Trenitalia sta ripristinando i servizi sospesi ieri, a dispetto del panico da «cyber-war»
L'elemento che andrà chiarito, nei prossimi giorni, è quello della diffusione di determinate informazioni che hanno permesso a utenti non identificati di colloquiare con il gruppo hacker Hive
24/03/2022 di Gianmichele Laino
Mettiamolo subito in chiaro: non siamo affatto dei negazionisti della «cyber-war» e sappiamo benissimo che, quello che si sta combattendo in Ucraina, è un conflitto ibrido, che prevede non soltanto i bombardamenti sul campo, ma anche l’aggressione del cyberspazio. Tuttavia, negli ultimi giorni sembra sia partita una sorta di psicosi collettiva che ricollega qualsiasi attacco hacker – ricordiamo che nel 2021 l’Italia è stato il Paese più colpito d’Europa da questo tipo di criminalità, nessuno se ne è accorto o ha letto Giornalettismo per informarsi?) – all’attuale situazione geopolitica in Ucraina. È successo anche ieri con il cryptolocker che ha fatto intrusione nei sistemi IT di Trenitalia, costringendo l’azienda a spegnere i terminali, a non far funzionare le biglietterie in stazione e a lavorare al di fuori dalla rete. Tuttavia, gli ultimi aggiornamenti riferibili alla mattinata del 24 marzo ci dicono che «RFI e Trenitalia stanno procedendo, con tutte le cautele necessarie, alle attività di controllo e progressiva riattivazione di alcuni dei sistemi che ieri erano stati inibiti in via cautelativa, per prevenire ulteriori infezioni delle utenze. La progressiva riattivazione necessita di tempi tecnici incomprimibili per garantire che avvenga in sicurezza».
LEGGI ANCHE > Trenitalia: «Non abbiamo ricevuto direttamente alcuna richiesta di riscatto»
Trenitalia e cyber-war, non c’è nessun collegamento
Ma ci sono alcune riflessioni da fare. La prima è: per quale motivo, a un certo punto della giornata di ieri, fonti “di sicurezza” hanno parlato di una possibile matrice russa dell’attacco hacker? Come si è visto, il fatto che i presunti responsabili dell’attacco a Trenitalia siano i componenti dell’Hive Group non basta da solo a identificarli come “hacker russi”. La loro provenienza è sicuramente quella dell’Est Europa, ma non soltanto dalla Russia. In ogni caso, le loro attività sono slegate dalla geopolitica: la loro è semplicemente un’azione criminale come tante altre, volta esclusivamente a ottenere del denaro. E fa ancora più strano che oggi, con un’intervista al Corriere della Sera, il direttore dell’agenzia nazionale per la cybersicurezza abbia dovuto smentire quelle “fonti di sicurezza” che ieri hanno parlato con Ansa e che avevano ipotizzato la matrice russa dell’attacco.
La sicurezza informatica è fondamentale, importantissima, in tempo di pace così come in tempo di guerra. E serve a migliorare le buone pratiche aziendali per la tutela dei dati personali. Ad esempio per ovviare a quel problema che, adesso, sembra tenere banco relativamente all’attacco ransomware subito da Trenitalia. Ovvero: come è possibile che nel backhand del sito di Trenitalia ci sia stato un dialogo tra i presunti hacker e utenti a caso, dialogo che avrebbe portato ad alzare la richiesta di riscatto immediatamente da 5 a 10 milioni in criptovalute? Il fatto che le chiavi siano diventate pubbliche, e a un certo punto siano state facilmente accessibili, rappresenta un problema che l’azienda, ma anche l’agenzia per la cybersicurezza che parla spesso di resilienza a proposito di questi fenomeni, dovrebbero analizzare.
Infatti, a una nostra specifica domanda sul tema, Trenitalia ha chiarito che ogni elemento verrà preso in considerazione e che «le analisi relative all’incidente in corso sono condotte in tandem tra i nostri team di sicurezza e quelli dell’agenzia della cyber sicurezza e la polizia postale».