Le sorti dei data breach ai danni della USLL Euganea e della ASL Napoli 3 si stanno intrecciando, mostrando tutta la vulnerabilità dei sistemi pubblici, le lacune nella gestione dei dati e la mancanza di conoscenza delle dinamiche del cyber crime.

Posto che si tratta di due attacchi differenti condotti da gruppi diversi, con modalità diverse e in momenti diversi, quando i nodi arrivano al pettine il risultato è univoco: i cittadini titolari dei dati rubati, sono quelli che ci rimettono. Il discorso di potrebbe allargare all’attacco alla Regione Lazio e a quelli – numerosi – ai Comuni. Ma circoscriviamo le considerazioni agli ultimi due casi in ordine di tempo.

Il caso della USLL Euganea

Nella notte fra il 15 e il 16 gennaio i dati sottratti durante l’attacco alla USLL Euganea sono stati pubblicati online. Nelle comunicazioni ufficiali si legge che “i criminali, differentemente da quanto annunciato sul web con il rinvio di tre giorni dell'ultimatum, alle 23.30 di sabato 15 gennaio hanno attuato ciò che avevano promesso”.

Fino all’avvenuta pubblicazione dei dati “non sussisteva alcuna certezza che i malviventi fossero riusciti a venire in possesso di informazioni, in che quantità e il loro genere”. Si tratta di circa 10.000 file esfiltrati durante l’attacco del 3 dicembre, senza che nessuno si accorgesse. Un sospetto che purtroppo trova conferma nelle dichiarazioni dei dirigenti, che sottolineano come “l’Azienda Ulss 6 è in possesso del 100% dei dati e non ha perso alcun elemento rispetto alla situazione antecedente l’attacco informatico del 3 dicembre scorso“.

L’eventualità che durante l’attacco i dati siano stati esfiltrati senza cancellarli non è stata presa in considerazione. Per fortuna la task force ha intercettato la pubblicazione, sempre ammesso che serva intercettarla senza poterla bloccare.

Da notare che si è trattato di un attacco del tutto ordinario, compiuto da un gruppo ransomware ben noto (LockBit 2.0), che ha sfruttato le Active Directory per prelevare le cartelle condivise in cui c’erano i dati sensibili rilevanti, che sono quelli che interessano ai criminali informatici. Nulla di nuovo.

Il caso della ASL Napoli 3

Qui la questione è differente. Rispetto ai giorni scorsi c’è stata una rivendicazione da parte del gruppo Sabbath (noto anche come 54bb47h). I dati sensibili rubati ammontano a 1,5 GB e i ladri informatici hanno pensato bene di rivelare anche come li hanno ottenuti.

Analogamente a quanto accaduto con l’attacco contro la Regione Lazio, hanno compromesso uno dei fornitori di servizi IT della Regione. Tale fornitore aveva in gestione i server con le virtual machine, di cui ne sono stati compromessi 42, per un totale di 240 macchine virtuali usate dalla ASL Napoli 3 per erogare i servizi alla cittadinanza.

Come la USLL Euganea, anche ASL Napoli 3 non ha pagato alcun riscatto e non intende farlo. Per questo è verosimile che le informazioni sottratte verranno diffuse online alla scadenza dell’ultimatum.

Qualche considerazione

Parlare di attacchi contro lo Stato, come avvenuto in occasione dell’hacking ai danni della Regione Lazio, è totalmente fuori luogo. Se per l’Ucraina la matrice politica è scontata, qui è altrettanto scontato il movente economico degli attaccanti.

Parliamo di criminali informatici motivati economicamente, che approfittano delle debolezze altrui per sferrare attacchi con l’obiettivo di arricchirsi. Opportunisti dell’era digitale, a cui non importa che la vittima sia un ospedale o comunque un ente sanitario che eroga servizi essenziali per la salute pubblica. Potremmo dibattere per mesi sul fatto che approfittare opportunisticamente dell’emergenza pandemica è immorale, ma significherebbe riconoscere una moralità a chi per professione non la ha e non la vuole avere.

Si parla da inizio pandemia anche del fatto che la pressione a cui sono sottoposte le strutture sanitarie ha aumentato i rischi a cui sono esposte, rendendole vulnerabili, oltre che custodi di informazioni sensibili che valgono oro. Tuttavia, se due anni fa c’erano scusanti e attenuanti, oggi non è più così. Ci sono stati modi e tempo per fare quello che avrebbe dovuto essere fatto per rimediare alle falle di sicurezza e all’infrastruttura inadeguata. E per fare prevenzione - o come ripetono spesso gli esperti di cyber security, essere proattivi e non reattivi. Invece, a due anni dall’inizio della pandemia, stiamo anche aspettando che qualcuno arresti dei colpevoli che, il più delle volte, sono inarrestabili.

Quello che forse non è chiaro è che il servizio sanitario è responsabile, oltre che dei servizi che eroga e della regolarità con lui li eroga, anche dei dati che i cittadini gli affidano in buona fede per ottenere tali servizi. Ogni qualvolta si verifica un cyber attacco ai danni di una ASL il cittadino paga un doppio scotto. Subisce un’interruzione dei servizi con tutti i disagi del caso (vedi blocco vaccini, prenotazioni e consegna esami). E i suoi dati sensibili finisco alla mercè dei criminali informatici o addirittura di pubblico dominio.

Che cosa manca

Il dibattito su quello che manca è troppo lungo per essere affrontato a 360 gradi in questa sede. Almeno a livello concettuale, però, si possono individuare un paio di punti fermi. Il primo è che la pubblica amministrazione italiana ha un livello di informatizzazione (nel senso più ampio del termine) a dir poco inadeguato. Oggi informatizzare non significa installare computer e server. Significa predisporre un’infrastruttura efficiente che sia in grado di svolgere il compito che è chiamata ad assolvere in maniera sicura, ossia tutelando i dati di cui fa uso.

Fino a quando questo concetto non sarà assimilato, non sarà possibile garantire ai cittadini quello che gli è dovuto. È giusto puntare il dito contro i cyber criminali, perseguirli legalmente e cercare di bloccarli. Ma è anche giusto riconoscere che i criminali informatici sfruttano le falle che ci sono già nei sistemi. Falle lasciate da chi il sistema l’ha creato, da chi lo ha gestito e in ultima analisi da chi lo sta gestendo.

La stessa trasformazione digitale protagonista del PNRR rischia di tramutare un’opportunità in un suicidio senza l’applicazione dei presupposti di base di sicurezza, come ha fatto notare il Clusit.

Quello che manca è la sopraccitata prevenzione. L’approccio continua ad essere reattivo: dopo l’attacco si cerca di rimediare mettendo una toppa. Con gli attacchi moderni, quando si arriva a dover rimediare è ormai troppo tardi. Serve proattività: la ricerca attiva delle intrusioni, la capacità di reagire tempestivamente non appena si scatena un attacco per bloccarlo e limitare i danni. È una strada che richiede investimenti, ma i dati dei cittadini, e i servizi ai cittadini, valgono questi investimenti. Se non lo si riconosce, tanto vale alzare bandiera bianca.

Inoltre, in un contesto intellettualmente onesto, a questo punto bisognerebbe mettere in discussione tutta la supply chain. Se due indizi non fanno una prova, gli attacchi alle istituzioni che sono passati per i fornitori ormai sono oggettivamente troppi. È evidente che nella scelta dei fornitori la sicurezza informatica non è una delle voci che contano. Così, ammesso di avere un servizio ben fatto, sarà il fornitore a consegnare le chiavi del regno agli hacker.