ransomware
emporia

La Regione Lazio è riuscita a trovare un backup dei dati del database regionale, gli stessi che sono stati bloccati dal ransomware di cui vi abbiamo dato notizia ieri e per cui è stato richiesto un riscatto. Questo dovrebbe consentire di ripristinare i servizi e riavviare la maggiore parte delle attività, compresa la tanto attesa piattaforma di gestione dei vaccini per il Covid-19 che è già attiva a questo indirizzo: https://prenotavaccino-covid.regione.lazio.it/main/home

Nel momento in cui si scrive, il sito della Regione Lazio reca quanto segue:

A causa di un attacco hacker il sito non è momentaneamente raggiungibile.
Ci scusiamo per il disagio, stiamo lavorando per ripristinare tutte le funzioni nel più breve tempo possibile.
NUR – Numero Unico Regionale 06 99 500

COMUNICAZIONE AGLI INTERESSATI
In data 30/07/2021 un attacco informatico effettuato da Hacker al data center che ospita alcuni dei sistemi informatici della nostra Regione ha compromesso l’utilizzo di alcuni dei servizi e delle applicazioni a disposizione del cittadino. Stiamo provvedendo a fare tutto il necessario per porre rimedio all’accaduto e bloccare questo attacco per evitare ulteriori conseguenze sulla privacy e la sicurezza dei dati personali dei cittadini in possesso della Regione.
E’ stato tempestivamente attivato, in collaborazione con le autorità competenti e le forze dell’ordine, un Team tecnico dedicato alla gestione dell’evento e sono state messe in campo le misure necessarie a porre rimedio a possibili violazioni dei dati personali. Nel frattempo, per consentirci la migliore gestione dell’accaduto, i sistemi interessati sono stati disattivati e isolati dalla rete. Queste misure pur comportando la sospensione di alcuni servizi si rendono necessarie per evitare di acuire le conseguenze dell’attacco.
Per ulteriori informazioni o chiarimenti è possibile contattare il DPO della Regione Lazio, Ing. Gianluca Ferrara, all’indirizzo PEC dpo@regione.lazio.legalmail.it.
Ci scusiamo per l’accaduto, provvederemo a comunicare eventuali aggiornamenti non appena saranno disponibili ulteriori evidenze a seguito delle analisi in corso.
La presente comunicazione è resa anche ai sensi e per gli effetti di quanto disposto dall’art. 34 del reg. EU 2016/679 (GDPR).
Cordiali Saluti

Nicola Zingaretti, presidente della Regione Lazio, ha spiegato che i dati recuperati sono aggiornati al 30 luglio, poco prima dell’attacco hacker avvenuto nella notte tra l’1 e il 2 agosto attraverso un ransomware. Dice Zingaretti: “Sfruttando le caratteristiche tecniche di un hardware particolarmente sofisticato, che consente, tra le altre cose, di recuperare dati cancellati, installato nel 2019 all’interno del nuovo data center”. Questo sistema sarebbe stato acquisto da un’ignota azienda statunitense.

Sempre nel momento in cui si scrive il sistema di prenotazione vaccinale è riattivato ed entro la giornata di oggi dovrebbero essere rimessi in operatività la maggior parte dei servizi affidandosi al ripristino del backup. Corrado Giustozzi, esperto di sicurezza e in forze all’Agenzia per l’Italia digitale (Agid), ha affidato la delicata spiegazione a un tweet:

“Confermo con gioia che la Regione Lazio ha recuperato i dati senza pagamento di riscatto. Non decifrando i dati ma recuperando i backup che non erano stati cifrati ma solo cancellati. Ma lavorando a basso livello i tecnici di LazioCrea hanno recuperato tutto”.

Mettendo insieme il puzzle, alcuni pezzi non si allineano. Per esempio nei giorni scorsi i backup sembravano inaccessibili o impossibili da utilizzare. Certo, probabilmente ha valso la regola della ridondanza. Condita con un po’ di sana pacatezza per evitare di creare false illusioni.

Sembra intonata la dichiarazione del ministro Colao: “Sulla cybersicurezza il governo si è mosso”. E il titolare del ministero dell’innovazione tecnologica e della transizione digitale sostiene che non ci sono problemi di risorse economiche per quanto riguarda la sicurezza e che “i data center devono essere più grandi. Il cloud nazionale è in dirittura d’arrivo”. Sarà a disposizione di pubbliche amministrazioni e aziende private e servirà per costruire una cultura digitale e rafforzare le difese del Paese. Tutto bello, ma solo instradato. C’è ancora da avviare l’implementazione e l’esecuzione. La Regione Lazio è un caso da studiare, in questo senso, affinché non si ripeta in scala crescente.

Il pc in smart working, il figlio dell’impiegato della Regione Lazio e la navigazione

Altri elementi che si intrecciano a questa sceneggiata tipicamente italiana emergono dai retroscena relativi all’uso del pc da cui sarebbe serpeggiato l’attacco degli hacker. Pc fornito a un dipendente di Frosinone in smart working e che, stando alle ricostruzioni in corso, sarebbe stato utilizzato anche dal figlio ma durante la notte.

Intanto bisogna capire perché una unità aziendale e un oggetto di proprietà pubblica, peraltro avente accesso a dati sensibili, sia stato accessibile a terze parti, per quanto fosse il figlio della persona titolata a fare uso dello strumento. Oltre che di uso indebito di una proprietà della pubblica amministrazione, per il dipendente di Frosinone si potrebbero persino delineare reati; al momento si stanno valutando ipotesi che vanno dal dolo alla colpa fino all’imprudenza. Qualora dovessero esserci gli estremi, la persona in smart working sarebbe iscritta alla lista degli indagati. In ogni caso, come regola generale, i dispositivi mobili (pc, smartphone e tablet) forniti da un’azienda privata o da un ente pubblico non prevedono un utilizzo per fini personali ma solo lavorativi. Se si induce in questo comportamento, si possono avere conseguenze civili e penali.

Corriere.it ha scovato il dipendente in questione: Nicola B., 61 anni, stanza numero 10, piano terra della sede di Frosinone della Regione Lazio. E l’ha intervistato. Le risposte sembrano una stesura drammatica shakespiriana.

Nicola B. sostiene di vivere in un contesto di “gelo totale. Da una settimana mi sento come isolato, emarginato, solo due-tre colleghi si sono avvicinati per farmi coraggio, per chiedermi come sto. E sì che sto male, sono preoccupato, sono spaventato”. E anche: “Finora non è venuta a interrogarmi nemmeno la polizia postale. Un tecnico del Ced lunedì è entrato, ha smontato il computer e l’ha portato via. Da quel momento il buio. E io non riesco ancora a capire come sia potuto succedere. E perché proprio a me”.

La domanda cruciale è capire come gli hacker sono entrati e se dal pc Nicola B. o il figlio navigassero su siti discutibili. Risponde l’interpellato: “Siti porno? È pazzesco, mio figlio poi la notte dell’intrusione, tra sabato e domenica se ho capito bene, era addirittura al mare, perciò figuratevi. E poi lui non conosce le mie password. Sapete? Malgrado tutto io resto tranquillo, perché penso che la polizia postale comunque ha preso i computer e potrà vedere da sola tutti i movimenti che ho fatto. Troverà anche qualche foto, ma niente di compromettente: cene con amici, immagini di mia moglie. Quante chiacchiere inutili: vendermi le password? Nemmeno per un milione di bitcoin e sì che ci sistemerei la famiglia! Ma io sono uno che non ha mai preso una multa in vita sua: ricordo che quando lavoravo ancora alla Provincia di Frosinone chiesi ai tecnici se potevano abilitarmi per leggere il sito Dagospia, perché è un sito che mi diverte molto, ma poi mi sentii quasi in colpa all’idea di navigare durante l’orario di lavoro e lasciai perdere”.

Perché proprio dal pc di Nicola B.?

Dunque perché il pc di Nicola B. è stato usato per impiantare il ransomware nel sistema LazioCrea e nella Regione Lazio? Dice Nicola B.: “Non lo so, forse perché a casa lavoro in orari strani, mi sveglio alle 3 di notte e comincio a smaltire le pratiche più diverse: bolli auto, rimborsi elettorali ai Comuni, invio email ai colleghi per anticipare il lavoro del mattino dopo. Lo smart working però è vulnerabile, la rete di casa è più fragile di quella aziendale (…) Magari era già entrato da qualche altra parte e aspettava solo la porta giusta. La mia”.

E continua: “In ufficio abbiamo un promemoria. C’è scritto così: Prima di uscire controllare sempre la presa della ciabatta, controllare la presa della macchina del caffè, la presa del frigorifero, togliere le chiavi dall’armadio (perché qualche volta è sparito anche qualcosa) e infine spegnere le luci. Insomma la sera spegniamo tutto, non solo i computer.L’unica distrazione che mi concedo è cercare ogni tanto su YouTube le canzoni di Franco Califano o di Pino Daniele e poi mettermi a lavorare con loro in sottofondo. Saranno entrati così? Boh, io sto sempre molto attento alle mail farlocche, a quelle che ti dicono che ti si è svuotato il conto, anzi non le apro nemmeno, le cestino direttamente. Sto pensando alle mie debolezze: consulto, per esempio, un tutorial sempre su YouTube che ti spiega come lavorare con i fogli di Excel, che poi sono la mia vera passione. Di sicuro sabato 31 luglio di notte dormivo e domenica primo agosto ho lavorato da casa nel pomeriggio e ricordo che non avevo neppure il computer in carica, poi intorno alle 19.30 ho chiuso tutte le piattaforme e ho spento. Poi, il lunedì, mi hanno chiamato dalla Regione: hanno bucato il suo account, spenga subito il computer. Così è iniziato l’incubo».

Nicola B. è stato sentito per tre ore come persona informata sui fatti. A svolgere l’atto istruttorio negli uffici della Questura di Frosinone sono stati gli agenti del Cnaipic (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale che indagano sull’offensiva coordinati dalla procura di Roma.