TL;DR I recenti episodi di “grazia” delle ransomware gang per due attacchi verso strutture ospedaliere (l’ospedale di Alessandria e il Centro Sick Kids di Toronto) non deve trarre in inganno: le ransomware dimostrano di essere più furbe e politicamente lungimiranti di chi, invece, dovrebbe preoccuparsi di difendere meglio le proprie infrastrutture ICT.
Due episodi molto recenti da parte di altrettante ransomware gang, una è Ragnar Locker in merito all’attacco all’Ospedale di Alessandria e l’altra è Lockbit sull’attacco al centro canadese per la cura dei bambini “Sick Kids”, stanno portando sulla scena del cybercrimine una “sensibilità” umana che rischia di destabilizzare gli equilibri politici del contesto.
Butto giù una riflessione, senza entrare troppo nel merito dei due attacchi (su quello all’Ospedale di Alessandria ho già scritto), su un cambio di strategia che potrebbe avere conseguenze inaspettate nella percezione collettiva del cybercrimine.
Concordiamo tutti che attaccare un ospedale, rendendo indisponibili i sistemi informatici (che sono essenziali per l’operatività della struttura), sia un atto deprecabile. Quando c’è di mezzo la vita e la salute delle persone, e soprattutto dei bambini, la condanna da parte dell’opinione pubblica è unanime e danneggia pesantemente l’immagine di chi compie l’attacco, a prescindere se i sistemi informatici erano ben protetti o meno.
Già in passato c’erano stati episodi simili ed alcune ransomware gang avevano esplicitamente dichiarato di NON ATTACCARE strutture sensibili, come gli ospedali (nelle prime fasi dell’attacco, durante l’analisi della vittima, gli operatori della gang imparano a conoscere il bersaglio).
L’immagine collettiva del criminale senza scrupoli che attacca qualunque struttura possa portare lauti guadagni (e quelle sanitarie non fanno certo eccezione!) viene sfumata e mitigata da questi due recenti episodi, rischiando di mutare la narrazione che viene fatta dai media sul cybercrimine.
“La comunicazione è tutto” (cit.) ed anche il comunicato stampa dell’Azienda Ospedaliera di Alessandria in risposta al clamore mediatico sollevato in seguito alla pubblicazione dei dati sul DLS (“Data Leak Site”) della gang Ragnar Locker sembra confermare la mia tesi: “garantendo la continuità dei servizi e delle prestazioni“, recita, quando sappiamo che la gang Ragnar Locker ha scelto, in questo caso, una “zero-encryption policy” proprio per non causare alcuna interruzione all’operatività.
…”predisporre un piano di potenziamento strutturale” che pare quasi (sic!) confermare l’invito della gang a “valutare” lo staff IT del nosocomio.
Insomma, il confine tra buoni e cattivi, prima decisamente netto, rischia di sfumare pericolosamente quando parliamo di strutture pubbliche, che offrono servizi pubblici ai cittadini e ne gestiscono i dati. E devono farlo nel modo migliore possibile, proteggendoli anche dagli attacchi informatici!
Non ci sono risorse adeguate? Non sono stati fatti investimenti adeguati? Mancano competenze? Manca formazione? Un film già visto anche nella PA nostrana, ma certo i nostri Ospedali non possono e non devono voler “beneficiare” della benevolenza delle gang di cybercriminali.
E’ stato molto chiaro agli addetti ai lavori quale sarebbero state le conseguenze nel caso l’attacco fosse stato completato as-usual, con la cifratura di tutti i dati e blocco dei sistemi: una indisponibilità importante (totale?) dei servizi e conseguente impossibilità o ritardo nell’erogare prestazioni ai degenti… in Germania, purtroppo, hanno già avuto la loro vittima.
Crogiolarsi nell’idea che i cybercriminali “avranno pietà” delle strutture sensibili come gli ospedali è del tutto fuori luogo, ovviamente, così come inalberarsi a posteriori strepitando contro i “criminali brutti e cattivi” (altrimenti, non sarebbero criminali): basta ricordare l’attacco alla AULLS6 Euganea e le disastrose conseguenze del blocco operativo dei sistemi. Ci si aspetterebbe, come cittadini, che le Direzioni si adoperassero tutte, sin da subito, nel “potenziamento strutturale, tecnico e professionale“, che si inserisca nell’immediato. E che, soprattutto, non si attenda l’attacco ma si lavori per prevenirlo, anche se per qualcuno spendere in cybersicurezza può sembrare solo “un costo”: il costo, quello vero, è quello necessario al ripristino dell’operatività dopo aver subito un attacco.