Domenica primo agosto Regione Lazio comunicava sulla pagina Twitter che era in corso un “attacco hacker al ced regionale”, e che ci sarebbero potuti essere disagi. E che disagi: bloccata la prenotazione vaccini ma anche l’attività regionale, con il rischio che scompaiano decenni di pratiche, autorizzazioni, concessioni (rifiuti, edilizia…).
Il 5 agosto sono ripartiti i vaccini, il giorno dopo è emerso che – stando alle fonti ufficiali – Regione Lazio è stata fortunata perché si è coperto che il backup era stato solo cancellato a livello logico e quindi era ripristinabile, con le attività che dovrebbero ripartire entro agosto.
Ma come dimenticare le interviste all’assessore alla sanità Lorenzo D’Amato, che parlava di “potente attacco hacker senza precedenti”, all’inizio; le sue dichiarazioni su un backup criptato, cosa che ha mandato nel panico molti; e la negazione che era stato chiesto un riscatto – che invece c’era – creando ulteriore panico. Perché se non c’è riscatto, l’attacco non è criminale ma terroristico.
Indice degli argomenti
Attacco ransomware a Regione Lazio, che è successo
Ma si trattava di un banale attacco ransomware a scopo di soldi, come confermato dalla stessa Regione.
Regione Lazio, tutti i punti aperti dopo il backup ritrovato
Dall’analisi del link Tor lasciato dai criminali alla Regione Lazio, risulta che il malware è RansomExx. Si tratta di una gang già nota per violazioni di diversi Governi (Brasile, Texas) e grandi aziende.
Leggo commenti più o meno deliranti sul "potente attacco" informatico ai sistemi della regione Lazio. Sorvolando sul fatto che nessuno competente in materia direbbe mai "potente attacco", e che i computer non vanno "in tilt" perché non sono flipper, qualche considerazione sparsa:
— Stefano Zanero (@raistolo) August 2, 2021
Per quanto le conseguenze di un attacco ransomware possano essere gravissime – anche per una Nazione -, bisogna insomma correggere D’Amato e i principali portavoce della Regione: di “potente” e “senza precedenti” non c’è nulla. Né di “terroristico”, come dice il Governo.
Gli attacchi ransomware sono ormai da anni frutto di campagne automatizzate e industrializzate, che non seguono alcuna pianificazione reale, e il cui unico vero scopo è quello di colpire più target possibili, alla ricerca di un ingresso nei sistemi informativi.
Chiunque può essere vittima di attacchi ransomware: dalla microimpresa a gestione familiare fino ad arrivare ad aziende di livello enterprise o enti pubblici (con una predilezione negli ultimi periodi per aziende medio-grandi e grosse istituzioni). Oggi è toccato alla Regione Lazio.
Possibili cause dell’attacco
Regione Lazio ha confermato che l’attacco è partito da un computer di un dipendente LazioCrea in smart working (senza dare dettagli sulle cause principali, però).
Una delle ipotesi investigative è stata che l’attacco fosse arrivato tramite un fornitore di servizi di sicurezza alla Regione (via Laziocrea Spa, della stessa Regione), compromesso da un ransomware da mesi. Tramite questa compromissione sono state rubate varie password VPN dei clienti di questo fornitore, tra cui quella di un utente Laziocrea. Con la password i criminali hanno installato un ransomware sul suo computer.
Engineering ha subìto ufficialmente un attacco da cui il 30 luglio sono stati criptati i dati di Erg (sua cliente di servizi di sicurezza), tramite ransomware Lockpit 2.0. Ma Engineering – smentendo voci anche uscite su molti giornali – nega che gli eventi sono collegati.
Al momento la versione ufficiale è che il dipendente – di Frosinone, 61enne – sia stato contagiato da malware (forse per aver cliccato su un link in mail phishing; forse può averlo fatto il figlio che ha usato il computer del padre di notte).
Fatto sta che ci sono stati errori di gestione privilegi o di password in Regione se è stato possibile per gli attaccanti passare dal computer del dipendente ad account con privilegi di admin con cui criptare il tutto.
Grazie a vulnerabilità di sistema è possibile fare elevation di privilegi, come avvenuto con bug print server Windows; ma su virtual machine sembra più difficile. Più probabile un errore di progettazione della security.
Le conseguenze dell’attacco ransomware a Regione Lazio
A essere criptati sono stati in particolare dati presenti su virtual machine VM-Ware: applicativi (di cui il down di siti e piattaforme) e documenti regionali (non database principale, né dati sanitari).
Purtroppo Regione Lazio non aveva un backup offline. Il solo backup era online è stato cancellato dagli attaccanti.
Bloccata la piattaforma vaccini, ma i dati sanitari sono al sicuro su un database separato, dice Regione, che quindi ha potuto ripristinarla in pochi giorni.
Dati back up recuperati, “erano solo cancellati, non criptati”
La Regione, tramite Corrado Giustozzi (CertPA), il 5 agosto ha annunciato di aver recuperato il backup (al 30 luglio) e quindi di essere in grado di ripristinare tutto.
A differenza di quanto sembrava (e annunciato dalla stessa Regione), infatti, i dati non erano criptati ma solo cancellati e quindi è stato possibile recuperarli lavorando a basso livello sui dischi con circa 50 ore di lavoro (dice Regione).
Perché non abbiamo criptato ma abbiano solo fatto wipe non è chiaro: forse i criminali non ne avevano tempo o non hanno voluto attirare l’attenzione; forse c’erano regole che impedivano la scrittura.
Il backup è su una macchina Virtual Tape Library.
Resta che i backup non erano isolati (offline/offsite).
E che le misure di sicurezza non hanno impedito di scalare da account dipendente a quello di Admin, tutti senza 2FA. Il monitoraggio ha pure fallito.
Non lo stesso vale purtroppo per dieci anni di documenti regionali, necessari a garantire l’operatività. Al momento non si sa se la Regione o l’Italia intendono pagare il riscatto (ufficialmente no).
Almeno, non risultano al momento furti (esfiltrazioni) di dati, anche se qualche dato può essere comunque fuori uscito; sarebbe stato già trovato su dark web un pacchetto forse riconducibile a Regione ma non ci sono conferme.
Regione Lazio poco preparata
Ma di eccezionale in questo attacco, vale la pena ripeterlo, non c’è nulla. Anzi, era ben possibile aspettarselo. Secondo l’ultimo Rapporto Clusit il settore pubblico è tra gli obiettivi più colpiti dal cybercrime nel 2020. La stragrande maggioranza degli attacchi sono proprio malware (come il ransomware che si presume abbia colpito la Regione Lazio), con un trend in evidente crescita: “si conferma anche nel 2020 una tendenza inequivocabile e molto pericolosa: gli attaccanti possono fare affidamento sull’efficacia del Malware “semplice”, prodotto industrialmente a costi decrescenti in infinite varianti, su Vulnerabilità note e su tecniche di Phishing / Social Engineering relativamente semplici, per conseguire la gran maggioranza dei loro obiettivi.” (Rapporto Clusit 2021).
Garante Privacy, è data breach
Garante Privacy parla espressamente di data breach per il caso Regione Lazio
L’Autorità Garante Privacy ha comunicato che “La Regione ha fatto pervenire una prima notifica preliminare di violazione dei dati all’Autorità, la quale si riserva di valutare a pieno la situazione una volta ricevuti ulteriori elementi anche all’esito delle analisi che la Regione sta compiendo”.
In attesa di valuzione dell’Autorità, per eventuali sanzioni per errori fatti.
Mitigazione difficile
Quindi, nel caso della Regione Lazio, la vera domanda non è cosa è successo, ma cosa si è fatto per proteggere gli utenti.
Un attacco ransomware non ha nulla di sofisticato, e dovrebbe ben rientrare nelle capacità di gestione di un’infrastruttura critica come la Regione Lazio, che dovrebbe aver adottato un piano di risposta agli incidenti di questo tipo, e per il ripristino delle operatività nel più breve tempo possibile. Questo è importante da sottolineare, perché il rischio è un pericoloso scarico di responsabilità.
È vero, un attacco ransomware può essere disastroso – ma solo se la vittima non è in grado di adottare adeguate misure di mitigazione. La gravità delle conseguenze di un attacco di questo tipo dipende esclusivamente dalle capacità di risposta della vittima. Nei casi migliori, con capacità di risposta adeguate, le conseguenze sono temporanee e i sistemi possono essere ripristinati in alcuni giorni. Nei casi peggiori, con capacità di risposta non adeguate, le conseguenze possono essere devastanti: perdita completa e permanente dei dati e dell’operatività dei sistemi, senza alcuna possibilità di ripristino. Molte aziende impreparate sono costrette a chiudere definitivamente dopo essere state colpite da un attacco ransomware. Ma certamente non possiamo pensare di poter chiudere la Regione Lazio, che dovrà quindi ripartire in breve tempo.
Un’infrastruttura critica
Primo problema: secondo le misure di sicurezza minima dell’Agid per la PA, in vigore con cogenza, bisogna: “Assicurarsi che i supporti contenenti almeno una delle copie [dei backup] non siano permanentemente accessibili dal sistema onde evitare che attacchi su questo possano coinvolgere anche tutte le sue copie di sicurezza”.
Vale la pena inoltre ricordare che la Regione Lazio in quanto infrastruttura critica rientra a pieno titolo nell’ambito della Direttiva europea NIS (per la sicurezza delle reti e dei sistemi informativi), e nel perimetro nazionale di sicurezza cibernetica. I soggetti che rientrano in questi perimetri di sicurezza hanno lo specifico obbligo di mantenere elevati standard di cybersicurezza, proprio per far fronte a questi eventi. E critica è anche la piattaforma per prenotare i vaccini.
L’ultimo decreto attuativo del perimetro nazionale di sicurezza cibernetica fa riferimento agli standard di sicurezza del Framework Nazionale per la Cybersecurity e la Data Protection, che prevede espressamente l’obbligo di implementare un piano di risposta agli incidenti che descriva le procedure dettagliate per garantire una risposta efficace e ordinata agli incidenti che comportano una violazione di dati personali, oltre a un piano di ripristino da eseguire dopo aver subito un incidente di sicurezza. Speriamo quindi che la Regione Lazio sia in grado di gestire al meglio questo attacco, le cui conseguenze dipenderanno esclusivamente dalle loro capacità di risposta.
Quello che finora sembra trapelare è però una sostanziale paura da parte dei portavoce della Regione Lazio, che peraltro non hanno nulla a che fare con la cybersicurezza dell’ente. I commenti rilasciati da Zingaretti e D’Amato sono imprecisi e inadeguati a gestire una situazione che dovrebbe invece essere supportata da comunicazioni istituzionali precise e ben strutturate. Parlare di “potente attacco hacker” non ha alcun senso e genera soltanto confusione. È per questo motivo che proprio il Framework Nazionale per la Cybersecurity prevede anche l’implementazione di un piano di gestione delle pubbliche relazioni durante e dopo un incidente.
Ma non basta: la Regione Lazio è anche chiaramente soggetta alla normativa privacy (GDPR), che prevede specifici obblighi di comunicazione verso i soggetti interessati (in questo caso i cittadini laziali) quando la violazione di dati è suscettibile di presentare un rischio elevato per i loro diritti e libertà. La comunicazione deve essere semplice e chiara, senza però scadere in semplificazioni. Come minimo, la Regione Lazio dovrebbe almeno descrivere accuratamente la natura della violazione dei dati, la categoria dei dati interessati dall’incidente, e il loro volume. Insieme a queste informazioni tecniche, la Regione dovrà anche descrivere le probabili conseguenze di questa violazione e descrivere le misure adottate per porvi rimedio. Insomma, comunicare questo tipo di incidenti è un lavoro che richiede preparazione e competenze specifiche, e non può essere lasciato nelle mani degli assessori alla sanità.
Le buone prassi vorrebbero che fosse istituito un portale informativo contenente tutte le informazioni ora richiamate, insieme ad uno specifico call-center che possa dare informazioni più precise alle persone che inevitabilmente subiranno conseguenze più o meno gravi da questo incidente.
Ad oggi nulla di tutto questo d Regione Lazio.
In conclusione
Considerando che sia il GDPR (Reg. UE 2016/679) che NIS (Direttiva UE 2016/1148) sono ormai in vigore da diversi anni, speriamo che la Regione abbia fatto tesoro di questo evento e sia più preparata.
Anzi: speriamo che l’Italia lo diventi. L’accelerazione sull’Agenzia per la cybersecurity lascia ben sperare, ma ora bisogna correre.
Ecco la legge sulla cybersecurity e l’Agenzia, ma ora bisogna correre
Ma le misure della Regione alla fine hanno funzionato
Se un attacco riesce, significa che qualcosa poteva essere fatto per evitarlo.
Ma questo non implica che siano stati fatti errori facilmente evitabili o che ci sia incompetenza.
In una grande organizzazione, può essere troppo complesso e costoso gestire un backup offline o applicare sistemi di autenticazione a doppio fattore. Lo vediamo in molti casi, anche internazionali (SolarWinds, Kaseya, Colonial Pipeline).
Bisogna inoltre riconoscere che alla fine il backup di Regione ha funzionato, perché ha impedito il criptaggio obbligando gli attaccanti a cancellare. Di solito fanno così, quando non possono criptare il backup. Sistemi di sicurezza, configurazioni e tipo di piattaforma di backup usata possono renderlo meno accessibile all’attaccante, infatti (e bisogna anche considerare le sue competenze tecnologiche e il livello di privilegi acquisiti).
La lezione? Non basta spendere di più per essere cyber-sicuri; bisogna applicare misure e best practice di sicurezza, su tutta l’organizzazione, sistemi tecnici e risorse umane. Ma anche con le migliori misure – zero trust architecture, 2FA con token a tutti – il rischio intrusione non è mai nullo.
Per questo motivo sono importanti le misure per monitorare e limitare i danni. E queste alla fine dei conti in Regione hanno funzionato.
Alessio Pennasilico, P4i
Articolo pubblicato il 2, aggiornato il 3, il 4 e 8 agosto con l’evolversi della vicenda
