Nella notte tra il 27 e il 28 dicembre appena passati, gli ospedali Manzoni e Mandic di Lecco hanno subito gravi interruzioni di servizio a causa di un attacco informatico rivolto contro i server dell’ASST – Lecco.
L’infrastruttura tecnologica è gestita da Aria SpA, società che si occupa del supporto tecnologico per la Regione Lombardia, che dunque ha in mano anche tutto il mondo della sanità pubblica di questa regione.
Aria SpA ha certificato almeno due attacchi DDoS lo scorso mese di ottobre, uno il 15 e l’altro il 20, dei quali il secondo nettamente più intenso del primo, che hanno creato disservizi sanitari per almeno cinque ore, prima del ripristino.
L’attacco del quale parlo oggi invece è di altra matrice. Pur non essendoci comunicati ufficiali da parte di Aria, posso analizzare le comunicazioni effettuate agli organi di stampa, dai quali si legge che i backup non sono stati compromessi, e verranno utilizzati per ripristinare la situazione di operatività delle strutture.
Questa descrizione fa decisamente pensare si possa trattare di un attacco di tipo ransomware, pur non avendo ancora evidenza di alcuna rivendicazione da gruppi criminali noti per questa tipologia di attacco (che appunto normalmente rivendicano l’attacco al fine di estorcere un riscatto).
L’attacco DDoS invece, come sappiamo, ha l’intento di interrompere un servizio, ma senza compromettere file residenti su una certa macchina. Stavolta sembra proprio di sia invece tale compromissione.
L’incidente ha causato l’interruzione per dodici ore di almeno quattro strutture dei due plessi ospedalieri: hub vaccinali (tamponi e vaccini), pronto soccorso, laboratori analisi e radiologia. Mentre invece ancora ora è in corso il ripristino per le rispettive sale operatorie, nefrologia e anestesia.
Il problema è grave. Quando si parla di sanità pubblica si parla di una struttura altamente sensibile e critica per la macchina operativa di uno Stato.
In USA e in Germania, a causa di attacchi informatici che hanno impattato proprio su strutture sanitarie, sono già morte due persone, una neonata post-parto e una donna senza assistenza a causa di macchinari ancora indisponibili da attacco di tipo ransomware.
In Italia l’anno corrente che sta terminando ha portato alla luce un grande numero di incidenti cyber rivolti a strutture sanitarie, sparse su tutto il territorio nazionale: ricordiamo sicuramente il caso ancora aperto di LazioCrea per gli hub vaccinali di Regione Lazio, le varie ATS in Toscana e le ASSL del Veneto. Hanno tutti un unico comune denominatore che è l’appartenenza al sistema sanitario pubblico e che sono avvenuti nel cuore di una pandemia con in corso una massiccia campagna di vaccinazione (e obbligo di green pass a quest’ultimo collegato).
Le prospettive
Come vi avevo già parlato qualche giorno fa, al SocialCom 2021 il Presidente di Leonardo SpA (società strategica per la difesa e l’ingegneria dello stato) ha lanciato un vero e proprio allarme cyber al Paese, dedicando la quasi totalità dell’intervento all’esposizione dei gravi dati emersi anche nell’ultimo report Clusit relativo al primo semestre 2021, sui problemi di cyber sicurezza che affliggono infrastrutture italiane sia pubbliche che private.
Il 27% delle risorse del PNRR (Piano Nazionale di Ripresa e Resilienza) sono dedicate alla transizione digitale.
Lunedì appena passato il Ministero per l’innovazione tecnologia e la transizione digitale, per il tramite del Ministro Vittorio Colao, si è espresso in merito al proseguo dei lavori per la costruzione del Polo Strategico Nazionale (l’infrastruttura che vedrà il nuovo cloud nazionale per la PA). Sono infatti stati scelti gli attori di questa importante sfida per il Paese, tra le candidature ricevute, valutate su base tecnica ed economica, individuati nella cordata di TIM S.p.A., Enterprise Market, in qualità di mandataria della costituenda ATI con CDP Equity S.p.A., Leonardo S.p.A., Sogei S.p.A quella che rispecchia pienamente e in misura del tutto soddisfacente i requisiti espressi nella policy Cloud Italia presentata il 7 settembre.
Sarà questo gruppo di importanti e strategiche aziende dello stato italiano a realizzare (con i dovuti fornitori scelti, è bene ricordarlo, anche esteri con Google Cloud, Microsoft Azure, Amazon AWS), il cosiddetto cloud nazionale che metterà al sicuro i dati di tutta la Pubblica Amministrazione italiana dislocata su tutto il territorio nazionale (o per lo meno tutta quella che riuscirà e sceglierà di adeguarsi a tale tecnologia, non obbligatoria). TIM, Sogei e Leonardo (società che già gestisce cyber sicurezza nazionale in ambito difesa, con strutture evolute quali il super calcolatore DaVinci-1) per la parte ingegneristica e tecnologia del progetto e Cassa Depositi e Prestiti per la parte di garanzia economica e di fideiussione, che presumibilmente sovvenzionerà la fase di realizzazione e trasferimento dei dati (da vecchio a nuovo).
E’ bene ricordare che le PPAA che sceglieranno di non aderire al cloud nazionale, avranno comunque delle regole di adeguamento, previste dal piano nazionale, che dovranno comunque affrontare per garantire la sicurezza dei dati presso le proprie infrastrutture esistenti.
La risposta immediata
Il Polo Strategico Nazionale, però ha come obiettivo la messa in sicurezza dei dati della PA (almeno al 75% secondo le stime) entro il 2026. Considerato che dalle ultime analisi effettuate è emerso che il 95% delle 11 mila strutture CED (datacenter) sparse sul territorio, presenta gravi problematiche di cyber sicurezza, si può pensare che si debba intervenire anche nell’immediato, almeno con gli strumenti che già si hanno e con i quali è risaputo ottenere risultati soddisfacenti.
Una maggiore consapevolezza sull’ambito della sicurezza informatica, da parte di tutti i livelli professionali, all’interno di qualsiasi struttura pubblica (a maggior ragione se collegata alla sanità), può sicuramente aiutare al personale a scongiurare una gran fetta degli attacchi che oggi quotidianamente mi ritrovo ad analizzare.
Valutare e-mail di phishing nelle postazioni di lavoro, avere accesso solo a certi dati e certe funzioni in base alla propria mansione, saper individuare quali allegati email poter aprire e quali cestinare senza nemmeno visionarli, sono solo alcune delle buone pratiche che con una adeguata formazione, possono dare buoni risultati nell’immediato. Gli attacchi attuali, ai quali assistiamo in Italia, infatti, non sono il frutto di sofisticate tecniche futuristiche, ma l’applicazione di tattiche già ampiamente note e consolidate, per cui in gran parte evitabili.