Cryptolocker all'italiana

Cryptolocker all’italiana

Un cryptolocker all’italiana

La notizia è che la Regione Lazio ha ritrovato i backup. Quindi, contrordine: c’erano, ma erano nascosti in un cestino. Dopo un susseguirsi di dichiarazioni da parte dei vertici politici dell’ente pubblico con cui si ammettevano l’avvenuta criptazione dei dati così come della copia di backup, ora salta fuori che il backup non fosse stato cifrato, ma solo cancellato, e che – grazie ad un software provvidenziale – sia ora riemerso dal cestino. Insomma, ciò che Ugo Tognazzi definiva simpaticamente una “supercazzola”.

Il primo commento che salta agli occhi è quello twittato dall’ex sindaco di Roma, Ignazio Marino, che – pur senza essere competente in materia – ha scritto: «Spero di sbagliarmi ma questo back-up che si materializza dopo sei giorni dall’incursione degli hackers e il salvataggio con software USA somiglia molto al pagamento di quasi 5 milioni di dollari in bitcoins per recuperare il controllo dell’oleodotto Colonial negli USA».

Interessante notare che, come spesso avviene, ci si sia concentrati più sul dito che indica la luna piuttosto che sulla luna stessa. L’attenzione mediatica si è infatti posata sull’operatore in smart working, supponendo che il fattaccio fosse stato causato – per l’equazione fin troppo scontata internet = pornografia – da un’imprudente navigazione notturna su siti a luci rosse usando il computer ricevuto in dotazione dalla Regione, rendendolo così vulnerabile. Peccato che l’eventualità non possa essere ridotta ad un singolo sito o categoria di siti, poiché i metodi di ingegneria sociale dietro agli attacchi di tipo ransomware possono abbracciare una vasta gamma di vettori e tecniche.

Poco o nulla si osserva riguardo le pecche mostrate dall’intera filiera, cioè le responsabilità organizzative e la catena di comando e gestione della sicurezza, tenuta istituzionalmente a sensibilizzare, formare e predisporre misure per prevenire incidenti e violazioni.

Che, detto così, pare essere una questione semplicemente formale mentre invece è una notazione di assoluta sostanza dacché attiene a cose come l’analisi dei rischi e la capacità di costruire piani di recovery efficace. Basti pensare che Regione Lazio non aveva un back up offline/offsite, cioè separato dalla rete. Invece era online, quindi è stato trovato dal malware e criptato anch’esso: come dire, una regola come quella per la quale non si esce di casa nudi il giorno della festa patronale.

Sarebbe interessante sapere in quale modo si intenda procedere, una volta che il materiale sottratto e criptato verrà ripristinato e se ne dimostri l’affidabilità rispetto allo storico. Detto altrimenti, che cosa abbia insegnato la lezione: non solo dal punto di vista tecnico, ma – soprattutto – operativo. Domanda più che legittima, quantomeno perché l’approccio all’italiana adottato sembra essere quello di voler banalizzare l’accaduto, ridimensionandolo ad un semplice incidente di percorso, ancorché averlo considerato sino ad un attimo prima addirittura di matrice terroristica. Tradotto: che tutto vada lentamente a dissolversi in un tranquillizzante quanto inevitabile oblio.

 

ransomware 01 1920x1080 1

 

L’improbabile soluzione in house

Scrive efficacemente il generale Rapetto al riguardo: «Chi sferra un attacco ransomware somiglia a chi piazza una bomba ad orologeria e sa bene quando far scoppiare un ordigno. A differenza di chi costituisce il bersaglio, il bandito non procede in maniera dilettantesca anche quando non fa parte di una vera e propria organizzazione criminale. Persino il più babbeo dei malfattori sa di dover provocare l’esplosione digitale nel momento in cui il suo “target” avvia le operazioni di copia: in questo modo il malandrino procede alla cifratura indebita del patrimonio informativo preso di mira e fa in modo che la copia di salvataggio sia estratta da un originale già danneggiato. Chi è del mestiere, oltre a conoscere perfettamente queste dinamiche e correre ai ripari con procedure di sicurezza in grado di evitare questo genere di dramma, esegue ripetutamente copie di salvataggio e ne conserva i relativi esemplari “offline”, ovvero non collegati a Internet». Con il massimo rispetto, difficile immaginare questo mix di fortuna e di perizia che abbia consentito a Regione Lazio di risolvere brillantemente e autonomamente il problema in assenza delle predette “procedure di sicurezza”

Così come è difficile non vedere le problematiche, sottaciute, che seguiranno al (probabile) pagamento del “riscatto”. Quei dati infatti sono pur sempre nelle mani dei loro ladri e mantengono un valore sempre attuale. Eppure allo stato delle cose pare che non ci sia tempo per “burocrazie” o “formalismi”, come l’apertura di un data breach. Quasi che occuparsi dell’incidente e delle conseguenze che potrebbe avere nei confronti degli interessati possa rappresentare un ostacolo alla prosecuzione della campagna vaccinale.
Non risulta infatti siano in corso procedure per capire se, quali e quanti dati possano essere stati esfiltrati né se da questo possa derivare un rischio palese tanto per gli interessati che per i sistemi informatici stessi.

Gli obblighi di legge riguardo la privacy

Che cos’è un data breach? Si tratta di una fuga di dati cioè una diffusione più o meno intenzionale, in un ambiente non affidabile, di informazioni protette o private/confidenziali. Ed è quello che ora potrebbe succedere.

Capita che l’Italia abbia recepito (e promulgato in legge il 25 maggio 2018) una ‘cosa’ chiamata GDPR, ovvero il Regolamento generale sulla protezione dei dati, altrimenti detto “legge sulla privacy” (che, per capirci, è quella che ci obbliga a firmare un’infinità di moduli di consenso informato qualunque cosa facciamo).

Ebbene, in forza di ciò, ove avvenga una violazione dei dati personali ovvero una violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, il Regolamento ed il suo Garante impongono che il titolare del trattamento (la Regione, in questo caso) senza ingiustificato ritardo – e ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza – debba notificare la violazione al Garante per la protezione dei dati personali.

Non solo. Se la violazione comporta un rischio consistente per i diritti delle persone, quel titolare (sempre la Regione, nello specifico) deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Accade invece che la Regione abbia sì “ripristinato” i dati e l’agibilità dei server” (almeno così afferma), ma non sottratto dalle mani degli hacker il maltolto dei dati, che invece continuano ad essere disponibili, utilizzabili e rivendibili. L’obbligo di comunicazione ai diretti interessati da parte della Regione perciò permane.

La legge, rispetto a queste violazioni, aggiunge che le stesse vadano notificate unicamente quando si tratti di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. E precisa che: «ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale».

 

ransomware 02 1920x1080 1

 

Prendiamo in considerazione allora i dati delle cartelle sanitarie dei cittadini laziali (ma non sono quelli gli unici pregiudicati dall’hackeraggio) e cominciamo col dire che il Garante afferma che debbano essere adottare tutte le misure tecniche e organizzative necessarie per evitare che le informzioni sui pazienti siano comunicati per errore ad altre persone.
Tant’è che sanziona gli ospedali per questo tipo di violazioni. Anche quando non sono causate da attacchi informatici esterni, ovvero derivano da procedure inadeguate o semplici errori materiali del personale.

Per fare un esempio, in Emilia-Romagna una paziente aveva esplicitamente richiesto che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute. Il modulo da lei compilato era però stato inserito all’interno della cartella clinica e un’infermiera del reparto, non essendo a conoscenza della richiesta, anziché contattarla sul telefono cellulare privato, aveva chiamato il numero di casa e parlato con un familiare.
L’interessata, a quel punto, ha aperto un procedura di infrazione e la Asl ha subito una richiesta di risarcimento danni e per di più pagato una sanzione di 50.000 euro per la violazione comminata dal Garante.

Qui stiamo parlando addirittura della documentazione sanitaria di una intera regione. E non solo. In proposito, il Garante dice che le informazioni sullo stato di salute possono essere comunicate a terzi solo sulla base di un presupposto giuridico o su indicazione della persona interessata, previa delega scritta. Invita quindi tutte le strutture sanitarie al pieno rispetto dei principi di correttezza e trasparenza, adottando le misure tecniche e organizzative utili ad evitare violazioni di dati personali anche e soprattutto per proteggersi da attacchi informatici.  E impone di comunicare ad esso i data breach in ristretti termini di legge così come di farlo nei confronti dei diretti interessati laddove si tratti di dati sensibili.

Ciò non è avvenuto e siamo quindi di fronte ad una evidente violazione della normativa statale da parte dello Stato stesso. Un vero e proprio cortocircuito istituzionale per questo cryptolocker all’italiana.

Si percepisce un’aura di lassismo

C’è ancora un aspetto di questa vicenda, decisamente interessante e ancora tutto da inquadrare. Le attività di auditing ci diranno se, come, quando e perché è avvenuta questa violazione. Se i dati fossero opportunamente protetti, se i protocolli dello smart working fossero stati rispettati (o anche solo esistessero), se fossero state predisposte idonee ed efficaci misure di sicurezza …

Ciò che i cittadini hanno avuto modo di leggere in questo vicenda è la profonda scollatura tra politica, macchina amministrativa e pubblico interesse. Stessa cosa che ha ravvisato anche la Corte dei Conti, la quale ha rilevato “importanti questioni” da rimarcare nelle voci di bilancio specifiche della Regione.

I magistrati contabili hanno anzitutto evidenziato «la presenza, su un medesimo tipo di prodotto, di una pluralità di differenti programmi e di sviluppi applicativi» e quindi una serie di “doppioni” probabilmente inutili. Come la presenza di «diverse ditte fornitrici dei software, dell’assistenza e della manutenzione con emersione di scarso grado di colloquio tra le aziende sanitarie, che si ritiene utile superare attraverso il proficuo confronto sui bisogni comuni e sulla scelta dei prodotti maggiormente idonei alle proprie esigenze, fino a pervenire a programmi condivisi, che possano consentire maggiore efficienza, risparmio di spese e maggiore semplicità di uso, dato che trattasi di enti aventi medesime caratteristiche e simili necessità». Che, in soldoni, sembra indicare l’acquisto e l’utilizzo di qualcosa che non serve o che non risolve i problemi che hanno portato a comprare questo o quel software. Si parla infatti di «problematiche legate più a forniture e utilizzi parziali non perfettamente integrati, dovute a sovrapposizioni, alla presenza di resistenze nell’utilizzo di alcuni programmi e ad altre criticità di gestione amministrativa». In un crescendo di sottolineature, la Corte «rileva la necessità di implementare e migliorare la fase attuativa della pur presente programmazione regionale in materia, con rafforzamento delle conseguenti fasi di coordinamento e controllo dell’intero settore, anche al fine di realizzare nei tempi previsti i progetti da diversi anni in cantiere quale il sistema contabile unitario, funzionale al percorso attuativo della certificabilità, ancora oggi in fase di implementazione». C’è da chiedersi, allora, se anche la sicurezza dei sistemi informatici rientri tra i suddetti “progetti da diversi anni in cantiere“.

Avvitamenti burocratici

Insomma, c’è questa società in house (LazioCrea) che è la società informatica della Regione Lazio, con un bilancio da 83 milioni l’anno per circa 1.500 dipendenti assunti a chiamata diretta. Si dovrebbero occupare professionalmente di attività tecnico-amministrative, informatiche e di strategia digitale, tant’è che la società ha creato la piattaforma di gestione delle prenotazioni dei vaccini. Attraverso la quale però è stato portato l’attacco – violando ogni barriera di sicurezza – non solo al server sanitario come inizialmente qualcuno in Regione ha affermato, ma a tutta la rete regionale, compresa la posta elettronica e i fax collegati via internet.

 

ransomware 03 1920x1080 1

 

Ne derivano diversi interrogati, compreso quello su come sia stato gestito negli anni un eventuale backup sicuro dei dati visto che era stata ammessa la mancanza di una copia di sicurezza delle informazioni criptate dagli hacker, che successivamente è invece “saltata fuori da un cestino”.

Le linee guida dell’Agid, l’organo tecnico della presidenza del Consiglio che si occupa della digitalizzazione del Paese, ha emanato fin dal 2013 disposizioni che prevedono la presenza di un data center che permetta di recuperare le informazioni nonché ripristinare le funzionalità dei siti nel minor tempo possibile.
Laziocrea si appoggia a un’azienda esterna per la gestione dei server, che è stata la prima ad essere violata. Un attacco a terzi che ha provocato il tilt del sistema regionale.

Da qui parte una ridda di connessioni, consulenze, contratti e quant’altro abbastanza grottesca. Dalla Regione segnalano che il supervisore della cybersicurezza è il gruppo Leonardo. Meglio ancora, attraverso una convenzione annuale di Consip con una associazione temporanea di impresa con capofila il gruppo Leonardo. La convenzione ha come oggetto esclusivamente servizi di governance nell’ambito della progettazione di un Security Operation Center, per definire processi e procedure e offrire supporto rispetto alla normativa sulla protezione dei dati personali.
Quindi, non ci sarebbe stato bisogno di contatti con altre aziende che si occupano di sicurezza informatica e offrono servizi per la protezione dei dati.

Così però non è stato visto che da mesi LazioCrea aveva in piedi colloqui con diverse aziende di cybersecurity attraverso i quali si affrontavano temi come la protezione dei server e la messa in sicurezza dei backup. Tutte aziende leader nel settore, che offrono i loro servizi ad alcune tra le principali società, attive anche nel settore della sanità e della farmaceutica, a livello nazionale. Tra i servizi offerti anche il tracciamento degli allegati inviati dai dipendenti della Regione così come che la messa in sicurezza dei backup.

Cryptolocker all’italiana

Ma allora, stante quel bilancio multimilionario, l’oggetto statutario e la pletora di dipendenti attivi, cosa fa concretamente LazioCrea?
A leggere tra le carte, oltre a occuparsi della gestione dell’infrastruttura digitale della Regione, che – come detto – ne è la proprietaria, si dedica anche ad «attività di promozione culturale, sociale e ambientale e di valorizzazione del patrimonio regionale», della serie “faccio cose, vedo gente”.
Per questo fine, Laziocrea ha a disposizione un budget di qualche milione di euro, che a nemmeno cinque giorni dall’attacco è stato ulteriormente ampliato da un emendamento della Regione per altri 3,5 milioni di euro.

Proviamo allora a fare una sintesi e mi si passino le generalizzazioni: la macchina pubblica crea un carrozzone anch’esso pubblico in cui assume a chiamata diretta un nutrito numero di dipendenti.
Costoro si dovrebbero occupare di informatica e quindi anche di sicurezza (o almeno di farlo in sicurezza), ma preferiscono delegarla all’esterno e, non soddisfatti, sono alla ricerca da mesi/anni di altre società che forniscano loro quei servizi informatici che dovrebbero essere il loro core business. Nel frattempo si occupano anche, per mandato istituzionale, di attività di promozione culturale, sociale e ambientale e di valorizzazione del patrimonio regionale, cioè del solito ‘tacchi, dadi e datteri’ all’italiana.
Ravvisato (e rilevato dalla Corte dei Conti) di avere problemi di sicurezza informatica, la Regione – che ne è il dominus – invece di assegnare fondi ad hoc e verificare nel dettaglio i risultati rimpolpa di alcuni milioni di euro il comparto “promozione culturale”.
A proposito, in questi giorni, a “problema perfettamente risolto” se digitate su Google “attività di promozione culturale, sociale e ambientale e di valorizzazione del patrimonio regionale Regione Lazio” vi compaiono una serie di risultati che una volta selezionati restituiscono il classico errore “Server at www.regione.lazio.it Not Found. The requested URL was not found on this server” (un errore 403 è un errore di stato HTTP che indica appunto la mancanza di permessi per accedere ai contenuti o a una pagina specifica del sito web) con buona pace della brillante soluzione del problema e del backup “recuperato dal cestino”.

Che dire, la sensazione è che la politica si dia la prorità di finanziare le varie ‘sagre della porchetta’ ed i politici amino inventare supercazzole appaganti, l’apparato pensi alla fine del mese e nel mentre faccia a scaricabarile, i sorveglianti si limitino a rilevare e i garanti… non pervengano sul fatto. Buon Piano Nazionale di Ripresa e Resilienza a tutti!

 

 

 


Appendice del 12 agosto 2021

 

All’inizio del post su questo cryptolocker all’italiana, ragionando tra colleghi, avevamo notato che l’attuale regolamento a tutela della privacy (il cosiddetto GDPR) pone in capo al titolare del trattamento dei dati – la Regione Lazio, per l’appunto – che “senza ingiustificato ritardo, e ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, debba notificare la violazione al Garante per la protezione dei dati personali“.
Non solo: avevamo anche scritto che se la violazione dovesse comportare un rischio consistente per i diritti delle persone, quel medesimo titolare avrebbe dovuto comunicarla a tutti gli interessati, utilizzando i canali più idonei, ovvero inviare una email agli interessati per informarli del data breach e di quant’altro in conseguenza di ciò, stupiti che non se ne facesse menzione alcuna né che il Garante alzasse apparentemente sopracciglio di fronte a una fatto di tale portata e conseguenze.

La risposta arriva ora dall’Ente, che ha affidato ad un laconico post sul proprio, tutt’ora malconcio sito, il compito di assolvere alla normativa. Stiracchiandola peraltro a proprio uso e consumo, senza cioè “descrivere le probabili conseguenze della violazione dei dati personali” come prescritto.
comunicato 1920x419 1
Per farla breve, nello screenshot si legge che la Regione Lazio ha deciso di comunicare il data breach attraverso queste righe invece di inviare una email ai diretti interessati valutando quest’ultima opzione uno “sforzo eccezionale”, una sorta di ottava fatica di Ercole al cui confronto uccidere l’immortale idra di Lerna sarebbe stato uno scherzo.
Gli utenti la cui privacy è stata violata, come scrivevamo, andrebbero informati personalmente attraverso una email inviata loro direttamente. Perché non lo si è fatto?Ebbene, per proseguire in questa saga della cybersecurity all’italiana, pare che la Regione – che insiste a dire di non aver pagato riscatti di sorta, ma di aver risolto “in proprio” – non possa mandare alcuna mail alle persone interessate perché non ha più gli indirizzi di posta elettronica inseriti all’atto della prenotazione dei vaccini. O per dirla più prosaicamente, li ha persi. E siccome “honni soit qui mal y pense”, non è difficile immaginare che queste email finiranno presto per diventare pubblicamente “pwned”.
Ricordate, le tag sono: società pubblica, 1.500 assunzioni a chiamata diretta, forte presenza politica, decine di milioni annui di assegnazioni. Bel risultato.

Chissà cosa ci riserverà il prossimo episodio. Avremmo in mente alcune possibilità, ma non vogliamo spoilerare troppo.