La cybersecurity è la nuova frontiera dove le guerre del futuro si combatteranno. Se è vero che l’abilità degli hacker sta diventando sempre più insidiosa, l’attacco ai server della Regione Lazio fa sorgere specifici interrogativi e prospetta inquietanti scenari.
Il recente attacco informatico ai sistemi della Regione Lazio non ha solo pesantemente inciso sui cittadini della Regione ma ha anche destato preoccupazione all’intero Paese, avendo dimostrato come sia possibile, ed anche relativamente facile, per gli hacker insinuarsi nelle reti protette delle istituzioni per le finalità più disparate dal terrorismo al volgare ricatto economico.
La cybersecurity è la nuova frontiera dove le guerre del futuro si combatteranno, la stessa Nato, nel suo ultimo vertice del 14 giugno scorso, ha posto tra i principali punti all’ordine del giorno la tecnologia e la sicurezza informatica, ampliando il proprio raggio di attenzione anche alla Russia ed alla Cina, che sul tema sono da tenere particolarmente sotto controllo.
Certo la collaborazione internazionale sarà necessaria, ma il nostro Paese si deve comunque attrezzare senza perdere tempo. Già nel 2018 il Copasir redasse una relazione sulle azioni ostili cibernetiche, evidenziando un aumento esponenziale soprattutto nei confronti dei sistemi informatici delle P.A., sia centrali che locali, evidenziando l’opportunità di non utilizzare tecnologia cinese nelle infrastrutture 5G per una miglior tutela della sicurezza dei dati e dei sistemi.
È di questi giorni l’approvazione della legge istitutiva dell’Agenzia per la cybersicurezza nazionale, che, inoltre, definisce i compiti del Presidente del Consiglio in materia. Egli avrà la prerogativa di nominare e revocare il direttore generale e il vice direttore della neo istituita Agenzia e, previa consultazione con il Consiglio dei Ministri, avrà la responsabilità sulle politiche e le strategie in materia di sicurezza cibernetica. Le intenzioni sono buone, vedremo, poi, come in effetti funzionerà. Grande rilevanza sarà la specifica professionalità dei componenti. In tale quadro generale si è inserita la grave violazione dei sistemi della Regione Lazio.
Per carità, l’abilità degli hacker sta diventando sempre più insidiosa e non è facile porre in essere contromisure efficaci, ma la vulnerabilità e scarsa affidabilità del sistema regionale è apparsa veramente eccessiva se per bucarla è bastato utilizzare il computer di un impiegato ciociaro, che non si è capito bene se fosse in smart working o meno, ma poco importa.
Sembra che i server della Regione Lazio siano stati violati da un virus di tipo “ransomware” che, senza entrare nel dettaglio, è un virus inserito tramite un PC che abbia un accesso da amministratore al sistema da attaccare, e l’attacco di solito ha successo quando il sistema informatico è mal progettato a livello di cybersecurity e/o il PC responsabile è di un operatore distratto o poco esperto.
È evidente la debolezza delle infrastrutture telematiche della P.A. (“abbiamo il 93-95% dei server della Pubblica amministrazione non in condizioni di sicurezza” è l’allarme dello stesso Ministro Colao di poche settimane fa), spesso progettate al ribasso da informatici poco esperti di cybersecurity, ma l’attacco ai server della Regione Lazio fa sorgere molti più specifici interrogativi e preoccupazioni.
Un così facile accesso ai server è inizialmente trapelato che sia avvenuto da un PC di un impiegato, pare in smart working. Gli hacker, entrando dal suo PC personale, avrebbero infestato il sistema e criptato i dati della Regione: troppo facile.
Ci si chiede come sia stato possibile arrivare a questo disastro, se il sistema fosse stato progettato con i giusti sistemi di sicurezza ed il pubblico dipendente avesse veramente seguito tutti i protocolli, molto probabilmente l’attacco sarebbe stato fermato per tempo.
Se tutto fosse vero, la responsabilità sarebbe di chi ha progettato un sistema informatico non al passo con i tempi, consentendo un accesso remoto sui generis attraverso il quale gironzolare senza problemi tra i server della Regione, senza livelli di accesso crescenti e sicuramente diversi per i vari servizi.
In qualsiasi azienda in casi così gravi fioccherebbero i licenziamenti e sarebbero auspicabili svariate dimissioni, ma fino ad oggi le responsabilità non appaiono chiarite, il rimpallo delle stesse con accuse e smentite è sotto gli occhi di tutti, ed oltretutto fa tenerezza su come i presunti hacker abbiano avuto accesso al backup.
Sembra, dalle prime notizie, che anche il backup dei dati sia stato criptato, ma anche un laureando in Informatica al primo anno, sa bene che i file di backup non devono essere raggiungibili o nello stesso dominio e devono essere ridondanti, ovvero le copie di backup devono essere distribuite su vari sistemi fisici e virtuali, cosa oggi semplicissima con una modesta spesa.
In tutto questo gli scenari di attacco e le motivazioni vere nessuno ancora li conosce e probabilmente non li sapremo mai, ed ogni sospetto, anche il più inconfessabile, è lecito averlo.
Una delle soluzioni possibili? Smantellare il CED alla Regione, spostando sui server in Cloud. Ad esempio una delle grandi aziende informatiche mondiali offre server con una scalabilità eccezionale (appena il server diventa insufficiente automaticamente si riconfigura per essere più potente o capace) offrendo tra le varie cose una impenetrabilità e delocalizzazione dei servizi e dati che non ha eguali ed un backup geografico che non avrebbe consentito quello che è successo, potendo i server tornare indietro nel tempo recuperando il backup senza perdita di dati.
Di certo non è confortante neppure leggere la recente deliberazione N. 70/2021/GEST della Corte dei Conti avente ad oggetto proprio l’analisi della gestione dei Servizi Informatici nel sistema sanitario della Regione Lazio negli anni 2018-2019, la quale ha evidenziato non poche criticità.
I Magistrati Contabili hanno rilevato, tra l’altro, l’esistenza, su di un medesimo tipo di prodotto, di una pluralità di differenti programmi forniti da diverse software house con una pluralità di modalità di assistenza e manutenzione, uno stato di non completo governo e di limitato controllo del settore, oltre all’acquisto, da parte di ciascuna azienda sanitaria, di moduli sovrapposti a quelli regionali, che risultano però mal programmati e scoordinati, con costi aggiuntivi necessariamente ridondanti.
Insomma una confusione, con sovrapposizioni, differenti sistemi, mancanza di un coordinamento efficace e di una visione univoca e razionale, per non parlare, poi, dei maggiori costi evitabili.
La Corte, quindi, ha evidenziato la necessità di “implementare e migliorare la fase attuativa della pur presente programmazione regionale in materia, con rafforzamento delle conseguenti fasi di coordinamento e controllo dell’intero settore, anche al fine di realizzare nei tempi previsti i progetti da diversi anni in cantiere”, azione ancor più importante oggi che ci troviamo nell’assoluto bisogno “di utilizzare in modo efficiente gli ingenti fondi in arrivo dall’Europa per la digitalizzazione (fondi Fesr, Fse e recovery fund)”.
Ed è proprio la fase di coordinamento e di controllo (quindi, anche di verifica della sicurezza) dell’intero settore, che riveste carattere strategico, che, a quanto pare, il Governo regionale non ha curato nel migliore dei modi.
Condivisibili, quindi, sono le dichiarazioni dell’opposizione ed, in particolare, di Giorgia Meloni la quale ha tuonato: “La vulnerabilità dei sistemi della Regione Lazio è disarmante, così come anche la gestione e la reazione all’attacco dei pirati informatici. Zingaretti dica realmente come stanno le cose, dica cos’è accaduto e spieghi perché un data center inaugurato nel 2019 è stato facilmente messo in ginocchio. Ma soprattutto dia garanzie sul ripristino.”
Pian pianino il sistema si sta riattivando, ma resta lo sgomento per il grave avvenimento.
Nel XXI secolo la cybersecurity non è un optional, bensì la vera frontiera della sicurezza nazionale ed ogni istituzione farebbe bene a mettere tra le questioni primarie da affrontare per la tutela dei cittadini proprio la sicurezza dei sistemi informatici che, se bloccati o, peggio, fraudolentemente utilizzati, possono creare danni non minori di quelli di un bombardamento.
Di Antonfrancesco Venturini