Gli hacker sono penetrati anche nel sistema delle prenotazioni vaccinali nel Lazio
Roma, 5 agosto 2021 - La corsa contro il tempo per ripristinare i servizi, in primis le prenotazioni dei vaccini, e l’attività della procura di Roma per risalire agli autori dell’attacco che ha colpito il sistema informatico della Regione Lazio. Su queste due direttrici si sviluppa l’azione per circoscrivere il blitz dei pirati informatici partito il primo agosto e, di fatto, ancora in corso. Una vicenda su cui ieri il direttore generale del Dis, l’ambasciatrice Elisabetta Belloni, ha fornito al Copasir una "ricostruzione ampia e circostanziata dell’evento". Una relazione, ha confermato il presidente del Comitato, Adolfo Urso, "sia su chi verosimilmente ha fatto l’attacco, sia su quali probabilmente sono le sue finalità. Anche l’intelligence si è mossa subito per capire come contrastare meglio" il fenomeno. A dare il senso del livello dell’azione "terroristica" che ha colpito il Lazio sono i "partner" scesi in campo per supportare la polizia postale nell’attività di indagine: Fbi ed Europol. Obiettivo degli investigatori, incrociando anche i dati forniti dall’estero, è individuare eventuali similitudini con altri attacchi fatti in passato con ransomware cryptolocker avvenuti in Italia e anche all’estero.
Un’azione molto probabilmente pianificata da settimane, se non da mesi. La richiesta di riscatto è arrivata sui pc dell’ente con una schermata nera e un beffardo ‘Hello Lazio’ con cui esordisce il messaggio. Per sbloccare la situazione è indicato un link che, cliccato, apre la trattativa per il pagamento. I criminali hanno dato 72 ore di tempo all’ente locale per pagare la cifra richiesta, anche se non è chiaro che cosa accadrebbe dopo. Intanto gli hacker, colpito il Lazio, hanno attaccato i Paesi Bassi, fra aziende e istituzioni. Oggi il Cdm chiuderà il cerchio sull’Agenzia per la cybersicurezza nazionale. Per il vertice dell’Agenzia è in pole Roberto Baldoni, vice direttore del Dis.
di seguito l'intervista a Raoul Chiesa di Lorenzo Guadagnucci
Ci vorrebbe un hacker. Anzi una squadra di hacker. E una rivoluzione nella Pubblica amministrazione, che appare del tutto impreparata ad affrontare la sfida del cyber crimine. Raoul Chiesa, l’hacker etico italiano più famoso nel mondo, fondatore di società di cyber sicurezza – l’ultima creatura è Swascan (a fine mese uscirà un suo report sul mondo sanitario) –, ha studiato l’attacco alla Regione Lazio e non si è sorpreso. Dice che tecnicamente non è stato nulla di speciale, se non per la ’merce’ rubata: i dati sanitari dei politici romani, l’accesso alle prenotazioni dei vaccini. Ora teme che la Regione si pieghi a pagare il riscatto e che si percorrano strade sbagliate nella prevenzione di attacchi analoghi in futuro. "Lo ha detto anche il ministro Colao: il 95% della Pubblica amministrazione è vulnerabile. Io lo sostengo da anni".
Chiesa è stato una Cassandra. Nel 1995 aveva 22 anni, si faceva chiamare Nobody, Nessuno, e fu arrestato per aver violato i computer della Banca d’Italia: si fece tre mesi ai domiciliari. Ma era un hacker etico, appunto, non cercava né soldi né fama, e anzi metteva a disposizione delle sue ’vittime’ le informazioni necessarie a difendersi. Oggi cyber sicurezza e cyber intelligence sono la sua professione, ma lavora soprattutto all’estero. Nobody propheta in patria, potremmo dire con facile battuta.
Che cosa ha scoperto sull’attacco alla Regione Lazio?
"Che si stanno dicendo tante cose inesatte. Intanto è un attacco partito dalla Russia, non dalla Germania. Sono intervenute almeno tre gang criminali. La prima, a giugno 2020, è quella che ha rubato le informazioni ai primi utenti di Lazio Crea: login, password, eccetera. Questa gang ha messo in vendita le informazioni a pochi dollari: mille, duemila, forse cinquemila. La gang acquirente ha capito di avere in mano dati potenzialmente lucrosi e li ha rivenduti a un prezzo maggiorato a una terza gang, più professionale. È questa che ha sferrato l’attacco vero e proprio. Non è terrorismo, come ha detto il presidente ZIngaretti, ma puro cyber crime: chiedono soldi. Si parla di cento milioni di euro. Spero che i ’gossip’ siano sbagliati, ma la cifra rispecchia il valore dei dati bloccati".
Che dovrebbe fare la Regione Lazio?
"I dati sono stati copiati, non solo criptati come qualcuno ha sostenuto. Io temo che la Regione voglia pagare il riscatto. Ma non dovrebbe farlo: mai scendere a patti col crimine. Ci vorrebbe una legge che vieta il pagamento, come fu fatto al tempo dell’Anonima sequestri".
Qual è la strada alternativa?
"Dotarsi di sistemi di protezione e di intelligence efficaci. Esistono. Io ho studiato il caso della Regione Lazio su una piattaforma dedicata ad agenzie di intelligence e forze dell’ordine – REsecurity.com, utilizzata in tutto il mondo ma con un solo cliente di stampo governativo in Italia – che è il più grande archivio al mondo di attacchi, incidenti, indagini. Stando lì dentro, scavando nel dark web, si sarebbe saputo già nei mesi scorsi che la prima violazione era avvenuta e si sarebbe evitato il peggio".
Perché in Italia siamo così indietro nella protezione?
"Perché è un sistema elefantiaco, non meritocratico, che premia i soliti grandi soggetti. Ma in questo ambito il meglio si trova altrove: in piccole società, fra gli hacker etici che creano le loro aziende. Il sistema degli appalti al ribasso tiene questi soggetti fuori dalla porta".
Che cosa ci vorrebbe? Un investimento tecnologico?
"Il cuore della sicurezza non è la tecnologia, ma il fattore umano. Per un ente pubblico con Swascan abbiamo realizzato un progetto basato su tre punti. Il primo è la sensibilizzazione del personale, che non può essere un noioso corso ex cathedra, ma la simulazione di casi concreti. Il secondo è tecnologico: gli antivirus di ultima generazione, in gergo EPPEDR, ancora poco usati. Il terzo è nei ’penetration test’: i sistemi informatici vanno messi alla prova, usando la competenza degli hacker etici".
Ma chi sono gli hacker oggi?
"Negli anni ‘60 e ‘70 erano signori in camice bianco, quelli che hanno creato Internet. Poi c’è stato il film War Games, dell’83: io con quel film mi innamorai del Commodore VIC20 e del modem, ma la parola assunse un significato negativo. Gli anni ’90 hanno posto le basi per il fenomeno dell’hacktivism. Negli anni Duemila il cybercrime vede la luce: niente più curiosità, bensì vero crimine organizzato, specie nell’Est Europa, mentre noi hacker etici ci siamo fatti assumere dalle aziende, abbiamo iniziato a crearne di nostre".
Hacker etici da una parte, hacker criminali dall’altra: la sfida è aperta.