È bastata un’email per sequestrare la sanità di Zingaretti

Il Lazio hackerato tramite il pc di un dirigente in smart working «Colpiti pure i dati di riserva». I criminali chiedono 20 milioniCorreva l’anno 2015 e l’Inps si ritrovava a dover pubblicare sul suo sito un avvertimento per gli utenti che, ignari, potevano cliccare sulle mail inviate dall’indirizzo supporto@inps.gov.it. Chi lo aveva fatto era incappato di sicuro in un ransomware, cioè un virus informatico che infetta un computer, limita l’accesso ai file e ne prende il controllo. Spesso, dopo essere entrato, chi ha diffuso il virus chiede un riscatto per poterlo rimuovere. A distanza di 6 anni, la situazione in Italia non sembra essere cambiata. Le nostre istituzioni si rivelano ancora deboli di fronte ai virus informatici, sia dal punto di vista della protezione dei dati, sia, soprattutto, per l’impreparazione del personale, ancora poco formato. Questo tipo di malware esiste ormai dal 2007. Costano molto poco. Bastano un computer, un account mail e un «cryptolocker». Di solito vengono inviate milioni di email a tappeto, nella speranza che qualcuno ci caschi. Spesso succede. Del resto, nel 2018 fu violato mezzo milione di caselle mail certificate (Pec), comprese quelle di magistrati e tribunali, con un’operazione che arrivò a bloccare i servizi delle Corti d’appello, arrivando a toccare anche i ministeri di Esteri, Interno, Difesa, Economia, Sviluppo economico. Caso vuole che proprio in questi giorni si stia perfezionando la nascita dell’Agenzia per la cybersicurezza nazionale, il Nucleo sicurezza cibernetica presieduto dal direttore generale con delega al cyber del Dis, Roberto Baldoni. C’è chi l’aspetta da anni. Nel frattempo, a finire nel mirino di hacker, nemmeno troppo sofisticati, è stata la Regione Lazio di Nicola Zingaretti, che da più di 48 ore vede i propri sistemi informatici bloccati, con un danno non indifferente alla campagna vaccinale in corso. L’ultima offensiva - respinta - nella notte tra lunedì e martedì. Ieri il ministro dell’Interno, Luciana Lamorgese, ha spiegato al Copasir che l’attacco hacker è «un evento causato da una leggerezza, che ha messo in luce la vulnerabilità del sistema informatico della pubblica amministrazione». Allo stesso tempo, secondo Lamorgese, tutto sarebbe «partito dalla semplice apertura di una mail privata». L’incauto dirigente sarebbe un dipendente di Frosinone, della società Laziocrea, controllata dalla Regione. Sarebbe stato lui, in smart working, a scaricare la mail con l’allegato malevolo. E in questo modo i criminali avrebbe utilizzato le sue credenziali di «alto livello» per entrare nel sistema della Regione. Ma qui vengono evidenziate le prime falle del sistema di Regione Lazio. Far usare a un dipendente in smart working il pc privato per accedere ai dati aziendali non è di sicuro una buona idea. Non lo è neppure se lo stesso dipendente ha avuto accesso a una mail privata tramite un computer aziendale. L’errore potrebbe costare caro al governatore Zingaretti.A quanto filtra da fonti investigative, grazie ai malware infiltrati nei server regionali, i cybercriminali sarebbero entrati in possesso di diversi dati anagrafici e anche di cartelle cliniche. Il problema, suggeriscono le stesse fonti, è che nel database della sanità laziale ci sono con tutta probabilità i dati dei parlamentari e dei membri di governo. E, chissà, anche del presidente della Repubblica, Sergio Mattarella. E’ probabile che per arrivare a questi dati gli hacker siano rimasti nel sistema diversi mesi dopo aver rubato le credenziali del dirigente di Laziocrea. L’assessore alla Sanità, Alessio D’Amato, ha dovuto ammettere che «è stato criptato anche il backup dei dati», che è una specie di riserva d’emergenza: «I dati non sono stati violati ma sono stati immobilizzati». D’Amato ha assicurato che, nel giro di tre giorni, tornerà di nuovo possibile prenotarsi online per le iniezioni. Quanto al green pass, la Regione ha ribadito che il documento «viene inviato dal ministero della Salute con le consuete modalità». Intanto, circola l’ipotesi di una richiesta di riscatto da 20 milioni di euro, chiaramente in bitcoin, giustificata anche dai documenti nelle mani dei cybercriminali. Non a caso il procuratore capo di Roma, Michele Prestipino, ha affidato gli accertamenti ai magistrati che si occupano di reati informatici, coordinati dal sostituto Angeloantonio Racanelli. Nel fascicolo si procede contro ignoti e vengono contestati diversi reati, tra cui accesso abusivo a sistema informatico, tentata estorsione, per di più con l’aggravante delle finalità di terrorismo. Tecnicamente non è scorretto definire un cyberattacco un attacco terroristico, per di più se a essere sotto scacco è un’azienda sanitaria durante una pandemia e in piena campagna vaccinale. Di sicuro può essere stato un attacco mirato. Corrado Giustozzi, uno dei massimi esperti italiani di cybersecurity, ha però spiegato su Facebook che non si tratta terrorismo. «L’attacco è di matrice puramente criminale: nulla di ideologico, niente No vax o Anonymous come qualcuno ha scritto. Pura e semplice richiesta di riscatto. Inoltre il ransomware è stato inoculato direttamente sui sistemi mediante un’intrusione chirurgica su un pc da cui è stata fatta escalation. Niente email di phishing o social engineering: si è trattato di un attacco alle macchine e non alle persone, fatto con l’aiuto di qualcuno che conosce bene i sistemi di Regione». Anche secondo Stefano Mele, massimo esperto in materia e partner dello studio legale Gianni & Origoni, «si tratta di un banale attacco ransomware per scopi economici. È un attacco criminale molto grave, che conferma un trend che vede il settore della sanità bersaglio privilegiato degli attacchi cibernetici ormai dallo scorso anno». Nel frattempo, la società Engineering, che era stata collegata all’offensiva Web, ha confermato di essere stata attaccata, ma ha escluso collegamenti con quanto accaduto alla Regione.In queste ore si è parlato della possibilità che gli attacchi siano partiti dall’Est Europa, dalla Russia o dalla Germania. Al momento a malapena si sa come sia successo, figuriamoci se è possibile stabilire chi sia stato o da dove sia partito.