C’è il forte rischio che i dati criptati dai pirati informatici che hanno attaccato i server della regione Lazio siano persi per sempre. Tra questi ci sono anche le informazioni sanitarie del capo dello stato, Sergio Mattarella, del presidente del Consiglio, Mario Draghi, e delle più importanti personalità istituzionali, politiche ed economiche del paese, oltre a quelli di centinaia di migliaia di cittadini.

La conferma arriva dall’assessore regionale alla Sanità, Alessio D’Amato, dopo la notizia data lunedì, riscontrata con fonti della sicurezza. Anche la copia delle informazioni nei computer del Centro elaborazioni dati regionale è stata bloccata. E per questo motivo le attività di ripristino del sistema non sono state immediate: dopo l’intrusione, sono stati spenti i server di Laziocrea per cercare di bloccarla e per capire l’entità dei danni. E tra questi c’è proprio la criptazione dei dati necessari per il ripristino del sistema.

«È stato criptato anche il backup dei dati, ed è l’elemento più grave. I dati non sono stati violati, ma sono stati immobilizzati», ha affermato l’assessore nel corso di un’intervista video a Repubblica. Prima della pubblicazione dell’articolo di lunedì sera, Domani aveva chiesto un commento al responsabile della sanità regionale, ma il suo portavoce non ha fornito riscontri.

Il backup criptato

L’assenza di un backup delle informazioni criptate è un problema che sta allungando i tempi di riparazione del danno subito dall’infrastruttura informatica della regione. I cybercriminali che sono entrati dentro i server hanno utilizzato un virus, un ransomware, che permette di ottenere la decriptazione dei dati solo dopo il pagamento di un riscatto. Una sorta di rapimento informatico a fini di estorsione, su cui stanno indagando i magistrati antiterrorismo della procura di Roma.

C’è un problema ulteriore, ed è molto frequente con questo tipo di attacchi informatici: una volta pagati, i pirati informatici potrebbero non fornire la chiave che permette di tornare in possesso delle informazioni. Il presidente della regione Lazio, Nicola Zingaretti, nella conferenza stampa di lunedì ha affermato che «sono infondate le voci di una richiesta di riscatto» e che in ogni caso non sarà pagato. In molti queste parole avevano destato qualche dubbio: i ransomware sono virus utilizzati proprio per estorcere denaro. Qualcuno ha pensato a un momento di confusione di Zingaretti. Ma questa sua uscita ha trovato riscontro anche nelle dichiarazioni del direttore della Polizia postale, Nunzia Ciardi: «Per ora non c’è richiesta di riscatto, ma dobbiamo lasciare che le indagini facciano il loro corso».

La richiesta però, con questo tipo di virus, è automatica: sullo schermo dei computer appare un messaggio in cui sono indicate le istruzioni da seguire per avere la chiave di decriptazione dei dati bloccati. È una caratteristica dei ransomware. Forse quello che il presidente della regione voleva dire è che queste istruzioni non sono state seguite.

«Ma non c’è altro modo per risolvere la situazione», spiega Stefano Zanero, professore di sistemi di elaborazione delle informazioni del Politecnico di Milano. «A meno che gli aggressori non abbiano compiuto errori, ed è difficile considerando l’entità dell’attacco subìto dalla regione Lazio, è impossibile ottenere la chiave se non avendola proprio da loro. Non esiste alternativa».

“Disaster recovery”

La pubblica amministrazione deve seguire delle regole nella progettazione dei sistemi informatici e nel caso in cui venissero attaccati. L’agenzia per l’Italia digitale, l’organo tecnico della presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’agenda digitale italiana istituita nel 2011, ha previsto delle linee guida per il “Disaster recovery”. È un piano di emergenza per il ripristino delle funzionalità informatiche degli enti pubblici per garantire la continuità di servizio.

Queste linee guida, presenti sul sito dell’Agid, sono aggiornate a otto anni fa. In un capitolo del documento sono previste le procedure da seguire per avere sempre a disposizione una copia di sicurezza dei dati. La pubblica amministrazione, è scritto, deve «predisporre opportune copie di backup che devono essere conservate in un sito protetto diverso da quello in cui risiede l'originale». Inoltre «il sistema di backup e restore (copia e ripristino, ndr) di dati deve avvenire attraverso una rete separata creando opportune segregazioni con sottoreti virtuali o con rete e relativi apparati dedicati».

Al momento non è dato sapere in che modo sia stato costruito e protetto il Centro elaborazione dati della regione che ha subito l’attacco, che comunque avrebbe dovuto seguire queste indicazioni. «Se si ha un backup su un archivio non connesso alla rete, in linea di principio riesce quasi sempre a salvare i dati. E forse nel caso della regione Lazio non era presente», spiega il professor Zanero.

Proteggere i dati

Le linee guida dell’Agid impongono alle pubbliche amministrazioni delle indicazioni da seguire per la protezione dei siti e dei backup. «Il problema è che spesso non c’è qualcuno che verifica che siano seguite e, nel caso non lo fossero, non ci sono sanzioni per chi non le rispetta», commenta Stefano Fratepietro, esperto di informatica forense e amministratore delegato di un’importante società di cybersicurezza.

Un problema per gli enti pubblici, ma anche per le aziende private, piccole o grandi che siano. «I progetti di backup molto spesso vengono fatti con l’idea: “Se si rompe fisicamente un server posso ripararlo senza problemi”. Spesso l’idea di un cyberattacco viene considerata secondaria», prosegue.

Insomma, si pensa più al guasto, al cortocircuito, al disastro naturale, che agli aggressori informatici: «Non ho ancora visto nemmeno nel privato questo approccio applicato sempre. Solo ultimamente, con la crescita del numero degli attacchi si sta diffondendo questa consapevolezza. Ma non siamo all’anno zero: siamo all’anno meno due. Basta seguire dei protocolli di sicurezza che si conoscono da trent’anni: come non tenere in linea il data center principale e il data center con le informazioni di ripristino». Spesso per evitare, quando possibile, o mitigare i danni delle intrusioni informatiche basta poco: formazione e sviluppo di una struttura di difesa adeguata. «Per esempio, nel caso del Lazio, sarebbe bastata un’autenticazione a due fattori per rendere più complicata l’azione degli aggressori», continua Fratepietro. «Oppure avere un presidio di security che si fosse messo subito all’opera non appena notato qualcosa che non tornava».

L’allarme del ministro

L’attacco subito dalla regione Lazio, che ha messo a rischio i dati delle più importanti cariche dello stato e di centinaia di migliaia di persone, avviene a tre mesi di distanza dall’allarme lanciato dal ministro per l’Innovazione tecnologica e la transizione digitale Vittorio Colao. «L’ultimo censimento del patrimonio delle infrastrutture di elaborazione dati della Pubblica amministrazione ha rilevato che circa il 95 per cento delle infrastrutture dati della Pubblica amministrazione è privo dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati», aveva affermato a inizio aprile in audizione al parlamento.

«Non mi permetto di mettere in dubbio i dati del ministro, ma forse dire il 95 per cento è da ottimisti», afferma con ironia il professor Zanero. «Nei giornali degli ultimi tre anni erano presenti notizie di attacchi ransomware subiti da aziende e istituzioni un giorno sì e uno no: questo tipo di aggressioni sono sempre più diffuse e non si può dire che chi ne rimane vittima ne abbia colpa», prosegue. «Però un ammodernamento del sistema digitale del paese è fondamentale: la creazione di una Agenzia per la cyberdifesa o di un cloud nazionale per la pubblica amministrazione vanno nella giusta direzione. Però servono tempo e investimenti sostanziosi».

 

© Riproduzione riservata