L’attacco informatico «più grave mai avvenuto sul territorio nazionale». Una «iniziativa criminosa». Un «atto terroristico». Un «pericolo» per la sicurezza nazionale. Sono molte le definizioni utilizzate per il cyberattacco che ha colpito il sistema informatico sanitario della regione Lazio nella notte tra sabato 31 luglio e domenica 1° agosto, bloccando il sistema di prenotazione dei vaccini e quello delle visite specialistiche nelle strutture sanitarie regionali. Un altro tentativo, ha fatto sapere nel corso di una conferenza stampa il presidente Nicola Zingaretti, ci sarebbe stato anche nella notte tra il 1° e il 2 agosto: questo volta senza successo.

Ora, però, il problema è che c’è il rischio concreto che senza pagare il riscatto richiesto dai pirati informatici, che solo a quel punto forniranno la “chiave” per il ripristino, i dati criptati siano persi per sempre: fonti della sicurezza, infatti, confermano a Domani che le informazioni bloccate dal ransomware -il virus utilizzato dagli hacker - non hanno alcuna copia di backup. Quindi se non si recupera la chiave per sbloccare i server, la Regione Lazio potrebbe non averne mai più la disponibilità. 

La richiesta di riscatto – ha tenuto a specificare Zingaretti – non è mai arrivata da parte dei pirati informatici. Le preoccupazioni per la sicurezza del paese hanno allertato i servizi di sicurezza ai massimi livelli e sono dovute al fatto che tra i dati presenti nell’anagrafe vaccinale del Lazio – anamnesi, storia sanitaria personale, malattie particolari – ci sono quelli dei vertici istituzionali, politici ed economici del paese: dal presidente della repubblica, Sergio Mattarella, al presidente del Consiglio, Mario Draghi, fino a parlamentari e dirigenti dei servizi segreti. Zingaretti però ha smentito che i ladri di dati siano entrati in possesso di queste informazioni: le avrebbero solamente bloccate, mandando in tilt il sistema informatico della regione.

La dinamica

Il ransomware è entrato nei server attraverso il computer di un dipendente: in un primo momento circolava l’ipotesi che potesse aver collaborato con i pirati informatici, smentita dopo i primi accertamenti degli investigatori del Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della polizia postale. Al dipendente, che lavorerebbe in un ufficio della Regione a Frosinone, sarebbero state sottratte le credenziali di accesso, con cui poi i pirati informatici hanno potuto entrare nel suo computer. Gli hacker avrebbero utilizzato un Rat, un trojan che permette di utilizzare il pc infettato da remoto, per rendere più efficace e persistente l’attacco.

«Tutti i protocolli di sicurezza da parte delle figure professionali e dei sistemisti sono stati rispettati. Non c’è stato nessun tipo di alleggerimento. Come gli hacker siano entrati in possesso di credenziali per avere privilegi è motivo di indagini», hanno dichiarato i tecnici della regione Lazio. Il virus utilizzato dovrebbe essere il LockBit 2.0: una volta entrato nel sistema operativo Windows, si diffonde automaticamente a tutti i domini dei computer collegati al primo.

Perché è successo

Un errore umano però molto probabilmente deve esserci stato. I ransomware sono attacchi che migliaia di aziende di tutto il mondo subiscono quotidianamente e il modo migliore per evitarli è un’adeguata formazione del personale. Chi utilizza questi virus infatti non prende di mira un obiettivo preciso: la stessa e-mail, un cavallo di troia con indirizzo e oggetto falsi ma estremamente verosimili, a centinaia di destinatari.

Tante volte i pirati informatici non sanno nemmeno chi è che cade nella loro trappola e chi no: la richiesta di riscatto è automatica e non c’è nessuna interlocuzione personale tra chi cripta i dati e chi subisce la criptazione. Il modo migliore per evitare di farsi bloccare i server è mettere in guardia il personale da ogni pericolo.

Il «più grave attacco informatico mai avvenuto sul territorio nazionale», quindi, se ha seguito le modalità raccontate nelle prime indiscrezioni, poteva essere evitato con poco. Tant’è che nelle chat tra esperti del settori, in molti ritengono che si stia ingigantendo la faccenda.

I danni

Gli investigatori ancora non escludono nessun movente per l’attacco, ma l’ipotesi più probabile è che chi ha infettato i computer della regione Lazio sia mosso solamente dalla richiesta di un “cavallo di ritorno” in cambio dei dati criptati. In ogni caso, non sono pochi i danni per i cittadini. La campagna vaccinale sta proseguendo, ma non è possibile prenotarsi al momento dopo il 13 agosto.

«La campagna vaccinale non si è mai interrotta, sono temporaneamente sospese le prenotazioni. Ma la banca dati regionale ha registrato circa 500mila prenotazioni fino al 13 agosto. Ora la comunità sanitaria sta compilando a mano tutti i referti. Voglio ricordare anche che da ieri il 70 per cento della popolazione adulta del Lazio è vaccinata», ha detto in conferenza stampa Zingaretti.

Chi si vaccinerà nei prossimi giorni, invece, potrebbe ricevere il Green Pass, il certificato di avvenuta immunizzazione dalla Covid-19, con un paio di giorni di ritardo: «In accordo con il commissario per l’emergenza Covid, il generale Figliuolo, il passaggio di dati tra l’anagrafe vaccinale regionale a quella nazionale continuerà, ma con dei ritardi perché il passaggio sta avvenendo a mano», ha dichiarato l’assessore alla Sanità Alessio D’Amato. «Se si voleva colpire la campagna vaccinale, dobbiamo dire che il sistema ha reagito».

Sono bloccate al momento invece le prenotazioni per le visite specialistiche attraverso il Cup, il centro unico di prenotazione, che dovrebbero ripartire in dieci giorni: «Per le nuove prenotazioni di visite specialistiche su Cup e Recup, Laziocrea sta lavorando per garantire il ripristino della funzionalità entro la metà del mese», ha chiarito l’assessore.

Gli attacchi e i dati sanitari

Da quando è cominciata la pandemia dovuta al Sars-Cov-2, gli attacchi informatici alle strutture sanitarie sono aumentati esponenzialmente. In Italia e non solo. I pirati informatici hanno cercato l’opportunità di fare soldi sia criptando le informazioni di ospedali e centri di ricerca, sia per sottrarre le ricerche relative allo sviluppo e alla produzione dei vaccini.

Nel marzo del 2020 è finito sotto attacco l’Istituto Spallanzani di Roma. Poi è stata la volta del San Raffaele di Milano, a maggio. Poi altri due ospedali capitolini: ad agosto è toccato all’Ospedale Santo Spirito e a settembre a quello di Tor Vergata, dove sono state sottratte proprio le ricerche sul coronavirus. Intrusioni informatiche a strutture che si occupavano della cura dei malati di Covid-19 e alla ricerca medica, tutte avvenute nel giro di pochi mesi.

A questi attacchi ne va aggiunto un altro, del dicembre 2019: a Erba, cittadina di 16mila abitanti in Lombardia, l’ospedale Fatebenefratelli ha subito il furto di 35mila radiografie da parte di un gruppo di cybercriminali, che poi hanno chiesto un riscatto in bitcoin da pagare sul dark web.

Un attacco molto simile a quello avvenuto alla Regione Lazio. Tutti sapevano che era successo e che poteva accadere di nuovo. Così è stato.

 

© Riproduzione riservata