Come ho spesso sottolineato anche in questo blog, l’incidente informatico grave, subito ad agosto 2021 dalla Regione Lazio, non ha ancora avuto un esito di analisi definitivo. Rimane ancora una grande incognita sul come siano andate le cose.
L’ultima puntata della stagione di Presa Diretta, andata in onda ieri sera su RaiTre, ha investigato alcune delle maggiori crisi informatiche della storia recente, in giro per il mondo. Ovviamente anche l’Italia non poteva non avere un posto in questo slideshow. In effetti è stata ripresa proprio l’indeterminatezza del caso che ha portato a termine il ransomware in Regione Lazio.
Per essere precisi il problema si riconduce alla società LAZIOCrea SpA, che ha l’appalto pubblico proprio la gestione tecnologica della regione. Si fa notare inoltre che in questo contesto inSicurezzaDigitale ha già inoltrato una richiesta di accesso ai dati (FOIA), che però al momento non può essere espletata proprio a causa delle indagini ancora in corso, sia da parte delle autorità che dal Garante per la Protezione dei Dati Personali.
“In tale prospettiva il materiale di cui si chiederebbe l’ostensione è sottoposto al segreto istruttorio“, si legge nella nostra istanza.
Tuttavia, la trasmissione ha dato luce ad uno dei casi più fumosi della storia criminale informatica italiana. In effetti ci sarebbe molto da dire proprio sulle responsabilità dell’Ente che hanno reso possibile questo attacco, non mitigandolo.
A tale proposito viene intervistato uno dei massimi esperti di sicurezza informatica italiana Corrado Giustozzi, il quale ha sottolineato come, già dal 2017, l’AgID ha emanato una circolare che obbliga la Pubblica Amministrazione ad adottare misure minime di sicurezza informatica.
“La Regione Lazio è stata abbastanza carente in diversi aspetti, uno per esempio che l’accesso con privilegi di amministratore non aveva due livelli di autenticazione, ma soltanto un livello. E questo è esplicitamente vietato. Questo avrebbe aiutato ad evitare innanzitutto l’intrusione. L’avrebbe stroncato all’inizio”, dice Giustozzi.
Il problema qui si ripercuote dunque nel non rispetto delle norme, che però non prevedono sanzioni. Il sistema appunto si allarga ulteriormente perché quando si parla di informatica e tecnologia, in Italia, sembra sempre di essere in un mondo parallelo privo di connessioni con il mondo reale.
Abbiamo visto cosa succede in Irlanda con l’attacco informatico al sistema sanitario degli ospedali, resi fuori uso per del tempo, che ha presentato gravi conseguenze in pazienti (donne incinta e bambini senza visite necessarie).
Ora, perché se chiunque nell’espletare il proprio lavoro quotidiano, sbaglia deve andare incontro a sanzioni e se non si rispettano degli obblighi di legge in materia di informatica e tecnologia, sanciti da norme nazionali, non deve andare in contro a controlli e sanzioni?
Nel momento più caldo dell’inizio della campagna vaccinale, esser stati colpiti in un punto così strategico è senza dubbio un problema grave che ha dettato conseguenze sui cittadini, stavolta per un vaccino, ma se la sala operatoria di un importante ospedale italiano risultasse inutilizzabile con macchinari non funzionanti? In USA e in Germania, a causa di attacchi informatici che hanno impattato proprio su strutture sanitarie, sono già morte due persone, una neonata post-parto e una donna senza assistenza a causa di macchinari ancora indisponibili da attacco di tipo ransomware.
Nella puntata è andata in onda anche la risposta della regione o meglio di LAZIOCrea, che ne segue dal punto di vista pratico la vicenda. Dall’interno dei datacenter appunto, il giornalista fa delle domande al responsabile aziendale Vittorio Gallinella il quale sottolinea nuovamente di “non aver pagato alcun riscatto al gruppo criminale”, inoltre però aggiunge che “la spesa per il ripristino è stata ingente, si parla di milioni” senza di fatto specificare la cifra, ma dando una misura del grave esborso di soldi pubblici per sistemare una crisi provocata anche da un mancato rispetto delle norme.
Gallinella giustifica la non ottemperanza della norma sull’autenticazione a doppio fattore obbligatoria, con il ritardo dettato dall’emergenza pandemica di mandare a casa in smartworking un numero elevato di dipendenti.
Su questa osservazione rimane solo un dettaglio secondo il quale le date non corrisponderebbero. In effetti la circolare citata è del 2017 ma in Italia l’emergenza pandemica è scattata nel 2020 (e sarebbero già passati 3 anni per adeguare gli account con la doppia autenticazione). Inoltre gli smartworking di cui si parla, presumibilmente risalirebbero al 2021, quindi un altro anno ancora per adeguare le misure minime di sicurezza.
Siamo sicuri che convenga pagare i milioni di ripristino (con soldi pubblici), piuttosto che riuscire ad adeguare una doppia autenticazione agli account dei dipendenti in 4 anni?
Ovviamente questa misura non è l’unica necessaria e non scongiura qualsiasi attacco come fosse il cuscino sicuro, però sicuramente avrebbe aiutato molto e reso la vita molto difficile al criminale informatico che ha carpito tale accesso.
