Gli hacker russi mettono ko la pubblica amministrazione italiana

Capita fin troppo spesso che la pubblica amministrazione scopra sulla propria pelle tutte le criticità della cybersicurezza e delle infrastrutture digitali nazionali. Succede anche quando non è colpa propria, l’infrastruttura delle reti è talmente complessa che spesso un solo ingranaggio può mettere a repentaglio la continuità dei servizi. Un chiaro esempio di questa situazione sono i disservizi che, dallo scorso 8 dicembre, stanno subendo gli enti pubblici e tutte le strutture che fanno riferimento a PA Digitale SpA per via di un attacco ransomware condotto da un gruppo di hacker russi. 

Disservizi per cittadini e amministrazioni

In realtà Pa Digitale è a sua volta vittima del down che ha colpito il data center di riferimento di Westpole, il fornitore della piattaforma dedicata alla pubblica amministrazione. I problemi riguardano numerose organizzazioni, non solo italiane, ma quel che preoccupa sono gli inconvenienti concatenati che hanno colpito cittadini e dipendenti pubblici. Che in questo caso, per una volta sono tutti dalla stessa parte durante un disservizio.

Il software Urbi Smart, uno dei prodotti principali di Pa Digitale, è assai diffuso nelle amministrazioni locali anche perché la stessa società si è conquistata credibilità (e clienti) grazie al riconoscimento dell’Agenzia per l’Italia Digitale per la conservazione di documenti informatici. Se da un lato una soluzione che fornisce servizi online a cittadini e imprese non può che agevolarne il lavoro, dall’altro produce l’interruzione degli stessi quando si blocca il sistema a monte. Se i rischi di non veder emesse le busta paga di chi lavora presso la pubblica amministrazione sembrano essere assai remoti, sono invece reali i problemi che hanno colpito servizi cruciali come l'anagrafe, la riscossione di tributi e l'emissione di certificati su tutto il territorio nazionale.

Chi c’è dietro all’attacco ransomware

Una situazione che ci riporta all’estate 2021, quando un attacco ransomware colpì il centro elaborazioni dati della Regione Lazio. A confermarcelo Massimiliano Brolli, esperto di Cyber Threat Intelligence e redattore di Red Hot Cyber. "L'attacco a Westpole è stato di tipo ransomware e la cyber-gang a colpire è stata LockBit 3.0. Si tratta di una organizzazione criminale russa composta da più di 100 black hacker che hanno chiesto riscatti a moltissime entità italiane, come ad esempio alla ULSS6 di Padova e moltissimi comuni come di Gonzaga, Gorizia e Villafranca. LockBit è ai vertici del business del Ransomware as a Service (RaaS), ovvero il ransomware come servizio, rivenduto ad altri criminali informatici. Da più di quattro anni rinnova continuamente le proprie tecniche, tattiche e procedure. Generalmente i suoi affiliati entrano nelle infrastrutture informatiche delle aziende settimane prima ed esfiltrano i dati prima di procedere alla cifratura con il ransomware. L’attacco informatico quindi si palesa solo alla fine di un lungo percorso di attacco. Quindi oltre al danno subito per il blocco dei servizi, ora rimane da capire quali dati siano riusciti ad esfiltrare da Westpole e del danno derivante dalla pubblicazione e lo sfruttamento di tale dati nel darkweb”.

Il futuro e i problemi irrisolti

Westpole e PA Digitale, negli ultimi comunicati stampa, hanno rassicurato i clienti informandoli che si è proceduto alla “reimportazione dei dati partendo da backup”, quindi recuperando quanto era online almeno fino all’8 dicembre, ma la situazione rimane da monitorare. Anche se non si fosse verificato alcun furto di dati, alcuni problemi attendono ancora una risposta: bisogna velocizzare le comunicazioni ufficiali - gli enti pubblici di prossimità erano impossibilitati a rispondere ai cittadini che chiedevano informazioni - nonché garantire la continuità operativa dei servizi essenziali. Sono priorità di interesse nazionale che non vanno lasciate indietro. Intanto le due società hanno sporto denuncia alla Polizia Postale, ma per prevenire i prossimi attacchi non basteranno i sistemi di controllo se non crescerà di pari passo l’educazione digitale: i backup, la formazione degli utenti, la messa in quarantena delle email sospette e il filtraggio dei contenuti sono la base per fornire servizi online. L’educazione costa molto, ma mai quanto i danni di un attacco del genere e del conseguente riscatto.