“Quando un problema non può essere risolto diventa una condizione.”
Bill Abram
Qualche giorno fa, a fine marzo, la home page del Comune di Brescia riportava questo messaggio:
Il Comune di Brescia informa che, a partire dalla giornata di martedì 30 marzo, è stato vittima di un attacco informatico da parte di ignoti, che ha causato danni alla rete, non consentendo di garantire i normali servizi.
Secondo quanto risulta dalle notizie riportate dalla stampa, i sistemi informatici dell’Amministrazione sono stati vittima di un attacco da parte del ransomware Dopple e i cybercriminali hanno chiesto un riscatto di 26 bitcoin, circa 1,3 milioni di €, per la chiave di decrittazione: una cifra non trascurabile ma, come afferma lo stesso prima cittadino, difficilmente spiegabile anche agli organi di controllo dei conti pubblici, la Corte dei Conti.
Colpite anche Rieti, Roh, Caselle Torinese e la USL di Terni
Non è il primo comune italiano a subire un attacco di questo tipo: già a Settembre dell’anno scorso il Comune di Rieti dovette fronteggiare un attacco simile, con una richiesta di circa 500.000€ per la chiave di decrittazione: fortunatamente, almeno secondo le fonti a stampa, la questione venne risolta recuperando i dati dai backup e dal cloud.
Non è stato neppure l’ultimo: a distanza di pochi giorni, anche le città di Roh e di Caselle Torinese sono finite sotto lo scacco del ransomware Dopple.
Attaccato anche il sito della USL2 di Terni a quanto si apprende da fonti stampa. Ancora non sappiamo da cosa, ma dalle dichiarazioni rilasciate sembrano essere stati esfiltrati dati personali di alcuni pazienti. Degna di nota la dichiarazione del Direttore Generale De Fino, che parla di “adeguate misure di protezione esistenti“: a quanto pare, tuttavia, sembrerebbero esserci margini di miglioramento…
Come avvengono questi attacchi?
La procedura, generalmente, è sempre la stessa: viene sfruttato un vettore d’attacco (e-mail con malware allegato, vulnerabilità in qualche sistema, trojan scaricato da qualche link…) e, dopo essere entrato nel perimetro, il malware inizia le operazioni di esfiltrazione dei dati che riesce a recuperare dai sistemi, inviandoli ai cybercriminali (e usati come leva per la richiesta di riscatto). Nel mentre (generalmente dopo l’esfiltrazione, per evitare di essere scoperto troppo presto), procede con la cifratura dei files per renderli inutilizzabili.
A questo punto parte l’estorsione (“ransom“): se non paghi per la chiave di decrittazione, che permette il recupero dei file, pubblico sul web i tuoi dati.
Alcune organizzazioni cybercriminali, che stanno dietro questi attacchi, talvolta pubblicano anche i dettagli delle trattative, con non poco imbarazzo per le istituzioni e aziende coinvolte, e per invogliare le vittime a pagare, pubblicano a tranche il materiale sottratto: quando parliamo di medie e grandi aziende, parliamo anche di segreti industriali, progetti, accordi, stato patrimoniale e finanziario… mentre per le PA, come in questo caso, potrebbero essere stati trafugati e-mail e documenti contenenti richieste o altri dati dei cittadini, dei dipendenti e dei politici.
Checché se ne dica, e la stampa ama un certo tipo di “lettura” sensazionalistica mirata ad aumentare le vendite, generalmente questi gruppi di cybercriminali agiscono attraverso una sorta di “pesca a strascico”, colpendo chi finisce nella loro rete. Difficilmente sono attacchi, questi, mirati verso un particolare soggetto: molto più probabilmente qualcuno ha fatto un “errore fatale” (cliccare su un link ed eseguire il malware, aprire un allegato mail dannoso…) oppure l’infrastruttura informatica aveva una o più vulnerabilità individuate e sfruttate (ad esempio, un accesso VPN Fortinet non patchato, server Exchange obsoleto, un browser con Flash vulnerabile…).
In ogni caso, ci tengo a ricordare che il regolamento UE 2016/679 (“GDPR”) prevede che per i data breach:
– il titolare provveda, entro 72 ore dal momento in cui ne è venuto a conoscenza, a notificare la violazione al Garante per la protezione dei dati personali (eventuali ritardi devono essere giustificati);
– se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto;
Ed è bene ricordare che Il Garante può prescrivere misure correttive nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Insomma, un attacco estorsivo che colpisce dati suscettibili di “ledere le libertà e comportare rischi per i diritti delle persone” coinvolte, può costare parecchio anche alla vittima: meglio pensarci prima, adottato misure di (cyber)sicurezza adeguate.