Attacco hacker Regione Lazio: «Per garantire che i dati dei cittadini siano al sicuro serve più tempo»
Abbiamo parlato con Stefano Zanero, professore associato e esperto di cybersecurity, per capire il destino dei dati ostaggio dell'attacco hacker al Portale Salute Lazio
02/08/2021 di Ilaria Roncone
Mentre le indagini sull’attacco hacker Lazio continuano, abbiamo intervistato Stefano Zanero – professore associato al Politecnico di Milano e esperto di sicurezza informatica – per provare a capire le dinamiche dell’incidente dandone una narrazione il più possibile attinente ai fatti. No sensazionalismi e esagerazioni per parlare di una situazione che, come possiamo ben vedere, è già grave di suo. Da dove arriva l’attacco? Secondo Zanero le teorie sul piatto sono entrambe una possibilità.
«Ho letto entrambe le teorie e entrambe sono valide attualmente. Attacchi indiretti tramite un fornitore di servizi non sono una novità per questo tipo di aggressioni e, al contempo, non sono una novità nemmeno gli attacchi diretti. Entrambe le versioni sono trapelate finora e sono entrambe ragionevoli – ci spiega, sottolineando però che – c’è una differenza importante tra le due versioni: nel caso l’attacco sia stato fatto passando tramite un fornitore di sistemi, questi fornitori non lo sono di un unico ente e sarebbe importante sapere quali sono gli altri perché possano dare un’occhiata molto da vicino a quello che sta succedendo sulla loro rete».
LEGGI ANCHE >>> Allarme cybersicurezza in Italia, dove si registra una media di 600 crimini informatici al giorno
«Il modus operandi è di chi punta ai soldi»
Teorie complottistiche sui no vax o su attacchi mirati dall’estero continuano a girare sui social ma, analizzando i fatti a mente lucida, la verità è sotto gli occhi di tutti. Scegliere di bucare un grosso fornitore di servizi, appunto, è il modus operandi di chi – solitamente – punta ai soldi: «Un aggressore finanziariamente motivato con un minore investimento ottiene una maggiore resa. Sembra ridicolo a sentirlo in questi termini, ma è un’industria e quindi si ragiona in questi termini».
Minima spesa massima resa, quindi. «È il bello degli aggressori finanziariamente motivati. Sono quelli che, nella nostra teoria generale, sono facili da capire perché basta guardare le economics che ci stanno dietro. Quelli motivati politicamente o per ragioni di stato, invece, sono difficilmente comprensibili perché non sai dove vanno a colpire».
«Fermo restando che sono aperte tutte le possibilità, è una questione di rasoio di Occam: l’attacco hacker Lazio è con un ransomware, che cifra i dati per chiedere un riscatto. Se qualcuno lo facesse per un motivo politico non chiederebbe un riscatto ma fornirebbe un messaggio. Non cifrerebbe nemmeno i dati. La scelta di farlo è per vendere la chiave per decifrarli. Se vuoi solo danneggiare, danneggi i sistemi: cancelli, confondi i dati nel database e lo fai subito prima che venga fatto il back up».
«Il modus operandi è quello di chi vuole chiedere un riscatto. Il target è grosso e importante ma target di questo tipo sono stati aggrediti allo stesso modo anche altre volte, magari non in Italia però anche altrove è successo. Il bersaglio è più grosso e evidente per questo evento gravissimo, ma tutto porta nella direzione del ricatto. Tutto rimane possibile ma nell’economia delle cause ha senso puntare sulla spiegazione che è sotto gli occhi di tutti»
L’equivoco su Cryptolocker e l’attacco hacker Lazio
Sui giornali si è iniziato a fare il nome di Cryptolocker ma, alla fine dei conti, il ransomware è un altro. La questione è frutto di un’approssimazione nella comunicazione: «Il ransomware più famoso è quello, allora qualcuno ha detto “è stato un cryptolocker”, intendendo un ransomware e utilizzandolo come sinonimo. Ci sono ransomware più recenti di Cryptolocker e penso che quello utilizzato sia più moderno. Questi malware sono tutti più o meno simili ma quello, nello specifico, solitamente viene distribuito mediante allegati infetti alle persone singole. Sono altri i ransomware che vengono installati su grossi sistemi per chiedere riscatti. Che sia Cryptolocker lo escluderei, quindi»
Dire che i dati sono al sicuro non dovrebbe essere ancora possibile
I dati sono al sicuro? «Quanto affermato finora in merito vuol dire tutto e niente, la violazione dei dati dovrà essere oggetto di un’analisi attenta. Si tratta di dati non immediatamente monetizzabili ma il ricatto del diffonderli potrebbe avere a sua volta un peso». Dire che i dati sono al sicuro – come hanno fatto le autorità cercando di rassicurare i cittadini – «può voler dire: “Abbiamo un backup”». Per capire se i dati sono stati sottratti o meno serve tempo: «Solitamente sono ci sono delle analisi che si possono fare per capire se sono estratti i dati. Quanto tempo servirà per stabilirlo dipende da molti fattori: dagli strumenti che hanno a disposizione, da quante cose sono state registrare sui sistemi. In teoria potrebbe essere anche impossibile da determinare se un sistema non avesse registrato opportunamente le informazioni. Risulta molto strano che qualcuno lo possa dire con così tanta sicurezza e così in fretta»
I danni della possibile diffusione di questi dati sensibili vanno ben al di là dei nomi di Draghi o Mattarella. «Di base i dati sanitari di tutti gli italiani meritano un’opportuna tutela perché nessuno li vuole vedere in pubblica piazza. Oggettivamente, però, una potenza straniera abbia molti bersagli più interessanti del sistema sanitario di una regione se deve colpire le nostre alte cariche istituzionali. Il profilo sicurezza nazionale sembra un po’ esagerato, anche se ovviamente non vuol dire che si possa trascurare il danno. Per tutti i cittadini. Paradossalmente, per esempio, i dati sullo stato di salute di ad di importanti aziende quotate sono più golosi rispetto ai dati sullo stato di salute del presidente Draghi».
«Evitiamo il victim blaming della Regione Lazio»
«In questi momenti, secondo me, è sbagliato fare victim blaming. In generale la Regione Lazio non è il colpevole, è la vittima. Ci sono dei colleghi esperti di sicurezza che lavorano da più di ventiquattro ore e, giustamente, ancora non parlano. Anche solo per rispetto nei loro confronti mi sembra difficile iniziare a capire di chi sono le responsabilità. C’è un concetto che può sembrare banale ma è difficile da far comprendere: il fatto che sia successo un singolo incidente non dice qualcosa sul livello di sicurezza dell’infrastruttura».
«Ci può essere un’infrastruttura che è un colabrodo e non ha incidenti o, viceversa – spiega Zanero ai microfoni di Giornalettismo – un’infrastruttura molto sicura che purtroppo ha incidenti. Gli attori che compiono questi attacchi sono sofisticati, guardando in giro per il mondo non passa giorno senza che un’azienda o un’istituzione importante non ne sia vittima. Se ne deduce che difendersi da questi attacchi, anche facendo tutte le cose giuste, è molto difficile. Oggettivamente, non solo la pubblica amministrazione ma tutte le aziende e tutte le organizzazioni sono molto in difficoltà rispetto a questo tipo di attacchi».
Il cloud della pubblica amministrazione pensato da Colao come soluzione parziale
«Di solito centralizzare i dati su sistemi ben protetti (come immaginato dal ministro Colao n.d.R) è meglio che avere dati diffusi ovunque. Per converso, il caso della Regione Lazio non è quello di un piccolo comune X. Il sistema in questione immagino sia progettato e difeso con un certo livello di investimento, purtroppo nel caso specifico non ci sarebbe stata una differenza significativa». In linea di principio, però, per difendersi dai ransomware e garantire la continuità dei servizi ai cittadini «l’utilizzo di servizio in Cloud non è la panacea di tutti i mali ma è un passo nella giusta direzione»
«I tempi della notizia e quelli dell’analisi informatica sono diversi»
«Da un lato c’è inseguire la notizia, che è lavoro dei giornalisti, dall’altro c’è il problema che in casi come questo chi sta lavorando sulle cose non può parlare. Lavoriamo tutti su delle voci e questo, ovviamente, non porta a un’informazione completa. Se si aggiunge il fatto che l’analisi di un incidente informatico di questo tipo, a partire dall’attribuzione, da dove è avvenuto l’attacco hacker Lazio e chi c’è dietro, richiede giorni se non settimane. Si fanno varie analisi, si cercano conferme, occorre aspettare certi tipi di dati per i quali serve la collaborazione di altri paesi».
In conclusione, i tempi della cronaca sono brevi ma quelli per analizzare un attacco informatico di questa portata sono un po’ più lunghi di così e da qui arriva «la frammentarietà nella comunicazione. Quello che è successo è grave già di per sé, non serve esasperare i toni o parlare di terrorismo, no vax». I
Zingaretti smentisce la richiesta di riscatto per l’attacco hacker Lazio
Intanto Zingaretti ha dichiarato ai giornalisti che «non è stata formalizzata nessuna richiesta di riscatto né in bitcoin né in altre forme di valute alla Regione Lazio» e che si tratterebbe di un «equivoco». Equivoco che nascerebbe, secondo le parole del Presidente della Regione, «dal fatto che nella homepage del virus compaiano riferimenti a come contattare l’origine del virus».