sufficiente affidare a terzi la “custodia” dei propri dati, per sentirsi al sicuro, estraniando le responsabilità, è altrettanto importante verificare con opportune competenze, le capacità di chi abbiamo “assodato” per questo compito.
Il discorso è simile a quello che ognuno di noi fa con la scelta del proprio medico che sarà candidato a “sovraintendere” la nostra salute, spesso si fanno dei veri e propri controlli incrociati sull’operato del possibile candidato, mai lo si sceglie per vie traverse rispetto i canali ufficiali con il rischio di trovarsi magari di fronte anche una semplice mancanza del titolo di studio.
Lisi: troppe cose non tornano nell’attacco
Scrive su Facebook Andrea Lisi, noto avvocato del digitale e membro della task force per egovernment del sottosegretario all’innovazione Alessio Butti.
“La situazione attuale del sito web del fornitore di servizi cloud, a più di due settimane dall’evento, è questa ed è oggettivamente imbarazzante”.
“È imbarazzante perché in un mondo completamente proiettato verso la #digitalizzazione il nostro Sistema Paese ha deciso di poggiarsi su modelli di cloud che sono qualificati dall’Agenzia per la Cybersicurezza Nazionale perché rispettano (o dovrebbero rispettare) misure elevate di #security, con garanzie di ripristino in tempi brevissimi attraverso procedure di disaster recovery combinate a processi di business continuity, secondo precisi standard internazionali”.
“Westpole è un Cloud provider qualificato da ACN e sottoposto quindi a vigilanza. E per questo è stato doverosamente scelto da fornitori di servizi informatici di PA”.
“Cosa non ha funzionato?”
“Forse, la selezione affidata ad autodichiarazioni?”
“Oppure una vigilanza poco efficace?”
“È difficile poter parlare di eventi imprevedibili in questi casi…”.
“O mi sbaglio?”
“Intanto, continuo a ricordare che non ci sono (a quasi vent’anni dall’entrata in vigore del Codice dell’amministrazione digitale) le regole tecniche sulla sicurezza e disponibilità dei dati dei sistemi e delle infrastrutture delle pubbliche amministrazioni previste dall’art. 51
Spero che nel 2024 si inizi a riflettere seriamente su questi argomenti, perché vedo tantissimi dibattiti spesi sui miracoli dell’intelligenza artificiale (#IA), ma – se tali sistemi di IA non si poggeranno su infrastrutture solide – il nostro Paese rischierà di avventurarsi su terreni davvero scivolosi…”.
La minaccia ransomware è sempre più preponderante
Un aspetto chiave emerso dall’attacco è che il ransomware non può essere sottovalutato. Ci siamo abituati negli ultimi due anni a spaventarci di fronte ad un sito Web che viene reso indisponibile per pochi minuti, come fossero appunto minacce guidate politicamente e quindi un vero pericolo per tutta la società. Se invece analizziamo gli impatti e l’organizzazione criminale dei gruppi hacktivisti che operano attacchi di tipo DDoS, non sono nemmeno paragonabili alle attività svolte oggi dai gruppi ransomware. Si tratta di entità (soprattutto nel caso di gruppi storici e ben consolidati, come Lockbit che ha condotto l’attacco a Westpole) gestiste alla stregua di grosse aziende corporate, l’unico obiettivo è quello economico e generare profitto.
È essenziale riconoscere la portata del ransomware e adottare misure preventive e correttive per mitigare gli effetti devastanti.
L’ingresso nel sistema di Westpole attraverso un’utenza compromessa ha scatenato un effetto domino che ha portato all’isolamento dei sistemi e alla sospensione precauzionale delle attività. Questa risposta, seppur necessaria per contenere l’attacco, ha causato la scomparsa immediata di tutti i servizi offerti ai clienti, inclusi quelli essenziali per enti pubblici e comuni.
Un esempio significativo è stato il sistema URBISmart di PA Digitale SpA, utilizzato da centinaia di enti pubblici, comuni, anagrafe, riscossione tributaria e contabilità. Il vuoto creato da questo attacco ha avuto un impatto notevole sulla gestione quotidiana di queste istituzioni tanto che, dopo circa due settimane, sembra ancora lontana dalla risoluzione.
L’ultimo aggiornamento del comunicato dell’Azienda ne è la testimonianza più diretta, affermando che “attualmente, oltre l’80% dei clienti ha ripreso le normali attività e Westpole è impegnata a normalizzare completamente i propri sistemi”.
In questo contesto, emerge l’importanza di comprendere a fondo la natura del ransomware, partendo dalle minacce come il phishing fino alla necessità di applicare patch tempestive per risolvere le vulnerabilità dei sistemi. È essenziale che le organizzazioni adottino pratiche di sicurezza informatica solide e rimangano agili nella risposta agli attacchi, con una particolare attenzione alla formazione degli utenti e alla gestione delle credenziali per evitare accessi non autorizzati.
Per concludere, l’attacco ransomware a Westpole è un monito che sottolinea l’urgenza di investire in sicurezza informatica, di fare scelte oculate nella gestione del cloud e di prepararsi a fronteggiare la minaccia persistente del ransomware con una combinazione di difese proattive e risposte tempestive.
