Le autorità hanno garantito che i dati dei cittadini non sono stati compromessi, e che non è stato chiesto nessun riscatto. Ma le caratteristiche dell’attacco lasciano qualche dubbio
L’attacco informatico che ha colpito i sistemi della regione Lazio si sta dimostrando più grave del previsto: il portale delle prenotazioni dei vaccini risulta ancora bloccato, ed è offline anche il sito della regione. Il presidente della regione Zingaretti ha parlato senza mezzi termini di un “attacco terroristico,” ma ha tranquillizzato sulla sicurezza dei dati, dicendo che “sono al sicuro,” che “le vaccinazioni andranno avanti” e che “tutto verrà ripristinato quanto prima” — ovvero nell’arco di dieci giorni. Anche l’assessore alla sanità Alessio D’Amato ha detto che i dati sensibili dei cittadini “non sono stati intaccati”: fino a ieri era questa la preoccupazione principale, anche perché l’attacco rischiava di mettere a rischio i dati del 70% degli abitanti di Roma e province vicine — inclusi quelli delle più alte cariche dello stato, come Draghi e Mattarella, che si sono vaccinati a Roma.
La dinamica dell’attacco è ancora incerta: Vittorio Gallinella, direttore dei sistemi infrastrutturali di LazioCrea — la municipalizzata che si occupa, tra le altre cose, della gestione delle prenotazioni — ha detto che si registrano “almeno due attacchi al giorno,” ma in questo caso gli “hacker” sono riusciti a penetrare nei sistemi ottenendo le credenziali di accesso, con modalità ancora da chiarire. Alcune indiscrezioni circolate ieri parlavano di una “postazione lasciata aperta,” da un computer collegato alla rete di LazioCrea: da quella postazione sarebbe stato inserito “un malware abbastanza comune, di confezione artigianale, che si può comprare sul mercato con poche centinaia di euro.”
Sono incerte anche l’origine e la matrice: fino a ieri si parlava di un attacco ransomware — finalizzato cioè alla richiesta di un riscatto in cambio della “liberazione” dei dati — ma Zingaretti ha smentito questa circostanza, dicendo che si è trattato di “un equivoco”: nella “home page del virus” — citiamo letteralmente le parole di Zingaretti — “c’era una comunicazione, come accade in questi casi, ma anche questo è stato subito segnalato e inviato agli inquirenti.” Ma quale virus? A dispetto di quanto dice il presidente della regione, potrebbe trattarsi di Lockbit 2.0, un noto ransomware piuttosto pericoloso che colpisce i server Windows.
Nonostante le dichiarazioni delle autorità, infatti, risulta difficile capire perché i dati sarebbero stati criptati se non ci fosse l’intento ultimo di chiedere un riscatto. Se l’obiettivo fosse quello di distruggere in modo permanente i dati, chi ha eseguito l’attacco li avrebbe cancellati e basta, come ha sottolineato in un thread su Twitter Stefano Zanero. Minimizzare l’entità dell’attacco ha poco senso, esattamente come ha poco senso parlare di un attacco “molto potente” come hanno fatto i media. Come rileva anche Carola Frediani, infatti, garantire già ora che i dati non siano stati “intaccati,” o cercare di indicare già un’attribuzione dell’attacco, è quasi impossibile. La celerità con cui le autorità hanno rilasciato queste dichiarazioni, insomma, solleva dubbi sulla loro affidabilità.
Per quanto riguarda l’origine, infatti, alcune voci non confermate diffuse dai giornali dicono che l’attacco sarebbe partito dalla Germania — qualunque cosa questo voglia dire — ma ovviamente si è parlato anche della “pista no vax,” perché l’attacco è avvenuto il giorno in cui la regione avrebbe raggiunto il traguardo del 70% dei cittadini vaccinati e, secondo una fonte sentita da Repubblica, sembrerebbe un attacco finalizzato più a sabotare la rete che a rubare i dati. Oggi la ministra Lamorgese riferirà di fronte al Copasir, nel corso di un’audizione già programmata ma che per forza di cose dovrà occuparsi anche dell’attacco.
Quello che è certo è che gli attacchi di questo genere saranno sempre più frequenti, e gli enti pubblici dovranno proteggere i propri sistemi con maggiore efficienza: a fine giugno è stata costituita l’Agenzia per la cybersicurezza nazionale, ma il nostro paese su questo tema arriva con grande ritardo e con una situazione di grave arretratezza informatica — secondo i dati del ministro Colao, il 95% dei server della pubblica amministrazione non è affidabile. Il sottosegretario Gabrielli ha detto che “dobbiamo correre” e “la nascita dell’Agenzia è l’inizio di questa corsa.”
Più in generale, la confusione — anche lessicale — e la goffaggine con cui la classe politica affronta questo tipo di questioni è da tempo diventata un problema rilevante: semplicemente, la sfera digitale ed informatica è ormai una delle parti più rilevanti della vita pubblica, ma spesso gli amministratori e i capi di interi paesi danno l’impressione — per usare un eufemismo — di non sapere nemmeno di cosa si stia parlando.
L’importanza di una preparazione seria sulla questione, in qualche modo sottolineata da Colao, è testimoniata dal fatto che piccole entità private possano tenere in scacco intere regioni o interi paesi, i cui governatori non sono nemmeno sfiorati dal sospetto di essere ridicoli quando parlano di “home page del virus”. Il caso che piú da vicino ricorda l’incidente del Lazio è l’attacco da parte del gruppo ransomware Conti nei confronti del sistema sanitario irlandese. In quel caso, dopo giorni di panico, il gruppo stesso ha fornito gratuitamente lo strumento per decriptare i dati, insistendo però che avrebbe rilasciato pubblicamente i dati riservati acquisiti durante l’attacco se il governo si fosse rifiutato di pagare il riscatto.
Sostieni l’informazione indipendente di the Submarine: abbonati a Hello, World! La prima settimana è gratis
in copertina, foto Nicola Zingaretti via Facebook