Il sito della Regione Lazio non è raggiungibile: la rotellina non smette di girare e alla fine restituisce il classico messaggio “Impossibile raggiungere il sito”. Questa è la situazione da sabato 31/07/2021 e la causa del problema è un attacco al CED regionale, travolto da un ransomware cryptolocker. Ad oggi tutti i servizi on-line della regione Lazio, compreso il servizio di prenotazione vaccinale, non sono attivi.
Che cos’è un Ransomware Cryptolocker?
CryptoLocker è un trojan comparso nel 2013, perfezionato poi nel maggio 2017, quando venne agli onori della cronaca per aver bloccato l’intero sistema sanitario britannico.
Il Virus, una volta infettato un sistema Windows, non fa altro che replicarsi all’interno di tutti i sistemi ai quali riesce ad accedere, criptando i dati presenti nei database e impedendo l’accesso alle informazioni. A questo, in genere, segue anche una richiesta di riscatto: un pagamento in Bitcoin in cambio della chiave di accesso.
Nulla di davvero sofisticato, ma la dimostrazione che ancora oggi esistono sistemi pubblici che vengono messi in ginocchio da un attacco quasi “rudimentale”.
Attacco terroristico o serie di sfortunati eventi?
Nelle ore successive all’incidente, durante una conferenza stampa, Nicola Zingaretti, Presidente della Regione Lazio, ha parlato di attacco terroristico ma, più le indagini proseguono, più sembra trattarsi di un incidente causato dalla disattenzione di un dipendente regionale in smart-working. Dietro agli enormi danni arrecati al sistema ci sarebbe, quindi, un’operazione di ingegneria sociale andata a buon fine oppure una leggerezza commessa da un tecnico con permessi di amministratore. Eventi da cui i sistemi informatici, da soli, non potevano difendersi.
L’approccio suggerito dalla ISO 27001
Grazie alla mia esperienza professionale come Auditor e consulente di sistemi di gestione per la ISO 27001, mi sono accorto che negli ultimi anni il livello di attenzione, in ambito Cybersecurity, è aumentato molto, anche grazie all’entrata in vigore del Regolamento Europeo 679/2016 (GDPR). Tuttavia, si è ancora lontani dall’ aver compreso davvero cosa vuol dire attuare un sistema per la sicurezza delle informazioni.
Infatti, mentre le soluzioni tecniche adottate dalle imprese e dalle pubbliche amministrazioni nella maggior parte dei casi risultano essere adeguate, per quanto riguarda la consapevolezza degli operatori non si raggiunge quasi mai la sufficienza. Il problema assume caratteri grotteschi quando si tratta delle figure che dovrebbero essere maggiormente competenti, come, ad esempio, gli amministratori di sistema o con i responsabili CED. Non è infatti strano che siano proprio questi, con i loro atteggiamenti laschi e non curanti, la fonte delle maggiori vulnerabilità del sistema?
Affidarsi a sistemi automatizzati di controllo, a firewall molto efficienti e a sistemi di cifratura delle comunicazioni non serve a nulla se poi un operatore con poteri di amministratore li bypassa, non rispettando neanche le più banali policy di “Uso degli strumenti informatici”.
Bisogna quindi comprendere una cosa: la sicurezza delle informazioni, così come intesa dalla ISO 27001, inizia dalle persone che devono operare sul sistema. I processi tecnici devono essere al servizio di esse.
In conclusione
Per fare un sistema di gestione per la Cybersecurity, prima di parlare con il Resp. CED dovremmo interpellare il Resp. HR e programmare cicli di formazione adeguati e periodici, in funzione delle competenze necessarie.