A dieci giorni dall’attacco cyber sferrato contro la Regione Lazio, Mariana Pereira, Director of Email Security Products di Darktrace, riflette sulle sue conseguenze, sulla crescente consapevolezza della fragilità delle infrastrutture pubbliche in Italia e sulla necessità di cambiare approccio nella lotta contro i ransomware.
Domenica 1° agosto la Regione Lazio è stata colpita da un attacco con ransomware cryptolocker su vasta scala che ha bloccato tutti i suoi servizi digitali, creando notevoli danni soprattutto alla campagna vaccinale in corso. Come dichiarato anche dalle autorità, si è trattato di un attacco senza precedenti per il Paese, con un forte impatto sociale dato che la piattaforma regionale per le prenotazioni è rimasta spenta per cinque giorni, e solo giovedì scorso, superando notevoli difficoltà tecniche, il sistema è stato ripristinato.
Giovedì pomeriggio la situazione è parsa migliorare anche dopo che la dirigenza della Regione ha annunciato di essere riuscita a recuperare un backup del database regionale che dovrebbe consentire di ripristinare i dati e di riavviare gran parte delle attività, anche se come sia avvenuto il recupero non è ancora del tutto chiaro, come non è chiara la dinamica precisa rispetto al “riscatto” richiesto dai cybercriminali e all’ultimatum da essi imposto e scaduto giovedì alle ore 23.
Gli agenti della Polizia Postale, coordinati dalla procura di Roma, stanno indagando sull’offensiva, analizzando i dati acquisiti, in collaborazione con l’Europol e l’FBI, per chiarire l’origine e le analogie con i tanti attacchi ransomware avvenuti anche all’estero e in Italia negli ultimi mesi. Il servizio sanitario irlandese, ad esempio, ha subito un attacco di tipo ransomware come quello avvenuto nel Lazio lo scorso maggio, e ha impiegato parecchie settimane a ripristinare la piena funzionalità dei sistemi, tanto che il primo luglio ha dovuto rinviare il lancio del Green Pass europeo. Pochi mesi fa lo stesso tipo di attacco ha messo in ginocchio per una intera settimana i servizi del comune di Brescia.
Dalle prime indagini l’attacco alla Regione potrebbe essere partito dalla violazione del pc di un dipendente che lavorare in smart working. I criminali avrebbero scelto di colpire in un momento particolare del weekend, alla fine della giornata lavorativa, proprio quando il livello di attenzione delle persone e degli addetti ai controlli si abbassano. Una dinamica che non stupisce molto in un’epoca che vede da una parte i team di sicurezza sempre più oberati di lavoro e dall’altra le aziende orientarsi allo smart working e all’adozione di strumenti basati sul cloud che portano con sé una nuova ondata di minacce sofisticate. Altre fonti parlano però di un attacco a un fornitore, connotandolo come “supply chain attack”.
Allo stesso modo non stupisce affatto che, come pare, il veicolo per l’ingresso del malware sia stata una email, considerando che oggi la posta elettronica rappresenta uno dei vettori di attacco più pericolosi per le aziende, il punto di accesso nel 94% degli attacchi informatici.
Al di là delle dinamiche specifiche e dalla ricerca dei “mandanti”, però, ritengo che le riflessioni sollevate da questo attacco riguardino sostanzialmente un problema estremamente grave per il Paese e debbano essere portate a un livello di discussione più alto, che ha a che fare con l’urgenza di mettere in sicurezza le infrastrutture digitali e limitare i potenziali danni anche in futuro.
Circa un mese fa, il Ministro per l’Innovazione e la Transizione al Digitale, Vittorio Colao, aveva già lanciato un allarme sulla cyber sicurezza pubblica, che oggi sembra premonitore, dichiarando che il 93-95% dei server della PA non era protetto.
L’attacco alla Regione Lazio ha il triste merito di aver portato la cybersicurezza ancora più al centro dell’attenzione nel Paese, rendendoci maggiormente consapevoli di quale sia la fragilità delle infrastrutture pubbliche e perché sia urgente intervenire adottando misure aggiuntive per proteggerle.
Una conseguenza della forte risonanza dell’attacco è anche quella di aver accelerato le iniziative in corso, portando ad esempio il Governo a fare approvare rapidamente in Parlamento il provvedimento che istituisce l’Agenzia per la cybersicurezza nazionale, un atto pensato proprio con l’obiettivo di prevenire e intervenire in caso di attacco informatico alle istituzioni. Inoltre, ha confermato la correttezza nel considerare la cybersicurezza un intervento prioritario nel PNRR, con 620 milioni di euro destinati al rafforzamento delle infrastrutture legate alla protezione cyber del Paese.
Le azioni intrapresene dal Governo sono sicuramente fondamentali ma di fondo credo vi sia la necessità di cambiare approccio alla sicurezza informatica, a partire dalla considerazione di quali siano le implicazioni reali e fisiche che potremo sperimentare, come il blocco della campagna vaccinale in piena variante Delta, e dell’urgenza di dotarsi di un piano strategico e di tecnologie che siano veramente in grado fronteggiare con successo questi attacchi.
Le minacce ormai provengono da ogni direzione, sfruttano le tattiche di social engineering e altri strumenti avanzati, e gli attacchi avvengono in pochi millisecondi, più velocemente di quanto qualsiasi team di sicurezza possa reagire. Inoltre, molti attacchi informatici riescono a eludere i controlli degli endpoint e iniziano a diffondersi in modo aggressivo negli ambienti aziendali. In questi casi, solo la risposta autonoma può fornire quella resilienza in grado di fronteggiare nuove campagne e nuovi ceppi di malware.
Ed è proprio nell’ambito del ransomware che stiamo assistendo a uno spostamento globale verso l’uso di un’Intelligenza Artificiale capace di rilevare autonomamente e combattere queste minacce informatiche in tempo reale; come abbiamo recentemente dichiarato, infatti, il ransomware rappresenta oggi il principale caso d’uso della tecnologia di risposta autonoma Darktrace.
Concludendo, credo che la resilienza delle organizzazioni oggi non possa più dipendere dal numero (sempre limitato) di persone che operano nel team di security, o dall’aggiornamento sulle competenze, perché il ransomware non è più un problema affrontabile e risolvibile con la sola capacità umana: gli attacchi sono sempre di più e sfruttano l’IA, per quello abbiamo bisogno di una risposta capace di adattarsi e con la loro stessa velocità di propagazione.
L’attacco alla Regione Lazio e l’impatto sulla campagna vaccinale confermano, infatti, ancora una volta che la lotta al ransomware non è qualcosa che coinvolge unicamente l’azienda colpita, pubblica o privata, ma una questione di sicurezza nazionale, e che la tecnologia AI di autodifesa è fondamentale per affrontare l’imprevedibilità e la velocità che i ransomware stanno mostrando e prevenire le conseguenze che possono colpire tutti noi.