[ad_1]
Non si risolve la grana dell’attacco informatico che ha colpito la Pubblica Amministrazione partendo da Westpole, azienda che fornisce servizi cloud a PA Digitale, società che a sua volta offre software e programmi a Comuni e altri enti pubblici. L’attacco si è scatenato alle ore 5 dell’8 dicembre scorso e mentre scriviamo, 18 dicembre, continua a bloccare i sistemi di molte pubbliche amministrazioni. Nel pomeriggio del 18 dicembre i tecnici di Westpole sono riusciti a ripristinare circa il 50% dei servizi. Ma pare che sarà molto «lungo, complesso e improbabile» recuperare il restante 50%. L’attacco ha la forma del ransomware (i database sono stati criptati e sono inaccessibili) ma non c’è ancora una rivendicazione né una richiesta di riscatto pubbliche. In realtà, secondo valutazioni ancora in corso, è probabile che l’attacco sia stato portato da uno dei gruppi hacker tra i più attivi ultimamente in Italia e potrebbe aver sfruttato una vulnerabilità «nota».
Il parere dell’esperto
Sul tavolo di sarebbe già anche una richiesta di riscatto, pur se l’esperto di cybersicurezza Massimo Brolli non è convinto: «Nell’undeground non c’è ancora traccia di rivendicazione da parte di qualche gang informatica». Per quanto riguarda la richiesta di riscatto, continua Brolli, «questa di solito viene lasciata o nei server dell’azienda attaccata o, nel giro di una decina di giorni, rilanciata attraverso una comunicazione pubblica». Questo, conclude l’esperto, «significa che quando c’è una cifratura di dati da attacco ransomware gli hacker sono dentro al sistema da almeno una settimana, e la cifratura è solo l’ultimo atto: o i cybercriminali non sono riusciti a raccogliere dati sensibili particolari o è già in corso la trattativa sul riscatto».
I servizi compromessi
Il servizio in blackout a causa del blocco di Westpole è in primo luogo quello erogato attraverso il software in cloud Urbi, che si occupa di anagrafe e servizi ai cittadini. Ma le conseguenze si sono estese a molti organi, locali e nazionali, della pubblica amministrazione (QUI UN ELENCO in fase di aggiornamento), il cui numero potrebbe superare il centinaio. A essere colpiti in maniera seria, più che le amministrazioni centrali e quelle delle grandi città, dovrebbero essere i piccoli comuni e le amministrazioni locali minori, molte delle quali si sono rivolte al fornitore obiettivo dell’attacco. Uno dei risultati è stato il blocco di svariati servizi digitali, tra cui la gestione dei cedolini paga. «È a rischio l’erogazione delle tredicesime a migliaia di dipendenti pubblici? Al momento l’ipotesi va considerata, ma è remota», ci dice una fonte sotto garanzia dell’anonimato. Tranquillizza tutti i suoi dipendenti il presidente del Consiglio regionale del Veneto, Roberto Ciambetti: «Stipendi e tredicesime dei dipendenti del Consiglio regionale non sono a rischio: le buste paga sono calcolate in autonomia dalla Regione con un proprio software, che non c’entra nulla con l’attacco hacker a Westpole». Mentre la Regione Campania fa sapere di essere riuscita a respingere, «affiancata dagli esperti di cyber security della società Digital Value, un attacco informatico molto pesante che avrebbe avuto ripercussioni gravi se i sistemi installati non avessero dato l’allarme immediatamente». Anche in quel caso, l’attacco aveva come obiettivo l’esfiltrazione dei dati e la loro cifratura, con lo scopo finale di chiedere un riscatto. Un altro dei servizi che invece sono stati mandati in blackout nel blitz che ha colpito Westpole, è quello della fatturazione per chi usa il sistema Quifattura: le aziende non hanno potuto registrare le fatture e trasmettere gli adempimenti Iva nei tempi previsti dalla legge. Per questo motivo, l’Agenzia delle entrate ha accordato una dilazione dei tempi per le operazioni di fatturazione elettronica, senza applicare sanzioni o interessi.
Le contromisure
Intanto continuano le operazioni per cercare di risolvere il problema. PA digitale ha rilasciato aggiornamenti sulla situazione, però solo fino al 13 dicembre. In quella data, come riportato da Red Hot Cyber, rivista online specializzata in cybersicurezza, PA Digitale ha fatto sapere che «ha attivato immediatamente un piano d’emergenza, collaborando strettamente con Westpole per ripristinare una nuova infrastruttura affidabile e sicura. Grazie all’impiego di risorse illimitate e lavorando senza interruzioni, PA Digitale sta procedendo al ripristino dei dati dei propri clienti dai backup, garantendo una tempestiva ripresa dei servizi». La società, poi, «si impegna a garantire una rapida ripresa delle funzioni essenziali e a recuperare il patrimonio informativo e dati entro qualche giorno». Poi più nulla.
L’intervento dell’Agid
Intanto, è intervenuta l’Agenzia per l’Italia digitale (Agid), l’organo governativo responsabile della supervisione dell’ambito digitale, che ha richiesto chiarimenti dettagliati a PA Digitale entro 2 giorni, con focus su diversi punti chiave. Innanzitutto, Agid ha chiesto di chiarire se l’evento ha coinvolto i servizi di conservazione a norma, un aspetto cruciale considerando la sensibilità dei dati gestiti. Successivamente, la richiesta si è concentrata sui dettagli dei disservizi, esortando PA digitale a fornire una panoramica completa delle aree colpite e delle funzionalità compromesse.
In campo l’Agenzia per la cybersicurezza
Alle domande sull’attacco ha risposto anche il direttore dell’Agenzia per la cybersicurezza Bruno Frattasi, che ha confermato l’impatto derivante da un attacco esteso che ha investite le pubbliche amministrazioni che si avvalgono dei servizi di Westpole: «L’Acn – ha detto Frattasi – è intervenuta per analizzare la vastità dell’impatto e indicare le modalità di recupero dei dati e per aiutare Westpole a ripristinare i suoi servizi come pratica di resilienza. Due infatti sono le funzioni di Acn: proteggere la superficie, e, appunto, far ripartire i servizi».
[ad_2]
Source link