Qual è stata la risposta della Regione all’attacco all’ASL1 Abruzzo

Ogni qualvolta ci si trova di fronte a un attacco informatico – di qualsiasi tipo – ai danni di un’istituzione o di un servizio pubblico, in Italia c’è sempre scarsa chiarezza comunicativa. Abbiamo assistito ad allarmi eccessivi su attacchi DDoS (che hanno un impatto hic et nunc non paragonabile ad altre tipologie, per gravità) all’assenza quasi totale di dichiarazioni e dettagli in occasione di offensive di tipo ransomware con fuga di dati personali dei cittadini. Il caso dell’attacco condotto dal gruppo hacker Monti nei confronti dell’ASL1 Abruzzo rientra in questo secondo filone, con la Regione che ha comunicato poco e male.

LEGGI ANCHE > L’attacco all’ASL1 Abruzzo è una delle più gravi violazioni dei dati della storia d’Italia

I cittadini abruzzesi – soprattutto quelli “serviti” dall’Azienda Sanitaria Locale nelle città di Avezzano, Sulmona e L’Aquila si sono accorti dei problemi quando i sistemi informatici risultavano essere non raggiungibili. Non si trattava di un down di un’infrastruttura, ma di un attacco ransomware (quindi dati sottratti e poi, in un secondo tempo, pubblicati online) tra i più gravi di sempre in Italia. Molte persone, infatti, hanno scoperto l’accaduto grazie al lavoro del gruppo di ricerca DRM (Dashboard Ransomware Monitor), mente le istituzioni locali – e non solo – si erano trincerate dietro il silenzio o dichiarazioni a mezza bocca.

ASL1 Abruzzo, come la Regione ha gestito l’attacco

Nel 2023 (ma questo discorso è valido da alcuni anni), appare inopportuno questa tipologia di (non) comunicazione. Proviamo, dunque, a ripercorrere le tappe. La prima risale allo scorso 3 maggio, giorno in cui la cyber-gang Monti ha attaccato l’ASL1 Abruzzo. Poi, nei giorni successivi, la prima minaccia di pubblicazione di parte dei dati: “pochi” gigabyte rispetto ai 522 trafugati. Fino a poche ore fa, quando gli hacker hanno pubblicato l’intero pacchetto di archivi RAR sottratto ai sistemi informatici dell’Azienda Sanitaria Locale. Non è chiaro se sia stato chiesto un riscatto (si è parlato di un primo acconto, poi del saldo totale mai pagato dalla Regione), anche perché il pagamento sarebbe stato illecito in quanto vietato dalla legge. Sta di fatto, che la comunicazione è stata lacunosa e praticamente assente. In particolare, il Presidente della Regione – Marco Marsilio – si è limitato a confermare la linea indicata dalla legge:

«La Asl e la Regione non pagheranno nessun riscatto chiesto dagli hacker”. tTeniamo a sottolineare che la divulgazione dei dati trafugati costituisce un reato e chiunque scarichi file dal dark web commette un reato penale, quindi invitiamo tutti a non aprire documenti rilasciati illegalmente in rete». 

Certamente, quanto dichiarato da Marsilio è un problema, ma è secondario rispetto alle cause e agli effetti di questo attacco ransomware. E questi stessi concetti – mettendo “addirittura” a disposizione due indirizzi e-mail – vengono riportati all’interno del sito ufficiale dell’ASL1 Abruzzo:

«Chiunque acquisisce dati dal dark web e li diffonde on-line o sui social network si rende autore di reato per acquisizione fraudolenta e diffusione illecita di dati personali, penalmente perseguibile. Pertanto, si invitano gli utenti a non scaricare dal dark web e non condividere con terzi gli archivi di dati resi disponibili dal gruppo di hacker “Monti” potenzialmente riconducibili alla Asl1 Abruzzo. Si segnala inoltre che tali dati presenti sul dark web potrebbero essi stessi contenere virus/ransomware molto dannosi se memorizzati sui computer degli utenti. Si invitano inoltre tutti gli interessati a diffidare da qualunque forma di contatto che dovesse raggiungerli e che non provenga da una fonte che ritengano già conosciuta o affidabile, in particolare ove tali contatti possano fare riferimento alle personali condizioni di salute. In tali circostanze, si invitano gli interessati a proporre tempestivamente denuncia alle Autorità competenti».

Nessun riferimento alle falle nel sistema che hanno consentito all’attacco ransomware di andare a segno. Nessuna scusa per la paralisi del sistema sanitario locale (il servizo CUP, per esempio, è ripreso in modo balbettante solo l’11 maggio) in quelle città (con annesse conseguenze anche su quelli degli altri distretti). Nulla se non l’invito (giusto) a non cercare e scaricare quei dati. Perché la Regione, in attesa delle indagini dell’ACN, è rimasta inerme. Non ha mai voluto comunicare con il gruppo Monti, come spiegato dallo stesso direttore generale della Asl provinciale dell’Aquila, Ferdinando Romano:

«La Asl1 ha scelto sin da subito di non instaurare alcun tipo di contatto o trattativa con i criminali, bensì di avviare, nel riserbo più assoluto, le attività di indagine, bonifica e ripristino dei sistemi, nel comune interesse delle strutture coinvolte e dei cittadini stessi. Pertanto, si ribadisce, la Asl1 non ha mai potuto conoscere dettagli inerenti presunte trattative, regole di ingaggio, metodi di pagamento o valori di riscatto. Di conseguenza, nessun soggetto esterno alla struttura può essere a conoscenza di tali dettagli». 

Ribadiamo un concetto: è giusto non trattare e non pagare un riscatto (lo dice la legge), ma quel che è mancato è una comunicazione proattiva nei confronti dei cittadini. Così come sembrano evidenti le lacune di fronte ad attacchi di questo tipo.

La risposta dell’ACN

Nei giorni successivi all’attacco – ma con grande ritardo rispetto alla notte del 3 maggio in cui si è consumata l’offensiva – è arrivata la prima (e unica) comunicazione da parte dell’Agenzia per la Cybersicurezza Nazionale, attraverso le parole del nuovo direttore Bruno Frattasi:

«In merito all’attacco informatico subito la scorsa settimana dall’Asl 1 Abruzzo, l’Agenzia per la cybersicurezza nazionale informa che nelle ore successive all’evento è intervenuto un team di specialisti del Servizio Operazioni per le attività di analisi e di contenimento dell’attacco. L’attività è poi proseguita anche nei giorni successivi fornendo supporto agli organismi regionali per indirizzare le azioni di riavvio e ripristino dei servizi bloccati. Si tratta di uno degli atti di pirateria informatica più rilevanti accaduti negli ultimi mesi, che conferma come il settore sanitario italiano, anche per la sua stessa capillarità, risulti tra i più vulnerabili e richieda investimenti mirati, anche allo scopo di proteggere la privacy dei cittadini riguardo al rischio di trafugamento e pubblicazione di dati sensibili. Va aggiunto che il tema della cybersicurezza nel settore sanitario, come in altri settori essenziali, riguarda tutti i Paesi digitalmente avanzati, compresi quelli che in Europa hanno recentemente subito, come l’Italia, attacchi informatici altrettanto gravi da attori malevoli. E’ importante quindi che le Amministrazioni pubbliche, centrali e territoriali, rafforzino il prima possibile le misure di protezione dei propri sistemi informatici, adeguandoli agli standard più avanzati. Un processo, volto a rafforzare la resilienza del Paese, che avverrà con il supporto e l’ausilio dell’Agenzia». 

Nessun ulteriore notizia, nonostante il 16 maggio sia stato pubblicato l’intero database con in dati personali e sanitari dei pazienti dell’ASL1 Abruzzo.

Le reazioni politiche

La politica, ovviamente, non è rimasta in silenzio. O, per meglio dire, si è accorta di quanto accaduto solo dopo che i “buoi sono usciti dalla stalla”. Perché nei primi giorni del caos, le dichiarazioni delle opposizioni sono state praticamente assenti. Poi, tutto d’un tratto, MoVimento 5 Stelle e Partito Democratico hanno chiesto alla Regione di rispondere ai loro interrogativi su questo attacco, arrivando a chiedere anche le dimissioni di Ferdinando Romano, direttore generale della Asl provinciale dell’Aquila.

(Foto IPP/Luciano Adriani)