Pian piano stanno emergendo nella loro interezza le macerie lasciate da uno dei più grandi attacchi cyber della storia della PA italiana. Il ransomware al fornitore di servizi cloud Westpole che ha impattato sul suo cliente PA Digitale, che a sua volta serve 1300 PA di cui 540 Comuni.
Ne abbiamo parlato alle prime notizie, ma il quadro che si sta formando – dieci giorni dopo l’inizio di tutto – è più disastroso del previsto, come confermano fonti tecniche istituzionali al lavoro sul problema; allo stato in via di risoluzione, ma con strascichi enormi e importanti conseguenze di lungo periodo.
Attacco informatico a Westpole, disagi nelle PA: ecco lo status (update 18 dicembre)
L’articolo qui su è aggiornato con le ultime notizie. Val la pena però prendere bene le misure di quanto sta succedendo, perché è un raro caso di attacco sistemico alla PA italiana tramite il fornitore di un fornitore delle vittime.
Indice degli argomenti
I danni dell’attacco Westpole-PA digitale
Impattati sono numerosi servizi delle PA per il lavoro interno e rivolti ai cittadini in centinaia di Comuni. I sindaci riferiscono problemi a: gestione dell’albo pretorio, alla fornitura di diversi servizi di pagamento online offerti ai cittadini, al sistema dedicato alle carte d’identità e anagrafe; pagamento dipendenti; sportello unico attività produttive, Pec, protocollo informatico. Ad esempio alcuni Comuni sono dovuti tornare alle modalità analogiche per certi servizi.
I danni variano da ente a ente.
Dipendono dal tipo di servizi affidati al cloud Urbi, sviluppato da PA Digitale e le cui funzionalità dipendono proprio dall’infrastruttura cloud di Westpole.
E’ in corso il recupero dei dati criptati che quindi possono tornare nelle disponibilità degli enti per i propri servizi e attività, riferisce in una nota stasera l’Agenzia cyber (ACN).
“L’attività svolta ha consentito il recupero dei dati oggetto dell’attacco per più di 700 dei soggetti pubblici nazionali e locali, legati alla catena di approvvigionamento di PA Digitale S.p.A”.
“Per le restanti Amministrazioni – sono circa 1.000 i soggetti pubblici legati contrattualmente a PA Digitale S.p.A. per l’erogazione di servizi gestionali di varia natura – resta l’esigenza di recuperare i dati risalenti ai 3 giorni precedenti l’attacco, avvenuto l’8 dicembre”.
“È inoltre da precisare, come confermato dalla stessa società PA Digitale, che l’attività svolta consente di scongiurare la paventata, mancata erogazione degli stipendi di dicembre e delle tredicesime a favore dei dipendenti di alcune Amministrazioni locali indirettamente impattate”.
Dati esfiltrati?
Nessun dato esfiltrato dagli enti, riferiscono tutte le fonti (PA Digitale e diversi Comuni). Le dichiarazioni di questo tipo vanno però prese ancora per le pinze: in passato (vedi ad esempio l’Asl di Modena) le vittime hanno rassicurato sull’assenza di furto di dati e poi sono state smentite da quanto pubblicato dai criminale in fase di rivendicazione.
L’attacco ransomware Lockbit
I criminali collegati alla gang Lockbit hanno richiesto il riscatto a Westpole e dichiarano a varie fonti (anche a Cybersecurity360) di essere stati loro. L’attacco è avvenuto l’8 dicembre all’alba, riferiscono varie fonti dei soggetti colpiti (Westpole e enti).
“Lockbit cripta e porta via dati, funziona così, sempre. Bisogna vedere di quali dati si tratta, ossia cosa stava nei sistemi criptati, e lo scopriremo solo quando pubblicheranno la rivendicazione e un sample sul loro sito”, spiega l’esperto cyber Dario Fadda.
Lockbit è un gruppo criminale RaaS, ransomware as a service, e dobbiamo immaginarli come un’azienda. Come scrive l’agenzia cyber americana, “sviluppa e mantiene la funzionalità di una particolare variante di ransomware, vende l’accesso a quella variante di ransomware a individui o gruppi di operatori (spesso indicati come “affiliati”) e sostiene la distribuzione del proprio ransomware da parte degli affiliati in cambio di un pagamento anticipato, di quote di abbonamento, di una parte dei profitti o di una combinazione di pagamento anticipato, quote di abbonamento e una parte dei profitti”.
L’Agenzia cyber nazionale ha riferito di stare aiutando Westpole a risolvere.
La nota di PA Digitale
“Westpole non ha evidenziato, né durante il periodo di esecuzione dell’attacco, né durante i giorni precedenti, alcuna esfiltrazione di dati”, scrive in una nota PA Digitale. “Abbiamo operato sin da subito per ottenere da Westpole il ripristino di una nuova infrastruttura affidabile e sicura sulla quale, attivando propri gruppi di lavoro in emergenza, ha proceduto alla reimportazione dei dati dei propri clienti partendo da backup di dati, operando, senza limiti di risorse e orario, per garantire un’effettiva, sicura e tempestiva ripresa dei servizi. I clienti – continua la nota – sono progressivamente in fase di riavvio a scaglioni e per gruppi successivi, con le prime riattivazioni avvenute già nella giornata di ieri. Man mano che i singoli clienti vengono ripristinati sulla nuova infrastruttura viene loro riattivato l’accesso ai servizi applicativi e da quel momento il cliente potrà tornare ad operare nel sistema”.
Update 19 dicembre: disservizio risolto
Una nota delle 17 da PA Digitale S.p.A il 19 dicembre dove dice di avere “ripristinato le funzionalità operative per tutti i clienti della Pubblica Amministrazione coinvolti nell’attacco, resi di nuovo operativi a partire dalle 08:00 del 18 dicembre 2023; sono attualmente in corso attività di miglioramento delle prestazioni relative ai nuovi impianti, associate alla necessità di ampliamento della banda utilizzabile in corso. PA Digitale S.p.A. sta quindi accompagnando gli Enti pubblici ad un progressivo ritorno alla piena normalità”.
“Per quanto riguarda la richiesta di informazioni e di chiarimenti pervenuta da AgID a PA Digitale S.p.A in data 14 dicembre 2023 – PA Digitale S.p.A. è Conservatore Qualificato AgID – PA Digitale S.p.A. ha confermato in data 15 dicembre 2023 che il sistema di Conservazione è intatto e integro; nessuna compromissione di dati si è verificata; al momento il sistema di Conservazione è tenuto in sicurezza e non riattivato in attesa di una completa stabilizzazione della situazione generale e dei necessari controlli di sicurezza.”
Ripresa anche la fatturazione elettronica: “è stata ristabilita l’operatività delle connessioni con il Sistema di Interscambio (SDI) di Agenzia delle Entrate, a cui va riconosciuta la totale collaborazione dimostrata nella tempestiva risoluzione delle richieste che le sono state indirizzate; gli utenti dell’applicazione Fatturazione Elettronica stanno iniziando a riprendere la generazione e l’invio delle fatture elettroniche, in sicurezza di accessi”.
Frattasi: è un tema geopolitico
Sempre nella stessa nota: “Il Direttore dell’Agenzia per la Cybersicurezza Nazionale, Prefetto Bruno Frattasi, ha ribadito la gravità ed estensione dell’evento, che va inquadrato nel contesto delle tensioni geopolitiche globali e che vedono l’incremento, in Italia, di azioni estese condotte verso l’intera superficie digitale della Repubblica, con uno specifico intento di danneggiamento delle funzioni essenziali che riverberano sui cittadini. In questo quadro, consapevole della propria funzione, PA Digitale S.p.A. sta supportando tutti i propri clienti, pubblici e privati mediante tutto il proprio personale, con una presenza operativa continua e con le informazioni rese disponibili dalle parti interessate, a cominciare da Westpole S.p.A., vittima dell’attacco”.
Un primo bilancio
I danni effettivi e le conseguenze si riveleranno insomma con la pubblicazione della rivendicazione da parte degli affiliati a Lockbit. La sensazione è che gli attacchi supply chain saranno la bestia nera anche del 2024. E nessun soggetto, per quanto grande, se ne potrà considerare al riparo. Ma sarebbe errato, a nostro avviso, considerare normale un attacco dalle proporzioni così sistemiche.
C’è da augurarsi in uno scatto di maturità della cyber italiana; con l’affermazione di policy davvero efficaci per prevenire e contenere il problema, a tutti i livelli.
